このページの本文へ

金融のコンプライアンスを「Infrastructure as a Code」で定義、AWSに即実装

AWSJ、FISC準拠のインフラ構成をコードで実装するテンプレートを無償配布

2017年12月11日 12時00分更新

文● 羽野三千世/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

 アマゾン ウェブ サービス ジャパン(AWSJ)は12月8日、AWSを導入する金融機関やFinTech企業向けに、FISC関連準拠の要求事項を整理したドキュメント「AWS FinTech リファレンスガイド日本版」、およびその要求事項を満たすITインフラ構成をコードで記述したテンプレート「AWS FinTech リファレンス・テンプレート」の無償提供を開始した。

 AWS FinTech リファレンスガイド日本版は、「FISC安全対策基準・解説書」が定めたPCI DSSおよびISO 27001準拠の要件事項について、各事項で(1)実施すべきコントロール、(2)実施主体の定義、(3)該当するAWSのサービス――をシートにまとめた。また、AWS FinTech リファレンス・テンプレートでは、リファレンスガイドに則ったシステム構成をAWSのインフラにInfrastructure as a Codeで実装するためのコードを、AWS CloudFormationのテンプレートとして提供する。

AWSでPCI DSSおよびISO 27001準拠の構成をとるためのドキュメント、AWS CloudFormationのテンプレートを無償配布

クラウドが危険と考える銀行はもういない

 FISC(金融情報システムセンター)が策定する「FISC安全対策基準・解説書」は、金融機関などで使うITシステムのアーキテクチャや運用に関する指針を定めたもの。銀行、保険会社、証券会社、ITベンダーがFISCに参加しており、AWSJもメンバーの1社だ。

AWSJ セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当の梅谷晃宏氏

 FISCの安全対策委員、およびFISCのFinTech有識者検討会メンバーを務めるAWSJ セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当の梅谷晃宏氏によれば、FISC安全対策基準・解説書は2018年に大幅改訂を予定しており、改訂版では特にクラウドの利用について様々な角度で再検討されているという。「金融機関でも、クラウドが危険という議論はもうない。金融機関のセキュリティはどうあるべきか、そこでクラウドがどう役立つかといった検討が進んでいる」(梅谷氏)。

 改訂版の検討の中心にあるのは、「オンプレミスのハードウェアで達成できる基準は、クラウド上のソフトウェアで同等程度に達成可能」という視点だと梅谷氏は説明する。さらに、銀行やFinTech企業(システムのユーザー企業側)の議論はもっと先に進んでおり、「従来のオンプレミスと同等を目指すのではなく、クラウド環境で実現可能な新しいセキュリティを実装したいというニーズがある」(梅谷氏)。

 “クラウド環境で実現可能な新しいセキュリティ”とは、Infrastructure as a CodeでITインフラ全体をソフトウェア的に記述し運用プロセスを自動化できること、さらにそのインフラウ上での実行内容(API)、構成情報(Configuration)、実行結果(Log)が可視化できることだと梅谷氏は説明した。

“クラウド環境で実現可能な新しいセキュリティ”とは、Infrastructure as a CodeでITインフラ全体をソフトウェア的に記述し運用プロセスを自動化できること

FinTech企業にとってのファシリテーションツールにも

 これらのFISCの委員会での検討動向を踏まえて、今回AWSJは、「AWS FinTech リファレンスガイド日本版」および「AWS FinTech リファレンス・テンプレート」を新しく作成した。

 ドキュメントでは、PCI DSSおよびISO 27001準拠について最小要件事項を洗い出し、AWSでどういう構成にするべきかをシート化している。「FinTech企業が金融機関と組んでビジネスをしようとする際に、“このAWSのサービスがこのコンプライアンス要件に対応しています”というようなファシリテーションツールとしてもシートを活用してほしい」(梅谷氏)。

 さらに、PCI DSSおよびISO 27001に準拠するインフラ構成をAWS CloudFormationのテンプレートとして配布する。「要件に準拠するインフラ構成を基礎から検討すると、最低でも6カ月はかかる。テンプレートを活用することで、ユーザーは基礎の検討をはぶいてアプリケーションから上を考えることができる」(梅谷氏)。Infrastructure as a Codeでインフラを構築することで、設定ミスのリスクも低減できる。

■関連サイト

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

この記事の編集者は以下の記事をオススメしています

アクセスランキング

  1. 1位

    トピックス

    “持たない家電”ランキング、もはや定番のアレがやっぱり1位なような

  2. 2位

    トピックス

    思い切った慶應義塾 全教職員にNotion導入で168年分の知的資産をAIに食わせるプロジェクトが始動

  3. 3位

    トピックス

    リモートワークは福利厚生なの? ITエンジニアが本当に欲しい福利厚生第1位となる

  4. 4位

    ビジネス

    管理職こそ大事にしないとまずくないか? 約4割が「続けたい、と答えない」現実

  5. 5位

    トピックス

    ほぼスーパーで良くない? コンビニで「思ったより高い」と感じる人76%、実は中高年ほど割高感に悩んでるって知ってた?

  6. 6位

    トピックス

    インバウンドの頑張りランキングベスト3は「大分県」「岐阜県」「佐賀県」 努力が光る結果に

  7. 7位

    ビジネス・開発

    こんどは“市区町村の財政状況”が丸わかり デジタル庁「ジャパン・ダッシュボード」に地方財政データ追加

  8. 8位

    ITトピック

    管理職ほど機密情報をAIに入力している実態、なぜ?/27卒学生の就職人気、IT業界トップ企業は/最新インシデントの傾向10パターンまとめ、ほか

  9. 9位

    トピックス

    【無双状態】2025年、最も雑誌の表紙を飾ったのは「えなこ」! 1万誌を調査して見えた圧倒的カバークイーン

  10. 10位

    トピックス

    【人材争奪戦】大手企業の8割超が「高度IT人材」採用に危機感! 今一番欲しいのは「AI」と「セキュリティ」のプロだぞ

集計期間:
2026年04月19日~2026年04月25日
  • 角川アスキー総合研究所
TECH 最新連載・特集一覧