FISC 1

金融分野における情報セキュリティ対策

2005年3月30日(財)金融情報システムセンター （ＦＩＳＣ）

郡山 信mkooriyama@fisc.or.jp

FISC 2

Ⅰ．金融情報システムのセキュリティ対策の動向

Ⅱ．個人情報保護法の全面施行と金融分野の安全対策

Ⅲ．生体認証技術の導入時の考慮点

Ⅳ．金融分野における業務継続のための対策実施状況

FISC 3

ＦＩＳＣの紹介

FISC 4

１．財団法人 金融情報システムセンター（FISC）

◆ FISC＝THE CENTER FOR FINANCIAL INDUSTRYINFORMATION SYSTEMS

◆金融機関・生損保・証券・コンピュータメーカー等の出捐により大蔵省（当時）の外郭団体として設立（１９８４年11月）。

２０００年7月1日より金融庁の所管

◆金融情報システムに関連する諸問題について、金融機関等の協力をもとに総合的な調査研究を行い、金融情報システムの安全性確保のための施策を推進し、金融情報システムの円滑な発展に貢献することを目的としている。

◆会員 ６９８機関（2004年8月1日現在）

FISC 5

２．FISCが刊行する情報セキュリティ関連のガイドライン等

金融分野では下記自主ガイドライン等が自社のセキュリティを実施する際に広く用いられている

金融機関等コンピュータシステムの安全対策基準・解説書（以下 ＦＩＳＣ安全対策規準） （初版1985.12 第６版2003.10)

金融機関等のシステム監査指針 （初版1987.7 第2版2000.07）

金融機関等におけるセキュリティポリシー策定のための手引書 （初版1999.01）

金融機関等におけるコンティンジェンシープラン策定のための手引書 （初版1999.01 第２版2001.10）

FISC 6

Ⅰ.金融情報システムのセキュリティ対策の動向

ー最近のＦＩＳＣ安全対策基準の改定内容からー

FISC 7

１．ＦＩＳＣ安全対策基準とは （策定の背景）

金融機関等を取巻く環境要因

システム化に内在するリスク

①障害時の影響の広域化・深刻化

②プライバシー・企業機密の侵害

③コンピュータ犯罪

システム化に内在するリスク

①障害時の影響の広域化・深刻化

②プライバシー・企業機密の侵害

③コンピュータ犯罪

金融機関等に対する社会的要請

①安全したサービスの提供

②信用秩序保持

③技術的貢献

金融機関等に対する社会的要請

①安全したサービスの提供

②信用秩序保持

③技術的貢献

金融機関等のよりどころとなる共通の安全対策基準が必要金融機関等のよりどころよりどころとなる共通の安全対策基準共通の安全対策基準が必要

FISC安全対策基準FISCFISC安全対策基準安全対策基準

各金融機関はＦＩＳＣ安全対策基準を参照しつつ、自社のコンピュータシステムの安全対策を実施することが期待されている。なお、金融庁の検査マニュアルにおいても、システムリスク管理態勢の確認検査において、管理態勢に問題が見られ、さらに深く業務の具体的検証をすることが必要と認められる場合には、検査官は、ＦＩＳＣ安全対策基準等に基づき行うものとされている。

FISC 8

２．FISC安全対策基準の対象システム

本基準は金融機関等の以下のコンピュータシステムを対象としている。

◆顧客にオンラインサービスを提供するコンピュータシステム

◆他の金融機関等との決済業務に使用するコンピュータシステム

◆顧客データを扱うコンピュータシステム 等

金融機関がサービスを提供するのに必要なコンピュータシステム全般が対象

コンピュータシステムの安全のため、何を実施するかに加えどのように実施する

か（実現手段）について記述

本基準は金融機関等の以下のコンピュータシステムを対象としている。

◆顧客にオンラインサービスを提供するコンピュータシステム

◆他の金融機関等との決済業務に使用するコンピュータシステム

◆顧客データを扱うコンピュータシステム 等

金融機関がサービスを提供するのに必要なコンピュータシステム全般が対象

コンピュータシステムの安全のため、何を実施するかに加えどのように実施する

か（実現手段）について記述

FISC 9

1. 自家発電設備は、電力会社から供給されている商用電源が停電した場合、ディーゼル機関またはガスタービン等の原動機により発電機を駆動させ、自動的に電圧確立および投入が行われ

