そのクラウド、セキュリティーは大丈夫?
パブリッククラウドの利用において、「セキュリティーは大丈夫か?」という質問を受け取ることはありませんか?。
質問自体はシンプルなのですが、「大丈夫ですよ」と答えるのはなかなか大変ではないでしょうか。もしオンプレミスならば、エクセルで作ったチェック表を使ってリスクがないかどうか一つ一つ確認し、表を埋めて提出すれば良いのですが。クラウドは原則データセンターの場所が非公開ですのでそうはいきません。
最近はこの問いに対して、財団法人金融情報システムセンター (FISC)が作成した「金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準・解説書)」に対する、各ベンダーの回答を利用することを強くお勧めします。
各パブリッククラウドベンダーが、表形式で日本語にて答えてくれているので、非常に使いやすいです。また金融機関が出自のチェック表なので漏れがないと思われます。
FISC / 安全対策基準とは
FISCの基本情報です。
公益財団法人金融情報システムセンター(きんゆうじょうほうシステムセンター)は内閣府所管の公益財団法人である。政府系シンクタンクかつ金融業界の自主規制機関であり、金融機関・生損保・証券・コンピュータメーカー等の出捐により1984年(昭和59年)に創設され、平成23年4月から公益財団法人へ移行した。
会員
644機関(平成29年3月31日現在)
都市銀行、地方銀行、第二地方銀行、信託銀行、長期信用銀行、外国銀行、信金中央金庫、信用金庫、全国信用協同組合連合会、信用組合、農林中央金庫、商工組合中央金庫、労働金庫連合会、各都道府県信用農業協同組合連合会、生命保険会社、損害保険会社、証券会社、銀行系カード会社、日本クレジット産業協会、メーカー、電機通信・情報通信会社、情報システム会社 他
上記のようにFISCとは金融業界を中心とするシンクタンクなのですが、この団体が作成した「金融機関等コンピュータシステムの安全対策基準・解説書(安全対策基準)」が日本においては、インフラに対するセキュリティー監査について、デファクトスタンダードになっています。
なお、この安全対策基準ですが、版があります。
出典:https://www.fsa.go.jp/singi/kessai_kanmin/siryou/20171220/04.pdf
2011年に第8版が発行されました。2013年、2015年に追補・改定が行われました。
2017年に第9版が出ています。
各社のFISC対応を見ると第8版への対応がほとんどで、第9版についてはまだ対応したという文書はみたことがないです。基本的な利用方法では第8版でも十分だと思っています。
ちなみに、AWSのFISC対応表は以下のような成果物になっています。「あー、これこれ」という担当者の声が聞こえてきそうです。
出典:
https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf
各パブリッククラウドのFISCへの対応
AWS
Microsoft Azure / Office365
金融機関等コンピュータ システムの安全対策基準に対するクラウド サービスの対応状況 - Enterprise Security
※現在、準備中となっている
Google Cloud
Financial Industry Information Systems (FISC) - Compliance | Google Cloud
IBM Cloud
IBM Cloudのコンプライアンス対応 - 日本 | IBM
Oracle Cloud
「Oracle Cloud」のFISC安全対策基準への対応について | Oracle Japan News Portal Blog
※ただし、現在資料が見られない
Nifty Cloud
※「FISC安全対策基準への対応状況につきまして」にPDFあり
まとめ
パブリッククラウドと言えば「いろいろ妥協して使う」のが数年前の状況でしたが、企業ユースが増えてきて、セキュリティーを証明する基礎資料が出そろってきました。今年以降企業中心にクラウド利用はもっと伸びていくと思いますので、上記リンクは有用かと思います。また、上記にないパブリッククラウドをご利用の場合は、一度FISC安全対策基準の対応が欲しい、とオーダーしてみても良いかと思います。
この、表形式での回答というのが、担当者としては落ち着きます・・。