[AWS Summit 2012] 事例セッション #3 金融機関でのクラウド活用について -金融機関向けAWS対応セキュリティリファレンスの活用と事例-

金融機関でのクラウド活用について -金融機関向け AWS対応セキュリティリファレンスの活用と事例-

SCSK株式会社 (SCSK)

株式会社電通国際情報サービス (ISID)

株式会社野村総合研究所 (NRI)

瀧澤与一

渥美俊英

野上忍

Copyright (C) 2012 SCSK, ISID, NRI All rights Reserved. 2

Agenda

1. 金融機関向け「AWS」対応

セキュリティリファレンスの概要

2. 利用方法・詳細説明

3. 適用事例・活用の実際

4. さいごに


金融機関でAWS？

セキュリティは？

ガイドラインに適合？


米国でのAWS金融向けの事例膨大なリスク管理計算

日中、週末で、サーバ台数が１０倍に変化

AWSクラウドを活用する好事例


実は、日本でも既に金融業界で事例

金融専門紙ニッキン 9/7記事より

「金融界パブリック型クラウド活用へ」～コスト削減や俊敏性向上

行内SNSを構築、試行


Agenda





4. さいごに、各社からのメッセージ


１. はじめに

近年、AWSをはじめとするクラウド・サービスは、ビジネスを変革させる手段として、多

数の企業で活用されはじめています。

しかし、企業の重要な情報システムにおいては、省庁や業界団体などのセキュリティガ

イドラインと、クラウド事業者が開示しているシステム仕様との対応、解釈が難しいという

課題がありました。

AWSのソリューションプロバイダであるSCSK、ISID、NRIの3社は、セキュリティ基準の

厳しい金融機関等においてクラウドの活用を促進することを目的に、AWSのセキュリティ

対応内容が、FISC「金融機関等コンピュータシステムの安全対策基準・解説書」第8版の

全項目に対し、どのように適合し得るか共同で調査／検討を行いました。その成果を「セ

キュリティリファレンス」として整理し、一部を無償で公開いたします。

リファレンスをまとめるにあたり、アマゾンデータサービスジャパンの協力を得て、これま

で非公開であった情報についても調査対象としています。さらに、3社の豊富な金融機関

へのシステム提供経験やノウハウに基づく解釈も加えました。

本文書では、同リファレンスの概要をご説明いたします。


２. FISC安全対策基準とは

『金融機関等コンピュータシステムの安全対策基準』（第8版）

公益財団法人金融情報システムセンター（FISC）が調査研究を通じて、専門委員会、検討部会により審議・作成する金融機関等の自主基準。

金融庁が金融機関を検査する際に使用される「金融検査マニュアル」において、検査官が具体的なシステム検査を行う際に、FISCの「金融機関等コンピュータシステムの安全対策基準」を参照するよう、記載されている。

