デジタル化の進展に伴うサイバー攻撃の巧妙化により、セキュリティ対策の重要性はますます高まっています。
そんな中で注目されているのが、金融機関におけるシステムリスクや情報セキュリティ対策を強化するための「FISC安全対策基準」です。
もともとは金融業界向けに策定されたものですが、一部の観点では、他業種でも参考になる内容が含まれています。
今回は、FISC安全対策基準の概要やクラウド環境への具体的な対策、金融業界以外の一般企業担当者も押さえておくべきポイントなどを解説します。
FISC安全対策基準とは
FISC安全対策基準は、金融機関における情報システムの安全性を確保するために、金融情報システムセンター(FISC:フィスク)が策定したガイドラインです。
正式名称は「金融機関等コンピュータシステムの安全対策基準・解説書」といいます。
このガイドラインは、顧客情報や取引データの電子化が進む中、個人情報を含む機密データの保護が急務となったことを背景に策定されました。
1985年に初版が発表されて以来、技術の進化や社会情勢の変化に対応する形で継続的に改訂が行われており、業界でも重要な指針となっています。
※参考資料:FISC 金融情報システムセンター「FISCガイドラインPDF版」
FISCとは
FISCとは、公益財団法人金融情報システムセンター(Center for Financial Industry Information Systems)の略称で、日本における金融機関の情報システムに関する研究や安全対策の普及を目的とした組織です。
1984年に設立された公益財団法人で、主に金融機関やIT企業などが加盟しています。
FISC安全対策基準の役割
FISC安全対策基準の役割は、金融機関が顧客情報や取引情報を適切に管理し、安全性を確保するための具体的な方針や手順を示すことです。
300近くにわたる項目を含み、セキュリティに関する考え方から具体的な管理策、運用手順まで幅広くカバーしています。
具体的には、以下のような項目が含まれます。
- 情報セキュリティポリシーの策定
- システム開発・運用の手順
- リスク管理の方法
- 教育・訓練の内容
- 監査の方法
- 事故対応や復旧の手段
FISC安全対策基準は法的な強制力を持たない自主基準ですが、金融庁の検査においても参照されるケースがあり、事実上の標準ガイドラインとして機能しています。
FISC安全対策基準の最新の動向
FISC安全対策基準は、1985年の初版以来、時代の変化や技術の進展に対応して改訂が重ねられており、2025年3月時点では第13版が最新版として公表されています。
近年はクラウドサービスの普及に伴い、従来のオンプレミス前提のセキュリティ基準から、クラウド環境を踏まえた内容へと見直しが進んでいます。
特に2018年3月の第9版以降は、クラウド利用時のリスクに対応する安全対策が新たに盛り込まれました。
FISCは、クラウドのメリットであるコスト削減や柔軟性を活かしつつ、安全に活用するための具体的なガイドラインを提供し、金融機関の対応を支援しています。
※参考資料:FISC 金融情報システムセンター「金融機関におけるクラウド利用に関する有識者検討会報告書」
複雑化する経理業務を改善する
MJSから5つのご提案
より複雑化する経理業務の負担を改善しませんか?電子化により仕訳入力やチェック業務を効率化し、生産性を向上させるためにMJSから5つのサービスを提案いたします。
FISC安全対策基準が示すクラウド環境のセキュリティ対策
ここでは、FISC安全対策基準で示されているクラウドサービス利用時のセキュリティ対策について詳しく解説します。
リスクベースアプローチの採用
FISC安全対策基準では、クラウドサービスの活用にあたって「リスクベースアプローチ」が採用されています。
これは、すべてのシステムに同じ基準を機械的に適用するのではなく、それぞれのシステムが持つリスクの性質や重要度に応じて、柔軟かつ適切な対策を講じるという考え方です。
リスクベースアプローチにより、従来のチェックリストに沿った画一的な管理よりも、実効性の高いセキュリティ対応が可能となります。
サイバーセキュリティ対策の強化
近年のサイバー攻撃の巧妙化・高度化を受け、より強固なセキュリティ体制の構築が求められています。
FISC安全対策基準でも、以下のような技術的対策が推奨されています。
| 対策 |
内容 |
| 侵入検知システム(IDS)の導入 |
ネットワーク上の不正アクセスや異常な通信を監視・検知するシステム。脅威の早期発見を目的とする。 |
| 侵入防止システム(IPS)の導入 |
IDSの検知機能に加え、不正アクセスを自動的にブロック・遮断する防御機能を備えたシステム。 |
