金融機関向け「Google Cloud」対応セキュリティ リファレンスの公開
西岡 典生
パートナーエンジニアリング本部 技術部長, グーグル・クラウド・ジャパン合同会社
金融機関向け「Google Cloud」対応セキュリティ リファレンスが 株式会社 野村総合研究所様(以下「NRI」、株式会社 エヌ・ティ・ティ・データ様(以下「NTTデータ」)、SCSK 株式会社様(以下「SCSK」)によって作成され、各パートナー様のサイトで関連記事が公開されました。本リファレンスは、Google Cloud のサイトで公開されているコントロール マッピングの内容をもとに作成されています。本リファレンスは、公益財団法人金融情報システムセンター(以下「FISC」)の「金融機関等コンピュータシステムの安全対策基準」 (以下「FISC 安全対策基準」)第 9 版令和 2 年 3 月版に対応しています。コントロール マッピングは FISC 安全対策基準に対する Google Cloud の対応をまとめた資料ですが、本リファレンスにはガイドラインの要求事項を満たすためのお客様向け考慮事項やお客様が活用できる Google Cloud のサービスが含まれています。金融機関や金融サービスの提供事業者は本リファレンスを参照し、ガイドラインの要求を満たすための運用体制の整備やサービス開発を行うことが可能となります。
金融機関が準拠すべきガイドライン
金融機関は、金融庁の監督指針や検査マニュアル、FISC 安全対策基準などの基準を満たさなければ金融機関内でクラウドを利用することは難しいとされています。そのため、金融機関におけるクラウド サービスの活用促進のためには、FISC 安全対策基準の各項目に対して、対象とするクラウド サービスの対応状況を確認・整理した対応表などを参照することが望まれてます。
金融機関等コンピュータシステムの安全対策基準・解説書(第 9 版令和 2 年 3 月版)
Google Cloud の対応
Google Cloud は、直接的に金融システム等に該当しません。Google Cloud は金融システム自体ではなく、金融システム等の構築に用いられる IT インフラ関連サービスを提供します。しかしながら、IT ベンダーや金融機関等は、Google Cloud の利用に際し金融システム等に必要なコンピューティング資源や役務を提供する立場であるため、Google Cloud を利用する場合は FISC 安全対策基準に準拠する必要があります。そのため、Google Cloud は、 FISC 安全対策基準のガイドラインに基づく情報提供の⼀環として Google Cloud が講じている 安全管理措置の概要を⽰すため、 FISC 安全対策基準の記載事項に関する「Google の対策」をコントロール マッピング ※1 として公開しています。自らが講じているリスク対応状況について、金融機関や金融システム等を提供する事業者が最低限実施すべき必須の安全管理策に基づいてコントロール マッピングとして整理しています。
※1 FISC 安全対策基準の基準項目の内容はコントロール マッピングの資料には含まれません。基準項目を参照するには別途 FISC のサイト で FISC 安全対策基準を購入いただく必要があります。
金融機関向け「Google Cloud」対応セキュリティ リファレンスの公開
FISC 安全対策基準のガイドラインが求める要求事項に金融機関や金融サービスの提供事業者が応えるため、Google Cloud のお客様が利用できる資料を NRI 様、NTTデータ 様、SCSK 様に公開いただきました。
金融機関向け「Google Cloud」対応セキュリティ リファレンス
概要:Google Cloud が発表しているコントロール マッピングの内容をもとにFISC 安全対策基準のガイドラインが要求している事項への対応を検討するにあたり、Google Cloud が提供するセキュリティ機能などを踏まえ、留意すべき事項をまとめたもの
想定利用者:Google Cloud 上に金融システム・サービスを構築し、提供する金融機関・ IT ベンダー・システム開発会社、および Google Cloud の講じている安全管理措置の内容を把握したい金融機関等の関係者
グーグル・クラウド・ジャパン 上級執行役員 パートナー事業担当の 石積 尚幸は、次のように述べています。
「業界に知見のある NRI 様、NTTデータ 様、SCSK 様作成の本リファレンスの公開によって、金融機関や金融サービスの提供に携わる企業様が、安心安全に Google Cloud を活用することができるようになりました。このリファレンスを活用し、日本の金融市場における DX(デジタル トランスフォーメーション)が更に加速されることを期待しております。」
セキュリティ リファレンスのダウンロードは以下からお願いいたします。
金融サービスを安心・安全にお使いいただくための環境や情報を提供させていただくことで、今後も金融機関や金融システムを提供する事業者を継続的に支援いたします。
なお、本リファレンスは、「Japan Google Cloud Usergroup for Enterprise(愛称:Jagu'e'r)」の分科会である「FISC リファレンス研究分科会」のメンバーである NRI 様、NTTデータ様、SCSK 様 の皆さまと Google Cloud Japan のメンバーで協力し、策定作業を実施しました。今後は Jagu'e'r 金融分科会として新たにスタートしていきます。
更にメンバーを拡充し、多様な課題をお持ちの金融機関のお客様に、多様な視点からベスト・プラクティスを提供していくことにより、日本金融市場における IT 利活用、DX 推進に寄与していきたいと考えております。
Jagu'e'r は、日本において Google Cloud を利用・推進されているお客様やパートナー企業様の相互交流を深め、それぞれの企業が持つ経験やノウハウを共有し合い、クラウドテクノロジーを用いた変革を推進する IT リーダの方々のコミュニケーションを支えることを大きな目的とした、Google Cloud のユーザー会です。2020 年 11 月に設立され、多数の会員企業の皆様とともに、日々活動が推進されています。
Jagu'e'r へは、Google Cloud をご利用中、もしくはパートナーとして推進中の企業様にご所属であればどなたでもご参加できます。分科会では、より深い議論が開始されています。ぜひご参加をご検討ください。
ご参加をご検討される場合は、Google Cloud 貴社担当営業・パートナー マネージャーにお問い合わせください。
