金融情報システムとFISC安全対策基準について(米山 正夫 - 金融庁

資料3
「決済業務等の高度化に関するスタディ・グループ」(第7回)資料
金融情報システムと
FISC安全対策基準について
2014年12月8日
公益財団法人 金融情報システムセンター(FISC)
企画部長 米山 正夫
監査安全部 総括主任研究員 掃部 朋広
Ⓒ2014 FISC All rights reserved
目次
1.FISCの紹介
2.金融情報システムの概要
(銀行のコンピュータシステム)
3.FISC安全対策基準について
Ⓒ2014 FISC All rights reserved
2
FISCの概要
公益財団法人 金融情報システムセンター
(FISC:The Center for Financial Industry Information Systems)
◆ 銀行、証券会社、保険会社、コンピュータメーカー、情報処理会社等の出捐に
より大蔵大臣(当時)の許可を得て、財団法人として設立(1984年11月)。
2011年4月に、内閣総理大臣の認定を受け、公益財団法人に移行。
◆ 金融情報システムに関連する諸問題(技術、IT利活用、リスク管理、セキュリ
ティ等)について総合的な調査研究を行う。
⇒
FISC安全対策基準をはじめとする各種ガイドラインや調査レポート(機関
誌)等を作成し、セミナー・講演会等を通じてその成果を広く還元。
⇒ 我が国金融情報システムの安全性、信頼性及び効率性の向上。
◆ 会員
633機関(2014年3月31日現在)
都市銀行、信託銀行、地方銀行、第二地方銀行、信用金庫、信用組合、外国銀行、
インターネット専業銀行、信金中央金庫、全国信用協同組合連合会、農林中央金庫、
商工組合中央金庫、労働金庫連合会、各都道府県信用農業協同組合連合会、
生命保険会社、損害保険会社、証券会社、銀行系カード会社、
メーカー、電気通信・情報通信会社、情報システム会社
他
Ⓒ2014 FISC All rights reserved
3
最近の調査レポート(FISC機関誌『金融情報システム』掲載)
機関誌
2014年度
秋号
(10月)
調査レポート(タイトル)
地域金融機関IT研究会報告書「個人資金決済をめぐる最近の動きについて」
金融機関におけるリスクデータ集計及びリスク報告の取組み
金融機関におけるタブレット端末の利活用状況及び留意点について
デスクトップOA環境の移行状況と今後の方向性
夏号
電子記録債権に関する最近の動向と今後の展望について
(7月)
地域金融機関におけるチャネル戦略の現状とオムニチャネルの可能性
金融機関ATMの最新機能の動向について
金融機関におけるアンチ・マネー・ローンダリング(AML)対応の動向
春号
金融機関におけるサイバー攻撃対応に関する有識者検討会報告書
(4月)
金融機関におけるデジタル・フォレンジックの活用について
北米・アジアにおけるカードビジネスの動向について
社会保障・税番号制度導入に向けた金融機関の対応
2013年度
冬号
金融機関のクラウド利活用に関する規制監督動向及び課題について
(1月)
パーソナルデータ保護の国際的動向とわが国の個人情報保護制度を巡る動き
標準化・規制及び金融システムの海外の動向~Sibos2013から~
金融機関の業務継続態勢見直しにおける実務上の整備ポイント
ビッグデータの活用事例と金融機関における利用の可能性
韓国の金融機関等におけるサイバー攻撃対応態勢について
システム監査を巡る最近の動向について
Ⓒ2014 FISC All rights reserved
4
最近の主な取組み
1.有識者検討会の開催
①サイバー攻撃対応
2013年度「金融機関におけるサイバー攻撃対応に関する有識者検討会」開催
2014年2月に報告書公表
②クラウドコンピューティング
2014年度「金融機関におけるクラウド利用に関する有識者検討会」開催
2014年11月に報告書公表
③外部委託先管理(2015年度に開催予定)
⇒