て送電する電源設備である。 自家発電設備の構造、性能等については、商用電源が停電した場合に自動的に電圧確立およ

び投入が行われるまでの所要時間は 40秒以内とされるなど、自家発電設備の基準（昭和 48年消防庁告示第１号）において定められている。

2. 蓄電池設備は、蓄電池と充電器を組み合わせ、商用電源が停電したとき自動的に蓄電池設備側に切り替えて送電し、復旧したときは自動的に商用電源側に切り替える電源設備である。 蓄電池設備の構造、性能等については、蓄電池設備の基準（昭和 48年消防庁告示第２号）において定められている。

【途中省略】 5. 非常時に自家発電設備や蓄電池設備が正しく機能するよう、定期的に点検すること。 ① 自家発電設備 ・燃料容量（運転可能時間・補給体制の確認を含む） ・冷却水 ・動作確認 ② 蓄電池設備 ・蓄電池容量 ・蓄電池更改時期

【関連ガイドライン等】

システム監査指針

JIS X 5080 7.2.1 7.2.2

検査マニュアル システムリスク編 Ⅴ.1.(1).①.ｲ

検査マニュアル システム統合編

適 用 区 分

セ 本 提 ダ

◎

設 64 自家発電設備、蓄電池設備を設置すること。

停電時でもコンピュータシステムを継続して稼働させるため、自家発電設備および蓄電

池設備を設置すること。

参照法令 消防法施行規則第 12条第４号、昭和 48年消防庁告示第 1号、第 2号

電源設備

何をするか

基準項目の例

運６４自家発電設備・蓄電池設備の設置

どのようにするか

（実現方法）

FISC 10

３．ＦＩＳＣ安全対策基準とＸ５０８０の特徴

JIS X 5080は情報の機密性・完全性・可用性・信頼性・遵守性を中心に記述

ＦＩＳＣ安全対策基準はコンピュータシステムに着目し、設備・運用・技術の観点から記述また、システム開発のライフサイクル（SDLC）についても記述

FISC 11

ＦＩＳＣ安全対策基準

ＪＩＳ Ｘ５０８０

☆ＪＩＳ X 5080にはあってＦＩＳＣ安全対策基準にはない項目

• 職員採用時の審査及びその個別方針• 雇用条件などの組織文化役割の相違に伴う記述• 暗号技術の輸出入に関する記述

☆ FISC安全対策基準の記述レベルが低い項目• 証拠の収集等、従来とられていた性善説に基づく運用との相違

☆ＦＩＳＣ安全対策基準にはあってＪＩＳ X 5080にはない項目

• ATMコーナの安全対策等、金融業務に関する記述• コンピュータシステムの運用に関する記述• コンピュータシステムのドキュメンテーションに関する記述（注）

☆ＪＩＳ X 5080 の記述レベルが低い項目• コンピュータシステムの開発に関する記述• 外部委託に関する記述（計画・選定条件・監督）

４．ＦＩＳＣ安全対策基準とＸ５０８０の比較

注）ドキュメンテーション に関する記述はJIS X 5080にはないが、BS7799 part2に該当するISMS認証基準にはある。

FISC 12

５．改訂履歴

初版策定

１９８５年１２月 「FISC安全対策基準」

１９８６年３月 「FISC安全対策基準解説書」

第２版

１９９１年２月 「FISC安全対策基準」及び「同解説書」

第３版

１９９８年７月 「FISC安全対策基準」及び「同解説書」

第４版

２０００年７月 「FISC安全対策基準」及び「同解説書」

第５版

２００１年９月 「FISC安全対策基準」及び「同解説書」

第６版

２００３年１０月 「FISC安全対策基準・解説書」

第６版追補

２００５年３月 「FISC安全対策基準・解説書」

FISC 13

６．ＦＩＳＣ安全対策基準の最近の改定内容 （１）

金融機関やメーカ等会員企業の代表者や学識経験者からなる常設の委員会にて継続的に見直しを実施情報システムに関連した時々の課題について検討・改定

前回改定（2003年10月）時の主な検討項目情報セキュリティに対する経営層の関与のあり方金融機関経営再編に伴うシステム統合リスク

コンティンジェンシープラン９．１１テロ、イントラネット進展

アウトソーシングの進展に対応したマネジメントシステム開発・運用のアウトソーシング共同システムの進展