138の設備基準、114の運用基準、53の技術基準、全305項目で構成。

FISCから解説書として発刊。同サイトから購入可能。

FISC：The Center for Financial Industry Information Systems

出典：FISC ホームページ（http://www.fisc.or.jp）

金融情報システムに関する安全対策の共通のよりどころとなる具体的指針として、金融機関に広く活用されている。


３. セキュリティリファレンスの対象範囲と想定読者

AWSの利用を検討する金融機関とSIerを基本的に想定していますが、FISC

安全対策基準のほとんどの項目は、金融業務システム以外でも普遍性があるため、金融機関以外の利用者においてもご活用いただけます。

【セキュリティリファレンスの想定読者】

【セキュリティリファレンスの対象範囲】

FISC安全対策基準（設備基準/運用基準/技術基準）に記載されている

305項目について、調査、検討をしました。

各項目は、適用にあたり以下の分類がされています。

「◎」当該基準を取り入れることが必要な項目

『～すること』と記述されてる。

「○」金融機関等の業務の実態に照らし、必要に応じて取り入れる項目

『～が望ましい』と記述されている。

※ 設備基準の84～137は、営業店などへの機器設置に関する項目のため、

セキュリティリファレンスでは省略しています。


４. セキュリティリファレンスの内容

FISC安全対策基準

設備基準

運用基準

技術基準

基準項目

・・・

基準項目

・・・

基準項目

・・・

対応状況

公開文書

への参照

第三者認証

からの類推

実施状況

実施内容が記載されている公開文書の該当箇所

実施内容が妥当と判断される取得済み第三者認証の名称と該当項目

「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」

クラウド事業者（AWS）の対応 SI事業者・利用者で

必要な対応

実施内容実施内容の

参照先

SI事業者・利用者の責任

において実施すべき内容を記載。

AWS/ADSJの非公開情報

AWS/AWSJへのインタビュー、内部資料など

FISC安全対策基準(第8版)から引用

根拠となる事由を整理


５. セキュリティリファレンスを利用するメリット

FISC安全対策基準の項目毎に、クラウド事業者(AWS)と利用者との間の責任境界を把握できます。

FISC安全対策基準の項目毎に、AWSのセキュリティ対応について、その内容と根拠となる文書の記載箇所が把握できます。

これらの把握と理解を通じて、FISC安全対策基準の各項目に適合させるための検討が効率よく行えます。

FISC安全対策基準のほとんどは普遍性のある管理項目であるため、非金融の企業、団体においても、重要な業務システムをAWS

上で安全に稼働させるための検討が効率よく行えます。

【AWSを利用する金融機関、SIerの利用者のメリット】


６. セキュリティリファレンスの種類と開示

セキュリティリファレンスは、記載内容のレベルから、サマリー版と詳細版の２つの種類があります。その違いは以下の通りです。

３社がご提供する内容はいずれも同一のものです。

サマリー版詳細版

AWSの対応状況の

概要を把握

対応状況の概要を記載

公開文書のみ

3社のWebサイトで公開

誰でもダウンロード可

AWSの対応状況の

詳細を把握

対応状況の詳細を記載

非公開文書も含む

3社にコンタクトの上で

個別案件として開示

AWSとNDAが必要

目的

記述レベル

参照文書

入手方法

備考

Copyright (C) 2012 SCSK, ISID, NRI All rights Reserved.

７. セキュリティリファレンスの著作権と利用許諾

セキュリティリファレンス（以下、本件ドキュメント）の著作権、知的財産権は、SCSK、ISID、NRIが保有します。

本件ドキュメントを現状有姿にて提供し、複製、配布、改変、改変後の再配布について利用許諾します。

本件ドキュメントに瑕疵がないこと等は一切保証しません。評価、業務への適用などは、ユーザがすべての責任を負うものとします。

本件ドキュメント詳細版については、ユーザは、事前にアマゾンデータサービスジャパンとの間で別途秘密保持契約(NDA)を締結し、その条件を遵守するものとします。

詳細は、本件ドキュメントと共に配布される利用許諾契約書をご参照ください。

13


Agenda





4. さいごに、各社からのメッセージ

15

８. セキュリティリファレンスの項目例

A24000001

運17

V.運用基準

運用管理(アクセス権限の管理)

運17 パスワードが他人に知られないための措置を講じておくこと。

パスワード等の漏洩防止のため、他人に知られないための注意喚起等の措置を講じておくこと。

◎

ISO 27001に則り、AWSリソースへの論理的なアクセスのために必要な手順やポリシーを定めています。 SOC1タイプ2レポートには、AWSリソースへのアクセスを管理するためのコントロール方法についての概要が記載されています。（以下、省略）

適合可能

○ 公開情報

・ISO 27001を始め、SOC1 Type II、PCI DSS Level 1の認証を取得している。

・Amazon Web Services: セキュリティプロセスの概要/従業員のライフサイクル、Amazon アカウントセキュリティ機能・Amazon Web Services: リスクとコンプライアンス/AWS の認定とサードパーティによる証明

●

FISC 安全対策基準第８版からの引用

FISC安全対策基準に対するAWSの見解

FISC 安対基準への適合性

クラウド事業者の対応（Amazon Web Services)

SI事業者・利用者で必要な対応

SEQ

項番

基準大項目

基準中項目

基準小項目

適用にあたっての考え方

必須項目

対応状況

開示レベル

実施内容 (参照された内容等）

公開文章への参照

第三者認証から類推（詳細版で開示）

AWS/ADSJへのインタビュー結果（詳細版で開示）

ＮＤＡベース資料への参照（詳細版で開示）

対応要否

対策例（詳細版で開示）

◎：当該基準を取り入れることが必要

○：金融機関等の業務の実態に照らし、

必要に応じて取り入れる基準

適合可能

(適合不可)