これらの検討結果や報告書の内容を踏まえ、「FISC安全対策基準」等を改訂
2.「FISC安全対策基準」の業態別編
◆
現行のFISC安全対策基準は、全業態共通の基準
⇒
利便性向上を図るため業態別化を検討

2014年3月「証券業界編(試行版)」を作成

2014年度「保険業界編(試行版)」を作成予定
Ⓒ2014 FISC All rights reserved
5
(参考)サイバー攻撃対応
「金融機関におけるサイバー攻撃対応に関する有識者検討会」報告書
サイバー攻撃の手法がますます高度化、巧妙化しているため、これを完全に防ぐことは難しく、
金融機関としては、攻撃や侵入を受けることを前提に各種対策を整備することが必要。
【サイバー攻撃対策】
①多層防護の必要性
入口対策
外部からの攻撃の予防と防御
出口対策
侵入した不正プログラムによる情報の持ち出し防止等
内部対策
ID・パスワード管理の強化、ログの取得・分析等
②常時モニタリング
── ネットワーク上のトラフィックを常時モニタリングし、攻撃の予兆、有無を検知。
③インシデントレスポンス態勢の強化
── 手順策定、優先順位付け、CSIRT(Computer Security Incident Response Team)設置など
④デジタルフォレンジック
── 侵入経路の特定や手口、情報流出の痕跡、範囲などを分析
⑤対応訓練
Ⓒ2014 FISC All rights reserved
6
金融情報システムの概要
(銀行のコンピュータシステム)
Ⓒ2014 FISC All rights reserved
7
銀行のコンピュータシステム(類型)
種 類
概 要
預金・為替・融資等の業務処理、勘定処理機能(資金決済)
勘定系システム
業務系システム
⇒
資金証券系システム
銀行システムの中心的役割
資金・証券業務に関する取引支援、後方事務支援
(取扱商品は、資金、債券、株式、デリバティブ等多岐に亘る)
外国為替業務とそれに伴う後方事務処理
国際系システム
海外拠点の事務処理・情報管理等の国際事務を支援
対外接続系システム
外部の金融ネットワークや顧客システム等と接続
経営管理
計数管理(予算・実績等)、収益管理等
リスク管理・内部統制
情報系システム
営業支援
融資支援
信用リスク・市場リスク・オペレーショナルリスク計量、
統合リスク管理、ALM管理システム、自己査定システム等
顧客管理システム(CRM)、データマイニングシステム等
融資稟議・審査支援、住宅ローン/事業性ローン自動審査、
不動産担保評価・管理等
Ⓒ2014 FISC All rights reserved
8
銀行のコンピュータシステム(全体像)
各金融機関センターへ
他業態センター
収納機関へ
日銀ネット
各金融機関センターへ
顧客へ
各企業・個人へ
各企業へ
全銀システム
共同CMS
ANSER
CAFIS
統合ATM
各証券会社・
信託銀行へ
証券保管振替機構
決済照合システム
マルチペイメント
ネットワーク
海
外
の
提
携
金
融
機
関
へ
インターネット
バンキンク
SWIFT
対外接続系
国際系
業務系システム
資金証券系
勘定系
個人信用情報センター
情報系システム
営業店システム
金融端末機・ATM等
銀行外との
ネットワーク
相
場
情
報
シ
ス
テ
ム
等
個別システム群
行内ネットワーク
集中センターシステム等
イントラネット等
(出所)FISC「平成26年版金融情報システム白書」をもとに作成
インターネットへ
(注)
全銀システム
日銀ネット
他業態センター
統合ATM
:全国銀行データ通信システム
:日本銀行金融ネットワークシステム
:しんきんネットキャッシュサービスなど
:統合ATMスイッチングサービス
SWIFT
:国際間の銀行取引に関するデータ通信システム
ANSER :自動照会通知システム
CAFIS :クレジット情報システム
共同CMS :共同センター方式ファームバンキングサービス
Ⓒ2014 FISC All rights reserved
9
