FinalCodeブログ

  • 2017/02/22

金融業界のセキュリティ指針「FISCガイドライン」をクリアするために

金融業界のセキュリティ指針「FISCガイドライン」をクリアするために

米国政府が求める厳しい要件をクリアしたファイル暗号化製品「FinalCode」

金融業界におけるサイバーセキュリティを取り巻く状況は、昨年から引き続き予断を許しません。特に不正送金の被害は年々増加の一途を辿っており、対策が急務だといわれています。フィッシング詐欺によるID/パスワード窃取はもちろんのこと、近年では特定の金融機関にターゲットを絞った標的型攻撃により顧客の個人情報を盗み出し、オンラインバンキングを不正使用する手口が急増しています。加えて、内部犯行による個人情報や機密情報の盗難リスクにも、常に目を光らせておかなければなりません。

こうしたリスクに対処するため、各金融機関は日々セキュリティ対策や情報漏洩対策に追われています。マルウェアの侵入を防ぐための入口対策、情報の外部持ち出しを水際で防ぐための出口対策に加え、近年ではマルウェアの侵入や内部犯行を前提とした「内部対策」に力を入れる金融機関が増えてきています。一例を挙げれば、機密情報が記された重要ファイルのアクセス権限やアクセス履歴を厳密かつ効率的に管理できるセキュリティソリューションの導入が進んでいます。

また、万が一ファイルが外部に流出したとしてもその内容が漏洩しないように、ファイルに暗号化を施して指定されたユーザーしかその内容を参照できないようにするIRM(Information Rights Management)ソリューションを用いた情報漏洩対策の導入も進んでいます。デジタルアーツが提供するファイル暗号化・追跡ソリューション「FinalCode」も、そういったIRM製品の1つです。

金融機関における情報漏洩対策の要件は、一般的に他の業界と比べかなり厳しく、暗号化に求められる要件もハードルが高いといわれています。そんな中、「FinalCode」は米国政府が定める暗号化技術の標準規格「FIPS」の認定を受けており、その信頼性の高さは折り紙つきです。

FIPSは、米国の軍事を除く政府機関、政府委託先、業者などが購買・利用するICT機器が満たすべき暗号化技術標準を定めた規格です。「FinalCode」の暗号化モジュールは、このFIPSが定める「FIPS 140-2」Level 1認定を取得し、Suite-B仕様に対応しています。日本国内でこのFIPSの認定を受けた製品は「FinalCode」を含め2つしかなく、極めて厳しい要件をクリアしていることから、金融機関のように高いレベルのセキュリティ対策が求められる環境でも安心してご利用いただけます。

FISC安全対策基準が定める暗号化技術の要件もクリア

一方、日本国内の金融業界では、情報セキュリティに関する独自の指針が存在しています。それが、公益財団法人 金融情報システムセンター(FISC)が定める「金融機関等コンピュータシステムの安全対策基準・解説書」(FISC安全対策基準)です。FISCは、日本国内の金融システムの安全性向上を目的に1984年に設立された非営利組織で、銀行、保険、証券、クレジット会社など国内の主要金融機関が参画するほか、コンピュータメーカーや通信企業なども多く加盟しています。

このFISCにより、金融機関がシステムを安全に運用するために従うべき指針やガイドラインがまとめられたものがFISC安全対策基準です。金融庁による監査もFISC安全対策基準の内容に沿って行われており、金融システム導入・運用における事実上の業界標準ガイドラインと位置付けられています。その内容はサイバーセキュリティのみならず、システム障害の防止や早期復旧のために打つべき施策が、「設備基準」「運用基準」「技術基準」の3つの観点からそれぞれ規定されています。

セキュリティソフトウェアや暗号化ソフトウェアについては、主に技術基準の項目で満たすべき要件が定義されていますが、「FinalCode」はここでも、暗号化ソフトウェアに求められる要件をすべてクリアしています。具体的には、2013年3月に総務省と経済産業省から公開された最新の「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)で定められた仕様に準拠しています。FISC安全対策基準では、このCRYPTREC暗号リストの要件を満たす暗号化技術の利用が求められており、「FinalCode」はその要件を満たす数少ない製品として位置付けられています。

ただしFISC安全対策基準自体は、前述のように暗号化技術だけではなく、その他のソフトウェア技術やハードウェア技術、運用プロセス、さらには設備に至るまで、極めて広範な領域の取り組みを規定しています。従ってFISC安全対策基準に完全に準拠するためには、「FinalCode」をはじめとするセキュリティツールを導入するだけでなく、さまざまな領域の施策に取り組む必要がある点には注意が必要です。

とはいえファイル暗号化やIRM製品の導入を検討する際には、このFISC安全対策基準が考慮されていることや、先ほど紹介したFIPSを取得しているかどうかは、製品選定の1つの指針となることでしょう。なお「FinalCode」の製品ページでは、このほかにもさまざまな技術や機能について紹介しているので、興味をお持ちの方はぜひご参照ください。
<「FinalCode」製品担当:長島>



資料請求、導入、ご購入に関するお問い合わせ

ご購入や導入方法、資料請求、お見積りについてのお問い合わせは下記で承っております。

▼お電話によるお問い合わせ
03-5220-3090平日 9:00~18:00(土・日・祝日、弊社指定休業日除く)
▼オンラインフォームによるお問い合わせ
資料請求・お問い合わせ

試用版ご利用のお申し込み

SaaS(クラウド版)の「FinalCode」を14日間無料でご試用いただけるライセンスをご用意しております。お気軽にお申し込みください。


お問い合わせ・資料請求

14日間無料試用版ご利用の申込み

このページの先頭へ