対象外: クラ

ウド環境では対象外

●: 対応必要

―: 対応不要

対象外: クラ

ウド環境では対象外

公開情報

(実施内容は

サマリー版に記載)

詳細版に記載

(実施内容は非公開情報のため

詳細版に記載)

○: 対応実施

―: 対応不要

対象外: クラウド環境では対象外


16

９. セキュリティリファレンスの活用（1）

A24000001

運17

V.運用基準




◎


適合可能

○ 公開情報



●






SEQ

項番

基準大項目

基準中項目

基準小項目


必須とされている項目

対応状況

開示レベル



第三者認証から類推出来る内容

（詳細版で開示）



対応要否





適合可能

(適合不可)

対象外

●: 対応必要

―: 対応不要

対象外: ク

ラウド環境では検討対象外

公開情報

(実施内容は


詳細版に記載


詳細版に記載)

○: 対応実施

―: 対応不要

対象外: クラ

ウド環境では検討対象外

○調査・検討を行った整理軸【横軸】 (1)FISC安全対策基準第8版からの引用・138の設備基準、114の運用基準、53の技術基準の全305項目について安全対策基準【縦軸】

(2)FISC安全対策基準に対するAWSの見解・FISC安全対策基準（中項目レベル）ごとへのAWSの見解

・Cloud Security Alliance (CSA)のSecurity, Trust & Assurance Registry (STAR)に

2012年7月に登録されたアンケート回答と同等の内容

※Cloud Security Alliance(CSA) https://cloudsecurityalliance.org/

(3)FISC安全対策基準の各項目への適合性

(4)クラウド事業者の対応(Amazon Web Services)

(5)SI事業者・利用者で必要な対応

(1) (2) (3) (4) (5)


17


A24000001

運17

V.運用基準




◎


適合可能

○ 公開情報



●






SEQ

項番

基準大項目

基準中項目

基準小項目



対応状況

開示レベル







対応要否





適合可能

(適合不可)

対象外

●: 対応必要

―: 対応不要

対象外: ク


公開情報

(実施内容は


詳細版に記載


詳細版に記載)

○: 対応実施

―: 対応不要

対象外: クラ


(1) (2) (3) (4) (5)

○安全対策基準への対応の責任範囲 ※項目により(4)と(5)の片方あるいは両方で対応が必要なものがありうる

(4)クラウド事業者の対応(Amazon Web Services) 【対応状況】クラウド事業者側で対応が必要な項目も抽出し、対応状況を整理

(5)SI事業者・利用者で必要な対応【対応要否】 SI事業者・利用者側で対応が必要な項目を抽出し、対応要否を整理

○安全対策基準への適合可能性

(3)FISC安全対策基準の各項目への適合性対応が必要となる「(4)クラウド事業者」と「(5)SI事業者・利用者」の対応調査を合わせて判断


18


A24000001

運17

V.運用基準




◎


適合可能

○ 公開情報



●






SEQ

項番

基準大項目

基準中項目

基準小項目



対応状況

開示レベル







対応要否





適合可能

(適合不可)

対象外

●: 対応必要

―: 対応不要

対象外: ク


公開情報

(実施内容は


詳細版に記載


詳細版に記載)

○: 対応実施

―: 対応不要

対象外: クラ


(1) (2) (3) (4) (5)

○「(4)クラウド事業者の対応」の「(a)対応状況」の根拠 (1)

(a)対応状況『○：対応実施』『－：対応不要』『対象外』 (b)開示レベル・『公開情報』：実施内容は公開情報なのでサマリー版に記載

・『詳細版に記載』：実施内容はNDAに基づく非公開情報なので詳細版に記載

(c)実施内容 (参照された内容等）・公開文書に記載されている対策実施の内容

(d)公開文書への参照・『Amazon Web Services: セキュリティプロセスの概要（2011年5月版：日本語）』・『Amazon Web Services: リスクとコンプライアンス（2012年７月版：日本語）』等

(a) (b) (c) (e) (d) (f) (g)


19


A24000001

運17

V.運用基準




◎


適合可能

○ 公開情報



●






SEQ

項番

基準大項目

基準中項目

基準小項目



対応状況

開示レベル







対応要否





適合可能

(適合不可)

対象外

●: 対応必要

―: 対応不要

対象外: ク


公開情報

(実施内容は


詳細版に記載


詳細版に記載)