勘定系システムの動向
1.銀行にとって基幹的なシステム
 高い信頼性が要求され、多くの場合はメインフレーム(大型汎用コンピュータ)
にて構成。
2.システム共同化・アウトソーシングの進展
(図表①、②)
 地域金融機関を中心にシステムの共同化が進んでいる(地域銀行では約7割)。
 システム経費の削減、機能強化、サービスの充実等を実現できる一方、システム
仕様変更の柔軟性が制約されることが留意点。
3.オープン系システムの導入 (図表③)
 メインフレームに比べて一般的に低コストで性能面での選択肢の幅が広い「オー
プン系システム」(注)は、信頼性の向上に伴い、勘定系システムへの導入事例も
みられる。
(注)ベンダー固有のOS・ネットワーク仕様を搭載していないシステム(WindowsやUnix等を採用)
Ⓒ2014 FISC All rights reserved
10
(図表①)勘定系システムのアウトソーシング(システム共同化等)
▽
勘定系システムのアウトソーシング利用率の推移(共同センターを含む)
── 金融機関全体で高い利用率となっている。特に、地銀は、依然として伸びる傾向。
(出所)FISCアンケート調査
Ⓒ2014 FISC All rights reserved
11
(図表②)地域銀行のシステム共同化(2014年8月現在)
UNISYS
IBM
常陽
十六
南都
百十四
北九州
もみじ
山口
Chance(7行)
広島
福岡
親和
NTTデータ
筑邦
佐賀
十八
東北
東京
都民
富山
山梨
中央
スルガ
百五
仙台
神奈川
長野
紀陽
鹿児島
熊本
STELLA CUBE(7行)
北海道
BankVision(8行)
筑波
武蔵野
阿波
宮崎
琉球
富士通
八十二
東邦
じゅうだん会(7行)
清水
西京
福岡
中央
宮崎
太陽
青森
北日本
栃木
大光
中京
第三
トマト
徳島
香川
NEC
三重
高知
八千代
BankingWeb21(2行)
NEXTBASE(9行)
山陰
合同
北陸
肥後
佐賀
共栄
豊和
南日本
千葉
興業
池田
泉州
西日本
シティ
秋田
岩手
足利
北越
福井
京都
鳥取
四国
大分
愛知
地銀共同センター(14行)
荘内
Banks‘ware(3行)
長崎
SBK(6行)
PROBANK(3行)
日立
みちのく
横浜
MEJAR(3行)
Flight21(4行)
山形
但馬
北都
BeSTAcloud (2行)
(注)パッケージシステムの利用先も含む。
地方銀行協会加盟行
第二地方銀行協会加盟行
Ⓒ2014 FISC All rights reserved
(出所)金融機関及びITベンダーのホームページ等
による公開情報をもとにFISCにて作成
12
(図表③)オープン系システムの導入
▽
オープン系システムによる勘定系システムの構築状況
── メインフレームからオープン系システムへの移行(共同センター・アウトソーシングの
利用を含む)状況をみると、構築済みと開発中の先を合わせた割合は、21.4%。
0
20
全
体
都
銀
信
託
地
銀
19.0
第二地銀
18.9
14.0
5.9
40
1.5
→
金
信
組
100(%)
80
計 21.4%
20.0
全面構築済
57.1
14.3
15.9
3.2
13.5
一部構築済
開発中
2.7
その他銀行等
信
60
72.7
6.7
4.2
0.8
29.7
3.1
1.6
対象: 預金取扱金融機関(銀行、信金、信組等)
有効回答先数: 485先
基準日: 平成26年3月末
(出所)FISC「金融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10月)
Ⓒ2014 FISC All rights reserved
13
銀行システムの動向
1.今後の重点投資分野

(図表④、⑤)
今後3年間の投資計画(更改)の中で優先する分野として、「勘定系システム」が最も高い。
新 規
更 改
(新たにシステム開発、導入)
(機能追加・変更、再構築)