サイバーテロ対策９．１１テロ

FISC 14

６．ＦＩＳＣ安全対策基準の最近の改定内容（２）

今回（２００５．３改定時の主な検討項目個人情報保護個人情報保護法の全面施行情報漏えい事故

生体認証情報の管理生体認証への関心の高まり生体認証情報は究極の個人情報

次回改定に向けての主な検討項目（予定）偽造キャッシュカード対策偽造キャッシュカード犯罪の急増

情報資産の事故に対応した業務継続計画個人情報保護法対応

オープン系システムのリスク管理オープン系システムによる基幹システム

FISC 15

Ⅱ．個人情報保護法全面施行と金融分野の安全対策

FISC 16

１．金融分野における個人情報保護ガイドライン等の体系

金融分野における個人情報保護に関するガイドライン

安全管理措置等についての実務指針（別冊）

事業者自ら、もしくは関係団体が自主的に示す安全対策基準等

＜・・・

＜・・・

＜・・・

個人情報保護法政令、基本方針

実務

第10条：安全管理措置第11条：従業者の監督第12条：委託先の監督

＜・・・事業分野共通のミニマム・スタンダード

金融分野（銀行、信金・信組、生損保、証券等）における事業者が講ずべき措置の適切かつ有効な実施を図るための指針

安全管理措置等の具体的措置

各協会自主ガイドラインFISC安全管理基準 等

FISC 17

２．情報漏えい対策を実施する上での課題

金融取引に関する情報のほとんどが個人情報

守るべきデータの種類が膨大

処理のほとんどがシステム化され互いに連携

システムの運用管理・利用管理が重要

情報システムの開発・運用のアウトソーシング化、共同システム化

当事者の拡大

FISC 18

３．（対応のポイント） 守るべき情報資産の特定

管理台帳の整備

個人データの項目・目的・保管場所・保管期限・管理部署・アクセス制限について記載

（作成例）

コンピュータシステム上のデータ

サブシステム（科目等）単位のデータベースについて項目を抽出

同一データベースであるが、バックアップデータの隔地保管のように保管場所や方法が異なる場合は明記

帳票

帳票単位に台帳を作成

管理方法や保管期限等は事務マニュアル等から作成

管理台帳の作成過程でリスクの所在が明確になる管理手順が定まっていないデータ

漏えい防止策が十分でないデータ 等

FISC 19

４．（対応のポイント） 漏えい防止技術の導入

蓄積データの漏えい防止ノートＰＣ・渉外端末の漏えい防止

不要なポート（ＵＳＢ，ＦＤＤ，ＣＤ－Ｒ等）の閉鎖

暗号化、アクセス制御ツールの採用

バックアップデータの暗号化

伝送データの漏えい防止伝送データの暗号化専用線の安全性

拠点内のLANの扱い

ウイルス対策セキュリティパッチの適用手順

適用サイクル公開サーバ・データベースサーバ

ATM等専用端末の対策

FISC 20

５．（対応のポイント） 外部委託の管理

個人情報取扱に関する外部委託の識別システム運用システム開発データエントリー帳票・媒体の搬送データの保管帳票・媒体・機器の廃棄

契約書の記載事項の確認監督・監査・報告書徴収に関する権限

外部委託業務の定期的確認確認状況の記録議事録の保管

FISC 21

Ⅲ．生体認証技術の導入時の

考慮点

FISC 22

１．生体認証とは

身体的特徴を使って本人を認証する機能

利用される身体的特徴の例静脈

虹彩

指紋 等

最近ＡＴＭ取引での認証用に導入

FISC 23

２． 生体認証の基本的フロー

登録処理

認証処理

データ入力 前処理 特徴抽出

データ入力 前処理 特徴抽出

ＩＣカードまたは

データベース

判定

FISC 24

３．個人情報としての生体認証情報

個人の身体的特徴である生体認証情報は究極の個人情報（機微情報）

生体認証の方式によって管理責任が異なるホスト照合方式生体認証情報の管理責任は金融機関

トークン方式（ＩＣカード方式）生体認証情報の管理は基本的に顧客

しかし、登録・照合時のデータの扱いに関し金融機関に管理責任が発生する場合あり

FISC 25

４．情報のライフサイクル上での生体認証情報の管理

●生体認証情報の取扱い手順