○: 対応実施

―: 対応不要

対象外: クラ


(1) (2) (3) (4) (5)

○「(4)クラウド事業者の対応」の「(a)対応状況」の根拠（２） (e)第三者認証から類推出来る内容（詳細版で開示）・『SOC 1(Service Organization Controls 1) Type2 / SSAE 16/ ISAE 3402』・『PCIデータセキュリティ基準のPCI DSS レベル 1』・『情報セキュリティマネジメントシステム（ISMS）の ISO 27001』等

(f) AWS/ADSJへのインタビュー結果（詳細版で開示） (g)ＮＤＡベース資料への参照（詳細版で開示）

※「詳細版」は、これらのAWSとの秘密保持契約の対象となる文書等への情報が記載されているために、別扱いになっている。

(a) (b) (c) (e) (d) (f) (g)


20 Copyright (C) 2012 SCSK, ISID, NRI All rights Reserved. 20

Agenda





4. さいごに

金融事業者 Amazon Web Services適用事例

2012/9/14

SCSK株式会社

22

Agenda

1. 事例概要

2. 金融機関向け『AWS』対応セキュリティリファレンスの活用

3. セキュリティシステム構築のSTEP

4. まとめ

Copyright (C) 2012 SCSK CORPORATION All rights Reserved.

23

適用事例

MS&ADシステムズ株式会社：三井住友海上火災損害保険と

あいおいニッセイ同和損害保険のシステム開発プロジェクト


24

MS&ADシステムズ適用事例ポイント

•金融大規模システム開発プロジェクトでの活用

•大型プロジェクト管理環境のSaaS型提供

数千人の開発者・プロジェクトメンバーから報告される、進捗、課題などのプロジェクト情報の統合管理を実現。

•基盤として、Amazon Web Servicesを利用

Amazon EC2, RDS, ELB, S3, CloudWatch

•商用製品/OSSを組み合わせてサービス構築

– SCSK/PrimeCloud Controller, トレンドマイクロ, Redmine, GlusterFS, Zabbix


25

MS&ADシステムズ様：大規模システム開発PRJ管理環境

要件

Amazon Web Services活用

開発プロジェクトでの一定期間利用、多種多様な環境からのアクセス・数千人規模での利用。

・インターネット経由で、プロジェクト管理システム「Redmine」を利用。

・セキュリティ要件の対応。

プロジェクト管理環境を従量課金で利用。セキュリティ/拡張性/コストバランスを実現

エンドユーザ企業

外部委託先

外部委託先

・・・

認証基盤

プロジェクト管理システム

redmine等

Amazon Elastic

Compute Cloud

(EC2)

MySQL

DB Instance

負荷に

応じて

増減

クラウド管理システム SCSK PrimeCloud Controller

SCSKで全体運用管理

分散ファイルシステム

インターネット

（暗号化）

AWS上で構築


26

0

500

1000

1500

2000

2500

1 2 3 4 5 6 7 8 9 10 11 12 13 14

ユーザ追加数

総ユーザ数

大規模システム開発現場 – 数千のユーザ数に対応

サービスインからのユーザ数の伸び（週）

ユーザ数

5weeks

230 Users

9weeks

800 Users

14weeks

2,000 Users

Amazon Elastic

Compute Cloud

(EC2)

MySQL

DB Instance

負荷に

応じて

増減

Redmine,

GlusterFSを使用


27

クラウド対応開発環境

実行環境

PRJ管理環境

開発環境サポート業務

・問合せ対応（電話、メール）・課金請求代行など

プロジェクト管理環境ハイブリッドクラウド

実行環境

開発環境

サポート業務

実行環境テンプレート

課題/進捗/工数/バージョン管理、ファイルサーバなど

SCSKの40年以上にわたる豊富な開発実績に基づき、プロジェクトの円滑運営だけでなく、複数プロジェクトの一元管理によるIT投資の見える化を実現し、経営効率を高めます。