1位
融資稟議・審査支援システム
勘定系システム
2位
渉外支援システム
営業店端末システム
3位
債権書類集中管理システム
社内ネットワーク
(出所)FISC「金融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10月)
(注)「その他」の回答は除くベースでの順位。
2.デリバリーチャネル
▽ システム関連経費の目的別内訳
内訳比率
目的
25年度
26年度
(実績)
(予定)
新規・更改
21%
21%
維持・運用
71%
70%
安全対策
8%
9%
計
100%
100%
「新規・更改」の経費
の比率は、約2割

顧客接点:ATM、インターネットバンキング、コールセンター等

コンビニATMとの提携を強化しつつ、インターネットバンキングやモバイルバンキングは
今後も拡大していくと考えられる。
(参考)デリバリーチャネルの動向(FISCアンケート調査)
(図表⑥)ATMの機能拡張
(図表⑦)キャッシュカードの主な付加機能
(図表⑧)インターネットを利用した主なサービス
Ⓒ2014 FISC All rights reserved
14
(図表④)今後の重点投資分野(新規投資)
▽
将来の投資計画について今後3年間の重点投資分野(新規)
300
ポ
イ
ン
ト
5位
250
4位
200
3位
150
2位
(注)優先度の高い順に5つの投資分野を選択して
もらい、順位に応じてウェイト付けを行い集計
100
1位
50
0
融 そ 渉 債 テ デ
資 の 外 権 レ ー
稟 他 支 書 ビ タ
議
援 類 会 ウ
・
シ 集 議 ェ
審
ス 中 シ ア
査
テ 管 ス ハ
支
ム 理 テ ウ
援
シ ム ス
・
シ
ス
デ
ス
テ
ー
テ
ム
タ
ム
マ
イ
ニ
ン
グ
相
談
シ
ス
テ
ム
オ
ペ
レ
ー
シ
ョ
ナ
ル
リ
ス
ク
計
量
マ
ー
ケ
テ
ィ
ン
グ
支
援
シ
ス
テ
ム
収
益
管
理
シ
ス
テ
ム
個
人
ロ
ー
ン
自
動
審
査
シ
ス
テ
ム
イ
ン
タ
ー
ネ
ッ
ト
・
モ
バ
イ
ル
バ
ン
キ
ン
グ
信
用
リ
ス
ク
計
量
(
内
部
格
付
手
法
)
担
保
評
価
シ
ス
テ
ム
印
鑑
照
会
シ
ス
テ
ム
S
F
A
シ
ス
テ
ム
本
部
経
営
管
理
シ
ス
テ
ム
A
T
M
シ
ス
テ
ム
住
宅
ロ
ー
ン
自
動
審
査
シ
ス
テ
ム
社
内
ネ
ッ
ト
ワ
ー
ク
映
像
監
視
シ
ス
テ
ム
他
業
態
の
金
融
商
品
・
サ
ー
ビ
ス
提
供
シ
ス
テ
ム
為
替
集
中
管
理
シ
ス
テ
ム
内
部
統
制
評
価
勘
定
系
基
幹
シ
ス
テ
ム
事
業
性
ロ
ー
ン
自
動
審
査
シ
ス
テ
ム
電
子
債
権
シ
ス
テ
ム
営
業
店
端
末
シ
ス
テ
ム
(出所)FISC「金融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10月)
Ⓒ2014 FISC All rights reserved
営
業
店
経
営
管
理
シ
ス
テ
ム
自
己
査
定
シ
ス
テ
ム
A
L
M
管
理
シ
ス
テ
ム
市
場
リ
ス
ク
計
量
手
形
・
小
切
手
集
中
管
理
シ
ス
テ
ム
国
際
系
シ
ス
テ
ム
資
金
証
券
系
シ
ス
テ
ム
対象: 預金取扱金融機関(銀行、信金、信組等)
有効回答先数: 485先
基準日: 平成26年3月末
15
(図表⑤)今後の重点投資分野(更改)
▽
将来の投資計画について今後3年間の重点投資分野(更改)
600
ポ
イ
ン
ト
500
5位
4位
400
3位
300
(注)優先度の高い順に5つの投資分野を選択して
もらい、順位に応じてウェイト付けを行い集計
2位
200
1位
100
0
勘
定
系
基
幹
シ
ス
テ
ム
営
業
店
端
末
シ
ス
テ
ム
社
内
ネ
ッ
ト
ワ
ー
ク
A
T