| DDoS攻撃への対応策の整備 |
サーバやネットワークに過剰な負荷をかけるDDoS攻撃に備えた防御策。トラフィックの制御や分散などが含まれる。 |
データ保護の強化
FISC安全対策基準では、クラウドサービスの活用を踏まえ、個人情報や重要データの保護に関する要件も示されています。
具体的には、以下のような対策が推奨されています。
- データの暗号化やアクセスログの記録による不正アクセスの監視(アクセス制御)
- 信頼を前提としない考えに基づく「ゼロトラストモデル」の導入
- 多要素認証(MFA)によるログイン時の認証強化
- 定期的なデータバックアップとその安全な保管体制の構築
- データの保管期間や削除方法を定めたルールの整備
※ゼロトラストモデルとは、ネットワークの内部も外部も、守るべき情報資産やシステムにアクセスするものすべての安全性を検証すべきという考え方のことです。
インシデント対応計画の策定
FISC安全対策基準では、インシデント発生時の初動対応から復旧、再発防止までを含む一連のプロセスが規定されています。
ここでは個別の場当たり的な対応ではなく、あらかじめインシデント対応チームを組織し、対応計画を整備しておくことが推奨されています。
また、対応後は原因分析や再発防止策を講じるなど、継続的にセキュリティ体制を改善していく姿勢が重要とされています。
セキュリティ教育体制の充実
効果的なセキュリティ対策を実現するには、技術的な対応だけでなく、社員一人ひとりの意識と行動の向上も不可欠です。
FISC安全対策基準では、新たな脅威や技術の変化に対応するため、社内研修やeラーニングなどを活用した教育プログラムの強化と、その定期的な実施が求められています。
また、社内キャンペーンや啓発活動も推奨されており、全社的にセキュリティ文化を浸透させることが重要視されています。
複雑化する経理業務を改善する
MJSから5つのご提案
より複雑化する経理業務の負担を改善しませんか?電子化により仕訳入力やチェック業務を効率化し、生産性を向上させるためにMJSから5つのサービスを提案いたします。
FISC安全対策基準に対応した一般企業向けシステム選定のポイント
FISC安全対策基準は、会計ソフトや労務管理システムなど、一般企業向けクラウドサービスの選定においても有用な指標となります。
特に、従業員の個人情報や財務データを扱うシステムでは、情報漏えいリスクを抑えるために、FISC基準に準拠したサービスを選ぶことが重要です。
多くのサービスでは公式サイトなどで「FISC基準に準拠」と表記されていますが、これはあくまで自己宣言であり、準拠性を認証する正式な第三者機関は存在しません。
そのため、表示をそのまま信じるのではなく、自社に求められるセキュリティ要件が実際に満たされているかを確認する姿勢が求められます。
具体的には、FISC安全対策基準で重視されている、以下のようなポイントをチェックするとよいでしょう。
| チェック項目 |
内容 |
| データの暗号化 |
クラウド上のデータが保存時と転送時に暗号化されているか |
| アクセス管理 |
アクセス制御が適切に設定されているか、特に多要素認証(MFA)が導入されているか |
| データの保管場所 |
個人情報や金融情報など機微なデータは、日本国内のデータセンターで保管されるか |
| バックアップ対策 |
定期的なデータバックアップが行われているか、そのバックアップが安全に保管されているか |
| インシデント対応 |
サイバー攻撃やシステム障害などのインシデントに対して、検知・通報・対応・復旧までのプロセスが整備されているか |
| セキュリティ監査 |
定期的にセキュリティ監査が行われ、対策の妥当性が評価されているか |
| データの取り扱い |
契約が終了した際にクラウド上に残ったデータは完全かつ安全に削除されるか |
※本記事の内容は掲載日時点での情報です。
複雑化する経理業務を改善する
MJSから5つのご提案
より複雑化する経理業務の負担を改善しませんか?電子化により仕訳入力やチェック業務を効率化し、生産性を向上させるためにMJSから5つのサービスを提案いたします。
**********
クラウドサービスの普及に伴い、法人を狙ったサイバー攻撃はますます巧妙化し増加しています。
こうした脅威に対応するため、FISC安全対策基準は継続的に改訂されてきました。
本来は金融機関向けに策定された基準ですが、その実用性の高さから、一般企業の情報セキュリティ対策にも十分に活用できます。
まずは、FISC基準に準拠したクラウドサービスを導入することから、自社のセキュリティ強化に取り組んでみてはいかがでしょうか。
