目次

FISC安全対策基準とは？

「FISC安全対策基準」は、金融情報システムセンター（FISC）が策定した、国内の金融機関が金融情報システムを活用するにあたっての情報セキュリティ対策基準を示すものです。1985年に初版が発刊されて以来、金融情報システムの安全対策基準となっており、金融庁の金融検査でもFISC安全対策基準に基づいた検査が行われるなど、金融業界において広く活用されています。

なぜ金融業界にセキュリティ対策が必要なのか

金融情報システムは、金融機関の事業を支える基盤であると同時に、社会において必要不可欠な重要インフラです。最近では、生成 AIなどの技術によって金融業界でも業務効率化や新たなビジネスモデルの創出といった価値が生まれる一方で、サイバー攻撃などの新たなリスクや課題が生じています。また、金融機関は膨大な機密情報を扱うためサイバー攻撃の標的になりやすい業界と言われています。新しい技術を適切に活用しながら、サイバー攻撃のリスクを考慮した対策を実施することで、安全性と信頼性を確保することが求められています。

第13版の改定ポイントとは？

このような状況で2025年3月にFISC安全対策基準 第13版が策定されました。今回の改訂では、F2024年10月に金融庁より公表された「金融分野におけるサイバーセキュリティに関するガイドライン」を踏まえた基準項目が追加されたほか、AI利用における安全対策の基準項目が新設されています。また。最近のシステム障害・サイバーセキュリティ事例を踏まえた安全対策なども追加されています。

▼改訂項目一覧

FISC安全対策基準に示される情報セキュリティ対策

FISC安全対策基準では、安全基準を「統制基準」「実務基準」「設備基準」「監査基準」の4つに分類し、それぞれにおいて実施すべき対応策が示されています。

特に「実務基準」では、サイバー攻撃対策の要となる「情報セキュリティ」に関する対応策が、以下のように６つの基準中項目に分けて示されています。

サイバー攻撃は日々高度化、多様化しており、より強固なセキュリティ対策が求められていますが、どれだけ対策しても100％安全とは言い切れません。ネットワークの入り口対策やEDRなどの検知ツールを導入したとしても、被害を受ける可能性はあります。そこで、膨大な機密情報を有する金融機関がサイバーセキュリティを実施するにあたり重要となる考えは「いかに情報漏洩を防ぐか」ということです。サイバー攻撃を未然に防ぐ対策も重要ですが、攻撃されることを前提とし、何があっても機密情報の漏洩を防ぐ対策が重要になってくると考えます。

情報漏洩対策という観点からセキュリティ対策を実施するにあたり、まず「1. データ保護」の項目から始めることをおすすめします。サイバー攻撃を受けたとしてもデータ保護の対策を実施していれば、情報漏洩という最悪の事態を防ぐことができます。

データ保護の項目は以下のようにさらに7つの小項目に分けられます。

それぞれの具体的な対策として以下のようなものが示されています。

1.         他人に暗証番号・パスワード等を知られないための対策を講ずること。
　　 暗証番号・パスワードを非表示、非印字とする、端末にパスワードを記憶させない、推測されにくいパスワードを設定する、など。 

2.         相手端末確認機能を設けること。
公衆通信網を通じて顧客に連絡する場合には、誤接続を防ぐために携帯電話の識別番号を利用するなどの相手端末確認機能を設ける。

3.         蓄積データの漏洩防止策を講ずること。
重要データ、個人データには暗号化・パスワード設定等を実施すること。
※「電子政府推奨暗号リスト」に記載の暗号化方式採用を推奨

4.         伝送データの漏洩防止策を講ずること。
盗聴防止策として、重要な伝送データに暗号化・パスワード設定を実施する、など。
※「電子政府推奨暗号リスト」に記載の暗号化方式採用を推奨

5.         ファイルに対するアクセス制御機能を設けること。
ユーザーごとにアクセス可能なファイルの範囲や権限を設定するなどして、重要なファイルにアクセス制御機能を設ける。 

6.         不良データ検出機能を充実すること。
システムへの入力データをフォーマットチェック、範囲チェックなどの方法で検査し、不良データを検出する。

7.         伝送データ改ざん検知策を講ずること 。
メッセージ認証コード、電子署名などを使い、改ざん検知対策を実施する。

当社としては、このなかでもデータ保護対策に直結する 3. 4. 5. の対策を優先的に実施する必要があると考えます。

ALSIで実現するデータ保護対策

ALSIでは、 3. 4. 5. に対応する製品をご用意しており、具体的に以下の機能を実現します。

■ALSIで実現できること

①        機密情報をファイル単位で自動的に暗号化して保管する

②        ファイルサーバーなどに個人情報が含まれるファイルがないか検査し、自動暗号化する

③        文書の種類とユーザー役職に応じたファイルの閲覧・編集・削除等のアクセス制御

■InterSafe FileProtectionとは

上記の機能を実現するのは、当社のファイル自動暗号化ソリューション「InterSafe FileProtection」です。InterSafe FileProtectionはファイル保存時に自動で暗号化を実施します。ファイル暗号化方式は主に、ハードディスク・フォルダ単位での暗号化と、ファイル単位での暗号化の2つありますが、当社のファイル暗号化は後者のファイル単位での暗号化となります。ファイル単位での暗号化であれば、保管場所を問わずに暗号化が保持されるため、万が一外部ユーザーにファイルが流出したとしても、ファイル暗号化が保持されているため中身を見られることはありません。内部環境であれば、パスワード入力や拡張子を変更することなく、通常通りのダブルクリックで閲覧・編集が可能です。さらに、FISCに記載されている“電子政府推奨暗号リストに記載の暗号化方式”である、AES256bit形式を採用しています。

最後に

重要な情報資産を扱う金融機関においては、FISC安全対策基準に基づいたデータ保護対策を講じる必要があります。当社の「InterSafe FileProtection」は10年以上の販売実績があり、金融機関様でも多数のお客様に導入いただいています。これまで培ったノウハウを活かし、お客様の環境やお悩みに合わせた最適なご提案が可能ですので、ぜひお気軽にお問合せください。