M
シ
ス
テ
ム
渉
外
支
援
シ
ス
テ
ム
イ
ン
タ
ー
ネ
ッ
ト
・
モ
バ
イ
ル
バ
ン
キ
ン
グ
自
己
査
定
シ
ス
テ
ム
印
鑑
照
会
シ
ス
テ
ム
為 そ A 手 融 担 信
替 の L 形 資 保 用
集 他 M ・ 稟 評 リ
中
管 小 議 価 ス
管
理 切 ・ シ ク
理
シ 手 審 ス 計
シ
ス 集 査 テ 量
ス
テ 中 支 ム (
内
テ
ム 管 援
部
理 シ
ム
格
シ ス
付
ス テ
手
テ ム
法
ム
)
収
益
管
理
シ
ス
テ
ム
デ
ー
タ
ウ
ェ
ア
ハ
ウ
ス
・
デ
ー
タ
マ
イ
ニ
ン
グ
映
像
監
視
シ
ス
テ
ム
国
際
系
シ
ス
テ
ム
S
F
A
シ
ス
テ
ム
債
権
書
類
集
中
管
理
シ
ス
テ
ム
資
金
証
券
系
シ
ス
テ
ム
市
場
リ
ス
ク
計
量
個
人
ロ
ー
ン
自
動
審
査
シ
ス
テ
ム
マ
ー
ケ
テ
ィ
ン
グ
支
援
シ
ス
テ
ム
電
子
債
権
シ
ス
テ
ム
テ
レ
ビ
会
議
シ
ス
テ
ム
本
部
経
営
管
理
シ
ス
テ
ム
(出所)FISC「金融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10月)
Ⓒ2014 FISC All rights reserved
住
宅
ロ
ー
ン
自
動
審
査
シ
ス
テ
ム
他
業
態
の
金
融
商
品
・
サ
ー
ビ
ス
提
供
シ
ス
テ
ム
相
談
シ
ス
テ
ム
オ
ペ
レ
ー
シ
ョ
ナ
ル
リ
ス
ク
計
量
事
業
性
ロ
ー
ン
自
動
審
査
シ
ス
テ
ム
内
部
統
制
評
価
営
業
店
経
営
管
理
シ
ス
テ
ム
対象: 預金取扱金融機関(銀行、信金、信組等)
有効回答先数: 485先
基準日: 平成26年3月末
16
(図表⑥)デリバリーチャネルの動向(ATM)
▽
ATMの機能拡張の実施状況
(%)
0
20
40
365日稼働対応
68.7
高齢者などに対する簡単操作機能
生体認証機能
31.6
24時間稼働対応
12.1
税金・公共料金等支払(ペイジー)
10.8
無担保ローン
外貨預金取扱
1.1
40.7
1.1
0.4
2.0
0.6
100
16.1
20.4
21.6
17.9
19.2
実施済
実施に向け作業中
検討中
8.2 0.4 4.6
5.3
80
0.2 8.4
47.6
利用客への特定メッセージ表示
電子マネー(チャージ等)
60
7.5
4.9 2.7
個人向け国債の販売 2.41.8
他社・他事業者の広告 1.3 2.6
0.2
対象: 預金取扱金融機関(銀行、信金、信組等)
有効回答先数: 485先
基準日: 平成26年3月末
携帯キャッシュカード 0.4 3.3
(出所)FISC「金融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10月)
Ⓒ2014 FISC All rights reserved
17
(図表⑦)デリバリーチャネルの動向(キャッシュカード)
▽
キャッシュカードの主な付加機能の実施状況
(%)
0
10
20
振込カード機能
30
40
50
60
41.8
クレジットカード機能
27.1
ポイント機能
4.3
電子マネー機能
3.8
交通乗車券機能
3.3
国際ブランド
デビットカード機能
2.7
出退勤管理・社員証・
1.5
学生証機能
対象: 預金取扱金融機関(銀行、信金、信組等)
有効回答先数: 485先
基準日: 平成26年3月末
(出所)FISC「金融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10月)
Ⓒ2014 FISC All rights reserved
18
(図表⑧)デリバリーチャネルの動向(インターネット)
▽
インターネットを利用した主なサービスの実施状況(個人向け)
(%)
0
10
20
30
40
