SCSK、ISID、NRIが金融機関向けにAWSの安全性を文書で公開
12 9/17
SCSK、電通国際情報サービス(ISID)、野村総合研究所(NRI)の3社は、金融機関がクラウドサービスのプラットフォームとして、アマゾンウェブサービス(AWS)を使用する際に、金融機関向けのセキュリティ基準に達していることを文書で示した「セキュリティリファレンス」を共同で作成し、公開した。セキュリティリファレンスには、AWSの公開文書の範囲内で作成されたサマリー版と非公開文書も対象にした詳細版の2種類があり、サマリー版は各社のホームページで無償公開され、詳細版については各社とのコンタクトに応じて個別開示するとしている。
SCSK、ISID、NRIの3社は、AWSのソリューションプロバイダーとしてAWSを使用したクラウドサービスを展開してきており、今後金融機関などの高い機密性を求められるシステムについても、クラウドが適用可能であることを示すために、AWSで豊富な経験を持つ3社が共同で、金融機関向け「アマゾンウェブサービス」対応セキュリティリファレンスを作成した。
セキュリティリファレンスは、金融情報システムセンター(FISC)が作成した業界の自主基準である「金融機関等コンピュータシステムの安全対策基準第8版」とAWSの各種仕様などをひもづけて、それぞれの項目に対してFISCが提示した対応策に適合できているかを示した文書となっている。
AWSは、ホワイトペーパーとして一部仕様などを公開しているが、それだけではFISCの全項目をカバーできていないため、直接インタビューによる情報収集や、AWSとNDA(秘密保持契約)を結んだうえでの非公開情報の入手などにより全項目についてのひも付けを行い、欠けている部分を補足したうえで、「AWSがFISCの基準に全項目について達している」ことを確認できたとしている。
公開されるセキュリティリファレンスは、「サマリー版」と「詳細版」の2種類ある。サマリー版についてはAWSの公開文書の範囲でひも付け可能な項目について作成されたもので、3社のホームページから無償でダウンロードできる。
詳細版は、非公開文書や直接インタビューなどによりFISCの全項目を網羅したものとなっており、こちらを入手するにはAWSとのNDAが必要で、3社に直接コンタクトを取った上で、各社から個別開示されることになっている。
また、このセキュリティリファレンスは、金融機関向けの厳しいセキュリティ基準に対応しているため、他業種への応用も可能になるとしている。