（１）取得

①顧客の同意

②厳正な本人確認の実施

③本人確認に必要な生体認証情報のみの取得

（２）入力

①テンプレートの登録

②顧客への周知

③サンプルデータの消去

（３）利用

①暗号化

②暗号鍵の管理

（４）保存

①テンプレートの保存

②暗号化

③暗号鍵の管理

（５）消去

（６）トークンの取扱管理

FISC 26

５．生体認証導入時の考慮点

認証精度

しきい値の設定

代替措置の手続き

否認防止

不正認証（なりすまし）防止

テンプレート保護

取り消し可能な生体認証(Cancelable Biometrics)

FISC 27

Ⅳ．金融分野における業務継続のための対策実施状況

業務継続計画回線・電力設備バックアップセンターテロ対策

調査方法：アンケート調査対象：銀行、信用金庫、信用組合生保、損保、証券、クレジット 等 （有効回答 約６００）

FISC 28

１．災害時等の業務継続計画の作成状況

0% 20% 40% 60% 80% 100%

(大手銀行)

2003.3

2001.3

1999.3

1996.3

承認された基本方針

社内規程の一部

作成中・計画中

作成予定なし　

業務継続計画の作成率はＹ２Ｋの対応を境に向上した。

最近では９．１１を契機に作成率が向上したと思われる。

大手銀行においては災害等でコンピュータシステムが停止した場合を想定した業務継続計画をほぼ作成済。

FISC 29

２．重要通信回線の複数化の実施状況

0% 20% 40% 60% 80% 100%

(大手銀行)

2003.3

2001.3

1999.3

1996.3

実施済

一部実施

計画中

未実施

多くの金融機関では専用線の予備としてＩＳＤＮ回線を設置するなどの対策がなされており、限定的な回線障害にはある程度対応が可能と考えられる。

FISC 30

３．自家発電設備（コンピュータセンター）設置状況

0 20 40 60 80 100 120

2003.3

2001.3

1999.3

1996.3

実施済

一部実施

計画中

未実施

％

２００１年度の調査でほぼ全ての金融機関での設置を確認できたことから、２００３年度は調査対象外とした。

コンピュータセンターでの自家発電設備の設置率は高く、一時的な停電が金融機関全体の業務停止につながる可能性は低い。

FISC 31

４．自家発電設備（営業店）設置状況

0% 20% 40% 60% 80% 100%

(大手銀行)

2003.3

2001.3

1999.3

1996.3

実施済

一部実施

計画中

未実施

営業店での自家発電設備の設置率も年々上昇している。

しかし、全ての金融機関の営業店で自家発電設備を設置している状況ではなく、停電地域の営業店では業務が一時中断される可能性はある。

FISC 32

５．バックアップセンター設置状況

0% 20% 40% 60% 80% 100%

(大手銀行)

2003.3

2001.3

1999.3

1996.3

実施済

一部実施

計画中

未実施

大手銀行ではほぼ全行が対応。

しかし、全体でみると設置している金融機関は約半分。

最近は金融機関の統合により、一方のコンピュータセンターをバックアップセンターとして再利用する場合もある。

FISC 33

７．テロ（物理的破壊行為）対策状況

0% 20% 40% 60% 80% 100%

(大手銀行）

2004.3

2003.3

2002.3

対策あり

検討中

対策なし

大手銀行では物理的テロを想定した対策が行われている。

FISC 34

８．テロ（ネットワークを介在した破壊行為）対策状況

0% 20% 40% 60% 80% 100%

(大手銀行）

2004.3

2003.3

2002.3

対策あり

検討中

対策なし

物理的テロ対策と比べネットワーク経由の破壊を想定したテロ対策はこれから。

ただし、別の調査によるとインターネットのアクセス制御はほぼ１００％実施。

FISC 35

ご清聴ありがとうございましたご清聴ありがとうございました