FISC安全対策基準準拠のための特権ID管理

FISC安全対策基準とは

FISC(The Center for Financial Industry Information Systems)とは公益財団法人 金融情報システムセンターのことで、日本国内の金融システムの安全性向上を目的に1984年に設立され、金融情報に関連する諸問題の解決を目的としています。金融情報システムセンター（以下、FISC）は、その知見に関して整理・分析・評価し、「金融機関等コンピュータシステムの安全対策基準」（以下、「安全対策基準」）を公開しました。金融機関の業務システムは、この「安全対策基準」に準拠する必要があるとされています。

FISC安全対策基準がなぜ大事か

金融機関のシステムには、高い信頼性とセキュリティが求められます。FISCの安全対策基準に準拠することでセキュリティの強化を行うことができます。例えば、データ保護を強化したり、不正使用防止を強化することで、顧客情報の漏洩やデータの改ざんを防止することができます。 日本の金融機関や、そのシステム、データセンター事業者はこれに沿った安全対策を行っています。システム部門にとっては、「安全対策基準に従うこと」は重要なことです。金融機関がFISC安全対策基準に準拠する理由として、金融庁の検査マニュアルに記載があることが大きな要因になっています。

FISCに準拠/対応する方法

2018年3月に公開された「安全対策基準」の第9版は「統制基準」「実務基準」「設備基準」から構成されています。「金融機関において、利用者保護のために安全対策の実施は不可欠ながら、一方で顧客の利便性や企業価値向上のために、限りある経営資源を新サービスの展開・開発等に適切に配分することも重要」と、近年のクラウドサービスによるビジネス環境の変化に対応した内容が盛り込まれました。「オンプレミスからクラウドへのシステム移行」や「複数の金融機関が管理する共同センターシステムへの参入」など、ITガバナンスの観点から重視すべき基準が明確化されています。

特権ID管理に関連する箇所として、「実務基準」の

• 「1.情報セキュリティ」
• 「2.システム運用共通」

があげられます。

以下の表は上記、特権ID管理に関連する箇所の実務基準①「情報セキュリティ、顧客データ漏えい防止、改ざんの防止、システム不正使用の防止等、情報セキュリティに関する基準項目」と②「システム運用共通/システムの運用部門（主に委託先）及び利用部門（金融機関等）が実施すべき基準項目」から特権ID管理に該当する部分をまとめた表になります。

具体的に、以下の4項目を行います。

1.「どの特権IDを」「誰が」「いつ」利用したのかの特定する必要があります。
・特権IDの割り当てルール/手順を定める・特権IDの申請および承認フローをルール化し、申請履歴を記録する

2.特権IDを利用した管理対象機器へのアクセス制御
・サーバ設定による、特定端末からのみのアクセス許可・FireWallによる、特定端末/プロトコルからのみのアクセス許可
・ルーターやスイッチによる、特定NWからのみのアクセス許可
・踏み台サーバーからのみアクセス許可

3.特権IDを利用した操作の記録、不正アクセスの検知
・リモート接続用アプリケーション等によるログや動画の記録と保管、およびバックアップ
・動画やログは再生可能であること・不正アクセスの監視機能・ログ等の改ざん防止（暗号化など）

4.特権IDおよびそのパスワード管理・特権ID/パスワードを一括管理
・汎用的な特権IDの無効化・限られた特権ID以外は使わせない
・パスワードは第三者に見られぬよう、厳重に管理
・想像が困難な複雑なパスワードを設定し、共通パスワードを廃止
​・パスワードの不正利用発見時および定期的に、パスワードを変更

Password Manager ProでできるFISC安全対策基準準拠