税金・公共料金等支払等(ペイジー)
50
60
70
80
90
100
82.3
情報提供(商品案内、金利情報、資料請求等)
73.4
ローンシミュレーション
63.9
ローン申込
61.7
定期預金取引(預入、解約等)
42.9
緒届出受付(公共料金自動振替、住所変更届等)
39.0
電子マネー(チャージ等)
25.8
投資信託商品取引(購入、売却等)
22.8
ネットデビット、ネット決済
13.3
外貨預金取引(預入、解約等)
11.1
住宅ローン条件変更(繰上返済、金利変更等)
1.3
資産運用相談受付
0.4
保険商品取扱(新規契約、販売促進等)
4.4
営業店混雑状況照会、窓口予約 2.7
対象: 預金取扱金融機関(銀行、信金、信組等)
有効回答先数: 485先
基準日: 平成26年3月末
証券仲介(買付、売付等) 1.8
(出所)FISC「金融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10月)
Ⓒ2014 FISC All rights reserved
19
(参考)銀行のコンピュータシステムのあゆみ
西暦年
情報処理技術
1965
75
70
第3世代コンピュータ
○IC(集積回路)を利用
○磁気ディスク
産業界
85
△衛星通信(CS)
家 庭
バ
ン
キ
ン
グ
シ
ス
テ
ム
目的
特徴点
○省力化
○事務効率化
第2次オンライン
○合理化
○顧客サービス強化
○単科目処理
○主要科目連動処理・
・元帳のオンライン化
総合口座の出現
・自動振替のセンター集中 ○銀行間オンラインCD
の提携
△CD
△地銀
オンライン
行内ネットワーク
・ネットワーク
△全銀
△ATM
ネット
ネット
銀行間ネットワーク
ネットワーク接続先の拡大
→
△フレームリレー
△PHS
△ADSL
○IPネットワーク
△FTTH
△IP-VPN
△ATM
(非同期転送モード)
△無線LAN
△ICチップ
△NGN
CALS・EC
インターネット
キャプテン端末
ペイバイホン
2010
○OSS
○Web2.0
○クラウド
○マルチメディア・ネットワーク
LAN/
WAN
OA
第1次オンライン
2000
次世代コンピュータ
○新チップ
○並列処理
○自然言語処理
FB, EDI
データ交換
CAD/CAM
ANSER
開発世代
90
第4世代コンピュータ
○超LSI
○日本語処理
○分散ワークステーション
○GUI
△ISDN
△パケット通信
△デジタルデータ伝送 △高速デジタルデータ伝送
△CS-2
△ポケットベル
△Fax通信サービス
△光ファイバー
△データ伝送
通信技術
80
第3.5世代コンピュータ
○LSI(大規模集積回路)
○データベース
○大規模磁気ディスク
○CUI
iモード等
ホームユース端末
第3次オンライン
L モード
デジタル放送
スマートフォン
ポスト3次オン
○コスト削減
○個人情報保護法
○内部統制
○金融自由化対応
○管理情報等の強化
○対顧客ネット充実
○新商品開発等
○デリバリーチャネルの充実
○統合的リスク管理
○勘定系再構築
○情報系・資金証券系・
国際系・対外接続系の
整備と有機的結合
○基幹システム共同化/
○柔軟性と即応性
アウトソーシングの進展
○ハブ・アンド・スポーク型アーキテクチャ
○サービス指向型アーキテクチャ
○オープン系システム
(SOA)
○デリバリーチャネルと複数システムの連携処理
△SICS,TOCS, △BANCS
ACS,SCS
△コール
産業間ネットワーク
‘87:NIFTY
‘87:PC-VAN
センター
△統合ATM
△電子マネー △インターネットバンキング
△MICS
△POS
PCネットワーク
インターネット
△デビッドカード
△サイバーバンク
(出所)FISC「平成26年版金融情報システム白書」
Ⓒ2014 FISC All rights reserved
20
FISC安全対策基準について
Ⓒ2014 FISC All rights reserved
