金融情報システム センター (FISC)
FISC の概要
金融情報システム センター (FISC) は非営利組織であり、日本の銀行取引コンピューター システムの安全性の向上を目的として、1984 年に当時の大蔵大臣により設立されました。 日本の約 700 の企業のスタッフで支えられており、その中には主要な金融機関、保険およびクレジット会社、証券会社、コンピューター メーカー、通信企業などが含まれます。
メンバーの機関、日本銀行、および金融庁 (銀行、証券と為替、および保険の監督を担当する政府組織) の協力により、FISC は銀行取引情報システムの安全性に関するガイドラインを策定しました。 これには、コンピューター システム管理の基本的な監査基準、災害発生時の危機管理計画、および 300 を超える管理項目を網羅するセキュリティ ポリシーと標準の開発が含まれます。
クラウド コンピューティング環境でこれらのガイドラインを適用することは規制による必須事項ではありませんが、クラウド サービスを実装している日本の大部分の金融機関は、これらのセキュリティ基準を満たす情報システムを構築しており、これらの標準から外れて正当性を示すことは困難になっています。 (最新のガイドラインである 2015 年発行第 8 版追補改訂では、金融機関によるクラウド サービスの使用に関する 2 件の改訂とサイバー攻撃への対応策が追加されています。)
このフレームワークの順守は規制による必須事項ではなく、監査されたり、FISC により検証されることはありません。
Microsoft と FISC
Microsoft は、外部評価機関と連携して、Microsoft Azure、Dynamics 365、およびMicrosoft Office 365 が金融機関向けコンピューター システムに関する FISC セキュリティ ガイドラインの改訂版 9 版の要件を満たしていることを検証しました。 Microsoft は、次の各分野における準拠の証明を用意しています。
- 建造物、コンピューター ルーム、電源、空調設備、データセンター、および施設監視用のデータセンター ガイドライン
- 組織、トレーニング、アクセス制御、システム開発、および監査用の運用ガイドライン
- ハードウェアとソフトウェアの信頼性を向上するための方策、およびデータ保護、不正使用の防止、脅威検出、障害復旧などを含むセキュリティ リスクへの対応策用のテクニカル ガイドライン
金融機関は、Azure、Dynamics 365、Office 365、Microsoft Defender for Cloud Appsのスコープ内インフラストラクチャとプラットフォーム サービスに対する、これら 3 つの分野のコンプライアンスに関するこの評価に依存できます。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
Office 365 と FISC
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Access Online、Microsoft Entra ID、Delve、Exchange Online、Exchange Online Protection、Microsoft Teams、Office 365 ProPlus、Office Online、OneDrive for Business、Power BI forOffice 365、Project Online、SharePoint Online、Skype for Business |
よく寄せられる質問
FISC ガイドラインはだれに適用されますか?
システムの安全性、信頼性、監査への取り組みを検証して、日本で確立されたベスト プラクティスに従い、FISC ガイドラインに準拠する意向がある、日本の銀行およびその他の金融機関。
FISC の第 8 版要件に関する詳細情報はどこで入手できますか?
FISC は、有識者検討会より次の 2 つのレポートを発行しています。
FISC フレームワークへの Microsoft の対応の詳細はどこで入手できますか?
Microsoft クラウド サービスの FISC 準拠を評価した第三者のセキュリティに関する参考情報については、Microsoft アカウントの担当者にお問い合わせください。
このフレームワークへの Microsoft の対応を自分の組織の資格認定プロセスで使用できますか?
はい。 ただし、このフレームワークに対する Microsoft の回答は第三者により準拠が確認されていますが、お客様が Azure または Office 365 で実装したソリューションの準拠状況に関しては、お客様自身で検証する必要があります。
リソース
- Microsoft オンライン サービス条件
- FISC セキュリティ ガイドライン/安全基準
- クラウド コンピューティングの利用に関する FISC レポート
- Microsoft トラスト センターのコンプライアンス