このページの本文へ

金融のコンプライアンスを「Infrastructure as a Code」で定義、AWSに即実装

AWSJ、FISC準拠のインフラ構成をコードで実装するテンプレートを無償配布

2017年12月11日 12時00分更新

文● 羽野三千世/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 アマゾン ウェブ サービス ジャパン(AWSJ)は12月8日、AWSを導入する金融機関やFinTech企業向けに、FISC関連準拠の要求事項を整理したドキュメント「AWS FinTech リファレンスガイド日本版」、およびその要求事項を満たすITインフラ構成をコードで記述したテンプレート「AWS FinTech リファレンス・テンプレート」の無償提供を開始した。

 AWS FinTech リファレンスガイド日本版は、「FISC安全対策基準・解説書」が定めたPCI DSSおよびISO 27001準拠の要件事項について、各事項で(1)実施すべきコントロール、(2)実施主体の定義、(3)該当するAWSのサービス――をシートにまとめた。また、AWS FinTech リファレンス・テンプレートでは、リファレンスガイドに則ったシステム構成をAWSのインフラにInfrastructure as a Codeで実装するためのコードを、AWS CloudFormationのテンプレートとして提供する。

AWSでPCI DSSおよびISO 27001準拠の構成をとるためのドキュメント、AWS CloudFormationのテンプレートを無償配布

クラウドが危険と考える銀行はもういない

 FISC(金融情報システムセンター)が策定する「FISC安全対策基準・解説書」は、金融機関などで使うITシステムのアーキテクチャや運用に関する指針を定めたもの。銀行、保険会社、証券会社、ITベンダーがFISCに参加しており、AWSJもメンバーの1社だ。

AWSJ セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当の梅谷晃宏氏

 FISCの安全対策委員、およびFISCのFinTech有識者検討会メンバーを務めるAWSJ セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当の梅谷晃宏氏によれば、FISC安全対策基準・解説書は2018年に大幅改訂を予定しており、改訂版では特にクラウドの利用について様々な角度で再検討されているという。「金融機関でも、クラウドが危険という議論はもうない。金融機関のセキュリティはどうあるべきか、そこでクラウドがどう役立つかといった検討が進んでいる」(梅谷氏)。

 改訂版の検討の中心にあるのは、「オンプレミスのハードウェアで達成できる基準は、クラウド上のソフトウェアで同等程度に達成可能」という視点だと梅谷氏は説明する。さらに、銀行やFinTech企業(システムのユーザー企業側)の議論はもっと先に進んでおり、「従来のオンプレミスと同等を目指すのではなく、クラウド環境で実現可能な新しいセキュリティを実装したいというニーズがある」(梅谷氏)。

 “クラウド環境で実現可能な新しいセキュリティ”とは、Infrastructure as a CodeでITインフラ全体をソフトウェア的に記述し運用プロセスを自動化できること、さらにそのインフラウ上での実行内容(API)、構成情報(Configuration)、実行結果(Log)が可視化できることだと梅谷氏は説明した。

“クラウド環境で実現可能な新しいセキュリティ”とは、Infrastructure as a CodeでITインフラ全体をソフトウェア的に記述し運用プロセスを自動化できること

FinTech企業にとってのファシリテーションツールにも

 これらのFISCの委員会での検討動向を踏まえて、今回AWSJは、「AWS FinTech リファレンスガイド日本版」および「AWS FinTech リファレンス・テンプレート」を新しく作成した。

 ドキュメントでは、PCI DSSおよびISO 27001準拠について最小要件事項を洗い出し、AWSでどういう構成にするべきかをシート化している。「FinTech企業が金融機関と組んでビジネスをしようとする際に、“このAWSのサービスがこのコンプライアンス要件に対応しています”というようなファシリテーションツールとしてもシートを活用してほしい」(梅谷氏)。

 さらに、PCI DSSおよびISO 27001に準拠するインフラ構成をAWS CloudFormationのテンプレートとして配布する。「要件に準拠するインフラ構成を基礎から検討すると、最低でも6カ月はかかる。テンプレートを活用することで、ユーザーは基礎の検討をはぶいてアプリケーションから上を考えることができる」(梅谷氏)。Infrastructure as a Codeでインフラを構築することで、設定ミスのリスクも低減できる。

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

アクセスランキング

  1. 1位

    ITトピック

    実用化が楽しみすぎるスマート技術たち 「長距離ワイヤレス給電」から「室内向け太陽電池」「超音波センサー」まで

  2. 2位

    sponsored

    AIインフラ市場“一強体制”を崩せるか AMDが「Helios」で体現するオープン戦略とフィジカルAIのラストマイル

  3. 3位

    ITトピック

    IT技術者の約半数が「AIの進化で転職を意識」/これから起きるのは「SaaSの死ではなく変容」/バックアップ市場は堅調に成長、ほか

  4. 4位

    デジタル

    kintone MCP Server とは?現在提供されている3つの選択肢をフラットに比較

  5. 5位

    デジタル

    買い切り型クラウド「pCloud」がDX総合EXPOへ CEO来日で日本展開を加速

  6. 6位

    データセンター

    IOWNによるGPU分散インフラ「GPU over APN」実証環境を開放 NTTドコビジが全国8拠点をつなぎ提供

  7. 7位

    sponsored

    「IT機器が高すぎる」「熟練メンバー不在で分からない」… 情シスさんの“現場の悩み”をエンジニア3人に聞いてみた

  8. 8位

    ITトピック

    6.4万人の熱狂をAIが導く FIFA W杯全スタジアム「デジタルツイン」化が変えた観戦体験

  9. 9位

    Team Leaders

    AIエージェントが顧客対応から“恋愛相談”まで マッチングアプリwithのCSを変えたチャネルトーク

  10. 10位

    クラウド

    顧客企業のビジネスを動かす「基幹系AI」を実現する 日本オラクルの2027年度戦略

集計期間:
2026年07月12日~2026年07月18日
  • 角川アスキー総合研究所