FISC安全対策基準(第9版)における主な改定ポイント

2018-06-05

2018年3月に金融情報システムセンター(以下「FISC」)から「金融機関等コンピュータシステムの安全対策基準・解説書」(以下「安全対策基準」)の第9版(以下「新基準」)が公表されました。昨今のFinTechやクラウドサービス(以下「クラウド」)によるビジネス環境の変化に対応し、従来の「安全対策基準第8版追補改訂」(以下「旧基準」)から大幅な改定が行われています。本コラムでは、今回の改定の全体像とともに、主な改定のポイントや金融機関に求められる対応について概説します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。

新基準の全体像

新基準では構成や分類が刷新されていますが、まずは全体像について、以下(1)~(3)の順序で解説します。

(1)基準分類の再編

旧基準では「技術」「運用」「設備」の3つに分類されていた基準は、新基準では「統制」「実務」「設備」「監査」の4分類に再編されました(図表1参照)。

旧基準では、統制/実務上の要求事項が「技術」、「運用」の基準の中に混在していました。しかし、ITガバナンスの観点より、金融機関等が既存のフレームワークに縛られることなく、組織固有のリスクプロファイルに照らし、統制と実務のバランスを実効的に検討することを可能とするため、これらの要求事項が「統制」「実務」の基準として、形式上、再構成されました。また、「統制」「実務」および従来の「設備」における要求事項に対して「監査」を行うことの重要性を強調するため、従来は「運用」の基準に含まれていたシステム監査が、「監査」という基準として独立しました。

【図表1】

【図表1】

(2)外部委託・クラウドの集約

旧基準では、外部委託に関する基準とは別にクラウドに関する基準が後から追加されたため、一部重複した内容や冗長な記載となっている箇所がありました。新基準では、外部委託とクラウドに関する項目が「統制」の基準に形式面で集約されたことにより、当該項目群の体系的な理解が可能となっています(図表2参照)。

【図表2】

【図表2】

(3)新設された基準項目

上述の通り、今回の改定では大幅な形式面の再構成が行われていますが、基準項目として新たに追加された内容は3項目のみです。いずれも「統制」の基準として追加されています。オンプレミス型からクラウド型へのシステム移行、複数の金融機関が管理する共同センターシステムへの参入等、近年の金融機関等を取り巻くIT環境事例に照らし、ITガバナンスの観点から重視すべき基準が明確化されています(図表3参照)。

【図表3】

【図表3】

リスクベースアプローチの導入

新基準では、金融機関等が各基準項目を適用するにあたって、リスクベースアプローチの考え方が導入されています。金融機関は、以下に示す3つの観点で、自らのリスク評価結果に応じて、基準項目の適用要否、および適用範囲の判断が可能となりました。

(1)対象システムの選定

金融機関等は多数の情報システムを保有していますが、よりリスクの高いシステムに重点的に高い安全対策を適用することを可能とするために、新基準では、「特定システム」と「通常システム」という分類の考え方が示されています。具体的には、「特定システム」は、重大な外部性(障害発生時などによる社会的影響の高いもの)や機微情報(人種、信条などの要配慮個人情報を含むもの)を有するシステム、「通常システム」はそれ以外として定義されています(図表4参照)。

【図表4】

【図表4】

(2)基準の分類(基礎/付加)の設定

新基準では、上記(1)の対象システムに応じて適用する基準項目に対して、「基礎」と「付加」の2つの区分が設けられ、「設備」を除く「統制」「実務」「監査」の基準項目に設定されています。
特定システムの場合は「基礎」と「付加」の両方の基準が適用対象となっていますが、通常システムの場合は、「基礎」の基準は最低限実施すべき要求事項、「付加」の基準はリスク評価結果に応じて選択的に実施(適用)すべき事項となっています(図表5参照)。

【図表5】

【図表5】

(3)基準項目内の対策内容の必須/任意の明確化

各基準項目には、その解説文に複数の対策が記述されています。旧基準においては、文末に「~望ましい」などの表現が多用されており、どこまで適用すれば良いのかの判断基準が曖昧でした。新基準では、このような曖昧さを排する観点より、解説文の末尾の表現が改定されることで、どの対策が必須で、どの対策が任意であるかが明確化されています。そのため金融機関等では、基準項目ごとの複数の対策案をリスク評価結果に応じて取捨選択し、自機関のリスクプロファイルに適した観点より、具体的な目標設定ができるようになりました(図表6参照)。

