クラウドの設定不備を常時監視！クラウドセキュリティ統制支援サービスがFISC安全対策基準に対応

ラックが提供する「クラウドセキュリティ統制支援サービス」に、このたび日本国内の金融機関は対応が必須となっている「FISC安全対策基準」向け機能を追加しました。

このアップデートにより、金融機関がパブリッククラウドを利用する際に必要となるクラウドセキュリティ対策の手間が減り、セキュリティも強固になります。

クラウドセキュリティ統制支援サービスとは

クラウドセキュリティ統制支援サービスは、パブリッククラウドを安全・安心に活用するためのサービスです。パブリッククラウドの活用にあたっては、クラウドレイヤーのセキュリティ対策が必須ですが、クラウドレイヤーの設定を一つ一つ手作業でチェックするのは簡単ではありません。

このサービスは、クラウド活用におけるセキュリティ設定に不備がないかを常時監視するため、パロアルトネットワークス社の「Prisma Cloud」に、ラック独自の運用サービスを付加し、サービスとして提供するものです。2020年11月のリリース以降、多くの問い合わせがあり、多くの企業が採用しています。

日本国内の金融機関で求められるクラウドセキュリティ対策

クラウドセキュリティ統制支援サービスでは、パロアルトネットワークス社によりPrisma Cloudに組み込まれた業界標準の各種ポリシーに加えて、ラックが持つセキュリティの知見を生かした「ラックオリジナルポリシー」を組み込み、企業のクラウドセキュリティの向上を支援します。ラックオリジナルポリシーは、業種・業界を問わず活用いただけます。

一方、日本国内の金融機関では、以前からシステム開発にあたって公益財団法人金融情報システムセンター（FISC）の「金融機関等コンピュータシステムの安全対策基準」（以下、FISC安全対策基準）への準拠を必須としています。FISC安全対策基準の内容は、統制・実務・設備・監査の4つの基準に分類されますが、パブリッククラウドをシステムとして採用する場合、クラウド上の設定で対応が必要になる基準は、この中の「実務」にあたります。

しかしながら、これらを一つ一つ独自に実装するのは手間がかかるため、効率的に対応するための仕組みが必要です。

FISC安全対策基準対応機能とは

ラックは、クラウドセキュリティ統制支援サービスに、FISC安全対策基準向け機能を実装しました。FISC安全対策基準内の実務基準のうち、アクセスの制御、ネットワーク内流通データの暗号化、保管データの暗号化といったクラウド上での設定、つまりCSPMに関連する部分を自動かつリアルタイムで検知する仕組みが、FISC安全対策基準対応機能です。

これらの機能は、Prisma Cloudに対するラックオリジナルポリシーの拡張として提供します。この機能は2021年12月のリリース時点で60個のポリシーにより実装しており、例えば実務基準上の実1項目の1つであるパスワード伝送の暗号化や、実3項目の1つである暗号化技術が陳腐化していないかなどをチェックするポリシーとなっています。

FISC安全対策基準向け機能の採用によって、これらのポリシーを企業の環境に組み込むことができるため、ゼロからの実装でなくてもパブリッククラウドのセキュリティレベルを上げることが可能です。クラウドセキュリティ統制支援サービスの標準機能を利用する契約のお客様には、追加費用なしで提供します。

今回のサービスのアップデートにより、Prisma Cloudに組み込まれたコンプライアンス、サービス開始時から提供しているラックのオリジナルポリシー、FISC安全対策基準の3段構えでの対策が可能になります。

日本国内の金融機関のお客様では、各システムはFISC安全対策基準への対応が必須となるケースが多く、クラウド環境も例外ではありません。

クラウドセキュリティ統制支援サービスでは、ラックによるFISC安全対策基準をベースとしたオリジナルポリシーの組み込みにより、お客様の監査対応やセキュリティ準拠対応をお手伝いします。

金融機関での今後のクラウド活用に向けて、ぜひ「クラウドセキュリティ統制支援サービス」の導入を

ラックでは、企業のデジタルトランスフォーメーション（DX）推進にあたり、パブリッククラウドの活用は必須と考えています。同時に、パブリッククラウドの活用でも、セキュリティ対策は必須です。この機能により、金融業界のパブリッククラウド活用を推進していきたいと考えています。

パブリッククラウドを安心・安全に利用するために、ラックのクラウドセキュリティ統制支援サービスをご活用ください。