金融のコンプライアンスを「Infrastructure as a Code」で定義、AWSに即実装
AWSJ、FISC準拠のインフラ構成をコードで実装するテンプレートを無償配布
2017年12月11日 12時00分更新
アマゾン ウェブ サービス ジャパン(AWSJ)は12月8日、AWSを導入する金融機関やFinTech企業向けに、FISC関連準拠の要求事項を整理したドキュメント「AWS FinTech リファレンスガイド日本版」、およびその要求事項を満たすITインフラ構成をコードで記述したテンプレート「AWS FinTech リファレンス・テンプレート」の無償提供を開始した。
AWS FinTech リファレンスガイド日本版は、「FISC安全対策基準・解説書」が定めたPCI DSSおよびISO 27001準拠の要件事項について、各事項で(1)実施すべきコントロール、(2)実施主体の定義、(3)該当するAWSのサービス――をシートにまとめた。また、AWS FinTech リファレンス・テンプレートでは、リファレンスガイドに則ったシステム構成をAWSのインフラにInfrastructure as a Codeで実装するためのコードを、AWS CloudFormationのテンプレートとして提供する。
AWSでPCI DSSおよびISO 27001準拠の構成をとるためのドキュメント、AWS CloudFormationのテンプレートを無償配布
クラウドが危険と考える銀行はもういない
FISC(金融情報システムセンター)が策定する「FISC安全対策基準・解説書」は、金融機関などで使うITシステムのアーキテクチャや運用に関する指針を定めたもの。銀行、保険会社、証券会社、ITベンダーがFISCに参加しており、AWSJもメンバーの1社だ。
AWSJ セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当の梅谷晃宏氏
FISCの安全対策委員、およびFISCのFinTech有識者検討会メンバーを務めるAWSJ セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当の梅谷晃宏氏によれば、FISC安全対策基準・解説書は2018年に大幅改訂を予定しており、改訂版では特にクラウドの利用について様々な角度で再検討されているという。「金融機関でも、クラウドが危険という議論はもうない。金融機関のセキュリティはどうあるべきか、そこでクラウドがどう役立つかといった検討が進んでいる」(梅谷氏)。
改訂版の検討の中心にあるのは、「オンプレミスのハードウェアで達成できる基準は、クラウド上のソフトウェアで同等程度に達成可能」という視点だと梅谷氏は説明する。さらに、銀行やFinTech企業(システムのユーザー企業側)の議論はもっと先に進んでおり、「従来のオンプレミスと同等を目指すのではなく、クラウド環境で実現可能な新しいセキュリティを実装したいというニーズがある」(梅谷氏)。
“クラウド環境で実現可能な新しいセキュリティ”とは、Infrastructure as a CodeでITインフラ全体をソフトウェア的に記述し運用プロセスを自動化できること、さらにそのインフラウ上での実行内容(API)、構成情報(Configuration)、実行結果(Log)が可視化できることだと梅谷氏は説明した。
“クラウド環境で実現可能な新しいセキュリティ”とは、Infrastructure as a CodeでITインフラ全体をソフトウェア的に記述し運用プロセスを自動化できること
FinTech企業にとってのファシリテーションツールにも
これらのFISCの委員会での検討動向を踏まえて、今回AWSJは、「AWS FinTech リファレンスガイド日本版」および「AWS FinTech リファレンス・テンプレート」を新しく作成した。
ドキュメントでは、PCI DSSおよびISO 27001準拠について最小要件事項を洗い出し、AWSでどういう構成にするべきかをシート化している。「FinTech企業が金融機関と組んでビジネスをしようとする際に、“このAWSのサービスがこのコンプライアンス要件に対応しています”というようなファシリテーションツールとしてもシートを活用してほしい」(梅谷氏)。
さらに、PCI DSSおよびISO 27001に準拠するインフラ構成をAWS CloudFormationのテンプレートとして配布する。「要件に準拠するインフラ構成を基礎から検討すると、最低でも6カ月はかかる。テンプレートを活用することで、ユーザーは基礎の検討をはぶいてアプリケーションから上を考えることができる」(梅谷氏)。Infrastructure as a Codeでインフラを構築することで、設定ミスのリスクも低減できる。