21
FISCが刊行する主なガイドライン
ガイドライン名
内容
①金融機関等コンピュータシ
ステムの安全対策基準・解説
書 ⇒「FISC安全対策基準」
金融機関等のよりどころとな
るべき共通の安全対策基準
②金融機関等のシステム監査
指針
金融機関等のシステム監査導
入と推進のための手引き
初版 :S62.7
金融機関等でコンティンジェ
ンシープランを策定する際の
具体的な策定方法
初版 :H6.1
③金融機関等におけるコン
ティンジェンシープラン策定
のための手引書
④金融機関等におけるセキュ
リティポリシー策定のための
手引書
金融機関等のセキュリティポ
リシーの定義や対象範囲、策
定方法などの解説
Ⓒ2014 FISC All rights reserved
初版/最新版
初版 :S60.12
第8版 :H23.3
第8版追補 :H25.3
改訂第3版 :H26.3
第3版 :H18.3
第3版追補 :H21.11
第3版追補2:H25.3
初版 :H11.1
第2版 :H20.6
22
FISC安全対策基準の策定の背景
金融機関等に対する社会的要請
安定したサービスの提供
信用秩序維持
技術的貢献
etc…
システム化に内在するリスク
障害時の影響の広域化・深刻化
プライバシー・企業機密の侵害
コンピュータ犯罪
etc…
どのような対策を、どこまでやるべき?
金融機関等にとっての共通的な拠り所・指針
 FISC安全対策基準・解説書
自己責任に基づき講じられるべきもの
適用範囲、対象システム、具体的な方策については、各金融機関等が自社の業
務に即して自主的に判断し、本基準を参考にしながら適切な安全対策を実施す
ることが期待される。
※“自主基準”であるため強制力はありません。また、第三者あるいはFISCによる
「適合性評価認定制度」のようなものもありません。
※金融機関等のあらゆる業態で共通的に利用することを前提としています。
Ⓒ2014 FISC All rights reserved
23
FISC安全対策基準の位置づけ
金融検査マニュアルと安全対策基準
金融検査マニュアル(平成26年3月改正)(別紙2)
I. 経営陣によるシステムリスク管理態勢の整備・確立状況
【検証ポイント】
・システムリスクとは、コンピュータシステムのダウン又は誤作
動等、システムの不備等に伴い金融機関が損失を被るリスク、
さらにコンピュータが不正に使用されることにより金融機関が
損失を被るリスクをいう。
・検査官は、システムリスク管理態勢に問題点が見られ、さらに
深く業務の具体的検証をすることが必要と認められる場合には、
「金融機関等コンピュータシステムの安全対策基準・解説書」
(公益財団法人金融情報システムセンター編)等に基づき確認
する。
経営管理(ガバナンス)
金融円滑化
リスク管理等
法令等遵守態勢
顧客保護等管理態勢
統合リスク管理態勢
自己資本管理態勢
信用リスク管理態勢
資産査定管理態勢
市場リスク管理態勢
流動性リスク管理態勢
オペレーショナルリスク管理態勢
事務リスク管理態勢
システムリスク管理態勢
出所:金融庁(URL:http://www.fsa.go.jp/)より。
Ⓒ2014 FISC All rights reserved
24
FISC安全対策基準の概要
(1)目的
自然災害、機器の障害、不正使用行為等から生ずる金融機関等コンピュータシステムの障害に対し、
● 障害発生を未然に防止すること
● 障害発生時の影響を最小化すること
● 障害から早期の回復を図ること
を目的とする。
(2)対象システム
金融機関等の以下のコンピュータシステムが対象。
● 顧客にオンラインサービスを提供するコンピュータシステム
● 他の金融機関等との決済業務に使用するコンピュータシステム
● 顧客データを扱うコンピュータシステム
● サービスを提供するために金融機関等が顧客に提供するハードウェア、ソフトウェア
※ 上記以外については、主管部署(システム部門、ユーザー部門)を問わず、各金融機関等の
