今月のテーマは……
FISCの安全対策基準に対応した
セキュリティリファレンスガイド

早いもので、この連載も丸1年を迎えました。変化の早いITの世界ですが、2024年もより一層皆さまのビジネス拡大につながりそうな「 Google Workspace 」の情報発信をしていこうと思います。本年もよろしくお願いします。今号は、前号に続き、クラウドサービスの利用に抵抗をお持ちのお客さまの不安を少しでも和らげていくためのセキュリティについてお話していきます。

庄司大助(Dandy)
所属:グーグル・クラウド・ジャパン
パートナーエンジニアリング本部
役職:パートナーエンジニア
経歴:大学卒業後、日系の中堅企業のIT部門で、ITインフラ担当者として入社後、自動車系IT企業にて、ネットワークエンジニアを経験。その後、マイクロソフトにて、10年以上にわたり、オンプレミスからクラウドまで幅広くプリセールス活動に従事。現職に至る。
宮崎悦子(Kiki)
所属:グーグル・クラウド・ジャパン
パートナーエンジニアリング本部
役職:パートナーエンジニア
経歴:外資系IT企業でオンプレミス・クラウド製品に関するカスタマーサポートに従事した後、プリセールス活動に従事。得意分野はSaaS、コミュニケーションコラボレーション製品。使っていてワクワクするサービスが好き。

金融機関向けのリファレンスを公開

 さて、私を含め、お正月休み明けのリハビリとして本誌をお読みの皆さまに向けて、前号の内容について簡単に触れておこうと思います。前号では、Google Workspace を利用するに当たり、現状のセキュリティ設定がどうなっているかの状況把握、ならびに、お客さまの環境に対しGoogle がお薦めのセキュリティ設定を教えてくれる「セキュリティの状況」機能を紹介しました。今号では、Google Workspace の個別機能ではなく、もう少し大きな視点で Google Workspace を安心・安全に使っていただくためのガイドについて見ていきたいと思います。Googleが2023年11月に発表しました、金融機関向けのGoogle Cloud、Google Workspace対応セキュリティリファレンスを紹介します。

FISCの安全対策基準に対応

 Google Workspace は組織の大小、業種、業態を問わず、ご利用いただける万能なクラウドサービスなのですが、クラウドサービスそのものが導入されにくい業界があります。その一つが金融業界です。金融業界は、お客さまの資産を安易に侵されることがないよう、安全に資産を守るため、あらゆるシステムを強固に保護するための取り組みをされています。

 このため、銀行・保険・証券・クレジット会社などの金融企業がメンバーの中心となった公益財団法人の金融情報システムセンター(FISC:The Center for Financial Industry Information Systems)が、システム導入、運用に際し、ガイドラインを提供しています。この安全対策ガイドラインを「金融機関等コンピュータシステムの安全対策基準・解説書」と言い、一般的には「FISC安全対策基準」「FISC安対」といった呼び方をしています。

 このガイドラインには、300項目以上にわたり、セキュリティに関する考え方から、具体的に取るべき対策について言及されています。システム導入や運用の際は、このガイドラインに即したサービスなのか? 即した運用が可能か? といった観点で製品選定されることが一般的です。ITパートナーの皆さまも、これを意識したご提案をされているのではないでしょうか。そうした厳しいセキュリティ要件が求められる金融業界に向けて、Google Workspace を安心・安全に使っていただくために、Google のユーザー会であるJapan Google Cloud Usergroup for Enterprise(愛称:Jagu’e’r)の金融分科会からこのFISCの安全対策基準に対応するリファレンスガイドがリリースされました。

▲リファレンスガイドには、FISCの安全対策基準の1項目に対し、これはどういうことを意味しているのかという解説、次にこれに対応するための施策、最後にこれに関する参考文書やWebサイトのURLが記載されている。

◀ 金融機関等コンピュータシステムの安全対策基準・解説書については、こちらを参照ください。

リファレンスガイドの見方と利用法

 では、今回リリースしたリファレンスガイドの中には、何が書かれているのでしょうか?

 リファレンスガイドには、FISCの安全対策基準で触れられている「統制基準」「実務基準」「設備基準」「監査基準」の4パート、300項目以上の内容一つ一つの項目に対し、クラウドサービス事業者である我々 Google のデータセンターでのシステムの安全対策や、クラウドサービスを利用されるお客さまが考慮すべき項目、その実装について記載されています。

 具体的な一例を挙げると、上図の通りです。FISCの安全対策基準の1項目に対し、これはどういうことを意味しているのかという解説、次にこれに対応するための施策、最後にこれに関する参考文書や参考になるであろうWebサイトのURLを記載しています。

 これを見ていただくと、クラウドサービスの利用者であるお客さまが取るべき対策、実装すべき機能が明らかになりますので、安心・安全な環境を作るためのとても有効な資料として活用いただけます。

 また、このリファレンスガイドは、決して金融業界のお客さまに対してのみ有効ということではありません。セキュリティやコンプライアンスに厳格なお客さまなど、他業界の組織もこのFISCの安全対策基準を参考にされていますので、他業界のお客さまにも、このリファレンスガイドに沿ったご提案はとても有効です。さらに、皆さまが日常的にクラウド提案をされる際、お客さまからさまざまな質問を受け、Webのコンテンツから回答を必死に探されていることも多いかと思いますが、一度リファレンスガイドに類似の質問があるかを見ていただくと、スムーズに回答にたどり着けるかもしれません。ぜひ、本ガイドをご活用ください。

 次号は、Google Workspace の個別のセキュリティ機能などに話を戻し、セキュアなIT環境を実現するためのTipsを紹介します。

▲ Google Cloud Blogに公開されている案内。

◀ Google Cloud Blogに公開されているリファレンスガイドに関する詳細はこちらです。

Google Workspace 、Google Cloud は、Google LLC の商標です。