■クラウド時代の開発を支える3つのサービス

プロジェクト情報の一元管理による、経営効率向上

2012/9/12リリース


http://www.primecloud.jp/service/main/usize/

28

どのようにして、

金融機関向け、「安心・安全なシステム」を実現したか？

金融機関向け「AWS」対応

セキュリティリファレンスの活用


29

必要なもの

金融機関向け「AWS」対応セキュリティリファレンス

Amazon Web Services 公開情報（ホワイトペーパー）

http://aws.amazon.com/jp/aws-jp-fisclist/


30

セキュリティリファレンスを元に、

対応範囲を特定

設備基準 138

運用基準 114

技術基準 53

74

88

42

※リスクを評価し、必須項目を選定

評価を必須とした項目数

FISC安全対策基準で「～すること」と書かれている項目を抽出。（「～することが望ましい」と書かれている記述に関しては、内容を確認し、リスクを評価実施。）


金融機関向け『AWS』対応セキュリティリファレンスの活用

31


「担当」範囲を特定

設備基準 138

運用基準 114

技術基準 53

74

88

42

（*1： 53項目は外部認証情報からの類推またはAWSへの確認を実施）

AWS AWS +SCSK

SCSK

74 0 0

8 54 26

5 25 12

評価を必須とした項目

担当範囲の検討(項目数)

*1



32

セキュリティリファレンスを元に、「対策」内容を策定

設備基準

運用基準

技術基準

AWS AWS +SCSK

SCSK

61 0 0

8 54 26

5 25 12

担当範囲の検討(項目数) 公開文書の確認、AWSへの問合せ等により、AWSのセキュリティ対応内容の評価を実施

Shared Responsibility

Model

「共有責任モデル」の採用

AWS+SCSKで実施する項目、SCSKで実施する項目に関しては、運用設計やシステム構築時の機能として実装する。



33

①

必須とされている

項目の洗い出し

②

必須以外から、

今回のシステムで対策が

必要な項目を追加


対応範囲を特定11


34

①

AWSが対応する項目の確認

②

SI事業者、利用者が

対応する項目の確認


「担当」範囲を特定22


35

セキュリティリファレンスを元に、「対策」内容を策定33


36

適用のSTEP


対応範囲を特定


「担当」範囲を特定

セキュリティリファレンスを元に、「対策」内容を策定

1

2

3

認証基盤実装、暗号鍵の管理体制/運用管理体制の構築、顧客問合せ窓口、ウィルス対策・・・等

FISC安全対策基準のフレームワークにて、セキュリティ対策範囲を可視化（＝金融機関の方は理解しやすくなる。すなわち、説明がしやすい。）


37

金融事業者でのAWS活用を実現

MS&ADシステムズ株式会社：三井住友海上火災損害保険と

あいおいニッセイ同和損害保険のシステム統合プロジェクト


38

まとめ

① AWSは金融向けにも適合可能。

② 金融機関向け「AWS」対応セキュリティリファレンス活用で、セキュリティシステムの構築が容易に。 – サマリー版（無償）でも、セキュリティ対策担当範囲の策定と、簡易的な対策内容策定が可能。

（セキュリティの知識・経験は必要です。）

③ 金融以外の分野でも、「やり方」を応用することで対応可能。

「安心・安全なシステムが実現可能」

AWSを活用することで、セキュリティ対策の一部をAWS側で担当。すなわち、オンプレミスよりも、効率よく、安心・安全なシステムが実現可能。



Agenda





4. さいごに

40

４さいごに

クラウドは、安全で安心なシステムの基盤として、現実解に至っています。

金融のみならず、全ての日本企業の活力を、クラウドで高めたい。

そのために、このセキュリティリファレンスを公開いたします。ご自由にお使いください。

クラウドを利活用することで、日本企業の俊敏性を高め、市場が活性化し、ひいては日本の国全体の活力となってほしい。

これが私ども３社の共通の願いです。


ご清聴ありがとうございました

◆セキュリティリファレンスサマリー版の入手先（内容は同一です）

SCSK： http://www.scsk.jp/product/technology/awssrf.html

ISID： http://www.isid.co.jp/solution/cloud/awssrf.html

NRI： http://www.nri-aitd.com/seminar/awssrf.html

◆セキュリティリファレンスに関するお問い合わせ先

ＳＣＳＫ株式会社

クラウド事業本部基盤統括部瀧澤、浅野、迫

E-mail：[email protected]

株式会社電通国際情報サービス

AWS対応セキュリティリファレンス担当窓口


株式会社野村総合研究所

情報技術本部先端技術開発部


41 Copyright (C) 2012 SCSK, ISID, NRI All rights Reserved.

Technology

[AWS Summit 2012] 事例セッション #3 金融機関でのクラウド活用について -金融機関向けAWS対応セキュリティリファレンスの活用と事例-