【図表6】

【図表6】

なお、上記(1)~(3)で挙げている「対象システム」「基準」「対策」の関係性を整理すると、図表7の通りとなります。

【図表7】

【図表7】

金融機関に求められる対応

新基準については、FISCの公表によると、システム更改時や新システム導入等、大きなイベントを起点として、旧基準からの移行検討を行うことが推奨されています。

しかしながら、金融庁が検査マニュアルの廃止を決定し、平成29年事務年度における金融行政方針において、金融機関とのリスクベースな建設的な対話を志向することを公表している直近の動向を鑑みれば、今回のFISC改定の最大の眼目が、従来通りのチェックリストベースの対応を脱し、商品/サービス内容、システム/ネットワーク構成等、自社固有のリスクプロファイルを勘案した観点より、適切な顧客保護、あるいは社会インフラとしての責務の充足に向けたシステムリスク管理対策を講じる姿勢を有しているかについて、各機関に改めて問いかけを行おうとしている点にあることは、想像に難くありません。

特に、改定の主要ポイントでもあるリスクベースアプローチの導入は、端的にそのような状況を物語っています。その意味で、自社のITガバナンス、保有する情報システムのリスク評価結果等に応じて、現行の対策状況について、優先度を付けて見直しを図ることが求められていると言えます。

それではどのように現行対策の見直しを行うべきでしょうか。少なくとも実施いただきたい内容を以下に例示します。

(1)「特定システム」の選定

自機関が所管するシステム群のうち、何が管理資源を積極投入すべき「特定システム」に該当するかを明確にする必要があります。金融機関等では、顧客保護やフィデューシャリー・デューティー等の観点より、システムの重要性を機密性・完全性・可用性の観点で評価することが一般的となっていますが、そのような考え方とともに、自社の具体的なリスクプロファイルを踏まえた「特定システム」の定義を明確にする必要があります。

(2)現行規程やリスク管理フレームワークの見直し

旧基準の項目に基づき策定したシステムリスクや情報セキュリティに関する規程・マニュアル・管理資料などについて、自社固有のリスク要件に照らして真に合理的、適切であるかについて見直すことが推奨されます。例えば、新しく定義された「付加基準」や「任意対策」の考え方を参考情報として、現行の規程等が自社のリスク要件に効果的かつ効率的に対応できているかについて、全体最適化の観点より見直しを行うことが推奨されます。もちろん、上記手続きで選定された「特定システム」については、よりリスクベースな管理対策の適用検討が推奨されます。

終わりに

直近の金融庁等の動向を鑑みると、自社のビジネスリスクに即した、リスクベースでのシステムリスク管理を自分たちで考えることが求められるようになっていると言えます。簡単に言えば、従来のチェックリスト型の対応を脱し、自社が有するリスク要因を踏まえた、効果的かつ効率的なリスクマネジメントプロセスの整備が求められる状況が到来しています。ケースによっては、必要に応じて外部の有識者を利活用することも有用です。

加えて、今回の改定でもフォーカスされているクラウドについては、「特定システム」に位置付け、「統制」/「実務」の観点からしかるべき基準項目を適用しても、当初想定していた計画通りの効果を得ることは容易ではありません。

今回の改定で、新基準の「統制」の中に中長期的なシステム計画策定が新設されていますが、クラウドの効果的な利用に際しては、クラウド事業者との責任分界点の整理等の一般的な問題に加え、中長期的な計画に即した費用対効果が生じているか、人材面の問題解決が図られているか等、ITガバナンスの観点からプロジェクト推進支援/モニタリングを図るためのさまざまな仕組みの整備が不可欠です。

PwCあらた有限責任監査法人では、このような仕組み整備の支援も含め、クラウド活用を成功に導くための「クラウド アドバイザリー&アシュアランスサービス」を提供しており、上述してきた観点より、皆様の取り組みを効率的・効果的にサポートさせていただきます。

執筆者

皆尾 潤

ディレクター, PwCあらた有限責任監査法人

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}