業務の実態に即して、本基準を適宜取り入れることとする。
(3)基準項目数
設備基準(138項目)、運用基準(115項目)、技術基準(53項目)、合計306項目
で構成されている。
Ⓒ2014 FISC All rights reserved
25
(参考)FISC安全対策基準の項目
大項目(見出し)
小項目数
(Ⅰ. コンピュータセンター)
建物、コンピュータ室・データ保管室、電源室・空調機械室
電源設備、空調設備、監視制御設備、回線関連設備
設備基準
(Ⅱ. 本部・営業店等)
建物、サーバー設置場所、インストアブランチ
138項目
(Ⅲ. 流通・小売店舗等との提携チャネル)
コンビニATM
運用基準
技術基準
管理体制の確立、入退管理、運用管理、システム開発・変更
各種設備管理、教育・訓練、要員管理、外部委託管理
デビットカード、オープン系ネットワークを利用した金融サービ
ス、クラウドサービスの利用
(Ⅰ. システム信頼性向上策)
ハードウェアの信頼性向上対策、ソフトウェアの信頼性向上対策
運用時の信頼性向上対策、障害の早期発見・早期回復
災害時対策
115項目
53項目
(Ⅱ. 安全性侵害対策)
データ保護、不正使用防止、不正プログラム防止
Ⓒ2014 FISC All rights reserved
26
FISC安全対策基準の維持・改訂
【改訂の流れ】
諸課題
検討方針案
策定
安全対策
専門委員会
検討方針
承認
安全対策
専門委員会
検討部会
改訂原案
検討・作成
改訂案
審議・承認
【構成メンバー】
FISC会員企業の代表者や有識者から構成される安全対策専門委員会と検討部会が常設機関とし
て、FISC安全対策基準の改訂を継続的に検討・審議。
<専門委員会、検討部会メンバー>
■日本銀行、都銀、地銀、第二地銀、全信協、労金連、農林中金、商工中金、生保、損保、証券、
クレジットカード
■コンピュータメーカー、システムインテグレータ、通信会社
■弁護士、大学教授、研究者
■金融庁(オブザーバー)
Ⓒ2014 FISC All rights reserved
27
FISC安全対策基準の改訂作業の現状について
主な検討テーマ
金融機関におけるサ
イバー攻撃対応態勢
について
改訂のポイント
「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」を踏まえ、サイバー攻
撃の対応態勢の整備について、事前対策、検知策、対応策、教育・訓練に関する基準を新設、
また、インターネットバンキングにおける不正送金防止策や、利用時の注意事項について、
運用基準、技術基準を改訂する予定。
(安全対策基準とは別に、サイバー攻撃の手口や被害の事例、対策例等、金融機関が
サイバー攻撃対策を検討するにあたり、参考となる情報を集約し、情報提供する予定)
金融機関におけるク
ラウドサービス利用
について
「金融機関におけるクラウド利用に関する有識者検討会報告書」を踏まえ、以下の観点から
【運用基準No.108(クラウド利用に関する基準)】の全面改訂を行う予定。
外部委託先による不
正な引出し事例に関
する検討について
不正な引出し事例のヒアリング調査等から得られた対策をもとに、今回の改訂では、暫定対
応として、技術的な対策を対象とし検討を行う。
委託先管理態勢等のガバナンスについては、次年度計画している有識者検討会において議論
し、その結果を踏まえ改訂検討(本格対応)を行う予定。
○クラウド事業者の選定手続きの明確化
○クラウド事業者との安全対策に関する契約内容の明確化
○サービス利用中の情報漏洩防止策
○利用終了時の情報漏洩防止策
○立入監査・モニタリング態勢の整備
<暫定対応における主な検討事項>
○重要なデータへのアクセス制限の対策例
○外部記憶媒体の利用制限、持込み・持出制限の対策例
⇒
等
来年6月末発刊予定
Ⓒ2014 FISC All rights reserved
28
Ⓒ2014 FISC All rights reserved
29