FISC の概要
金融情報システムセンター(FISC)は、1984年に財務省が日本の銀行情報システムのセキュリティを促進するために設立した非営利のorganizationです。 大手金融機関、保険・信用会社、証券会社、コンピューターメーカー、通信企業など、国内約700社がorganizationを支えています。
メンバーの機関、日本銀行、および金融庁 (銀行、証券と為替、および保険の監督を担当する政府組織) の協力により、FISC は銀行取引情報システムの安全性に関するガイドラインを策定しました。 これらのガイドラインには、コンピューター システム制御の基本的な監査基準、災害発生時のコンティンジェンシー 計画、300 を超えるコントロールに含まれるセキュリティ ポリシーと標準の開発が含まれます。
規制では、これらのガイドラインをクラウド コンピューティング環境に適用する必要はありませんが、クラウド サービスを実装する日本のほとんどの金融機関は、これらのセキュリティ基準を満たす情報システムを構築しており、それらの分散を正当化することは困難な場合があります。 2015年に発行された最新のガイドライン「バージョン8 補足改訂」では、金融機関によるクラウドサービスの利用とサイバー攻撃対策に関する2つの改訂が追加されました。
規制では、このフレームワークへの準拠は必要ありません。また、FISC は監査やその他の検証を行いません。
Microsoft と FISC
Microsoft は、外部評価機関と連携して、Microsoft Azure、Dynamics 365、およびMicrosoft Office 365 が金融機関向けコンピューター システムに関する FISC セキュリティ ガイドラインの改訂版 9 版の要件を満たしていることを検証しました。 Microsoft は、次の各分野における準拠の証明を用意しています。
- 建造物、コンピューター ルーム、電源、空調設備、データセンター、および施設監視用のデータセンター ガイドライン
- 組織、トレーニング、アクセス制御、システム開発、および監査用の運用ガイドライン
- ハードウェアとソフトウェアの信頼性を向上するための方策、およびデータ保護、不正使用の防止、脅威検出、障害復旧などを含むセキュリティ リスクへの対応策用のテクニカル ガイドライン
金融機関は、Azure、Dynamics 365、Office 365、Microsoft Defender for Cloud Appsのスコープ内インフラストラクチャとプラットフォーム サービスに対して、この 3 つの分野のコンプライアンスの評価に依存できます。
Microsoft のスコープ内のクラウド プラットフォームとサービス
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
Office 365 と FISC
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Access Online、Microsoft Entra ID、Delve、Exchange Online、Exchange Online Protection、Microsoft Teams、Office 365 ProPlus、Office Online、OneDrive、Power BI for Office 365、Project Online、SharePoint Online、Skype for Business |
よく寄せられる質問
FISC ガイドラインに従う必要があるユーザー
システムの安全性、信頼性、監査への取り組みを検証して、日本で確立されたベスト プラクティスに従い、FISC ガイドラインに準拠する意向がある、日本の銀行およびその他の金融機関。
FISC の第 8 版要件に関する詳細情報はどこで入手できますか?
FISCは、専門家会議から2つの報告書を発表しました。
FISC フレームワークへの Microsoft の対応の詳細はどこで入手できますか?
Microsoft クラウド サービスの FISC コンプライアンスを評価したサード パーティからのセキュリティ参照については、Microsoft アカウントの担当者にお問い合わせください。
このフレームワークへの Microsoft の対応を自分の組織の資格認定プロセスで使用できますか?
はい。 ただし、サード パーティは、このフレームワークに対する Microsoft の応答が準拠していることを確認しますが、AzureまたはOffice 365に実装するソリューションのコンプライアンスを検証する責任があります。
リソース
- Microsoft オンライン サービス条件
- FISC セキュリティ ガイドライン/安全基準
- クラウド コンピューティングの利用に関する FISC レポート
- Microsoft トラスト センターのコンプライアンス