# FISC 安全対策基準 実務基準の対策
## 金融ワークロードベストプラクティス [データ分析プラットフォーム Simple data lake] サンプルアプリケーション
この表には FISC 安全対策基準(第 10 版)の実務基準に対する BLEA for FSI での対策についてのみ記載しています。総合的なシステム全体の安全対策に関しては、ユーザーアプリケーション側の実装とシステム運用・開発プロセス等での対策を含めて検討して下さい。
| 実務基準番号 | 共通統制環境(ガバナンスベーステンプレート)の対策内容 | 金融ワークロードテンプレートの対策内容(分析プラットフォーム Simple data lake ) | 使用者の追加の対策/考慮事項 |
| ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 実 1 | - AWS IAM Identity Center のパスワードポリシーによる AWS 利用ユーザーの保護 | - 以下の認証方式によるアクセスユーザーの保護
・Amazon QuickSight のユーザー認証(AWS IAM / および IAM で適用する SAML 連携 IdP)による認証とパスワードルール機能) | - アクセス時の ID/パスワードの管理は利用者側で対応 |
| 実 2 | 対象外(業務アプリケーションでの対策) | - Amazon QuickSight の IP アドレス制限を利用し、QuickSight にアクセス可能なユーザー環境を制限する | |
| 実 3 | - AWS Control Tower ガードレールによる保護(Amazon EBS の暗号化、Amazon S3 バケットの保護、Amazon RDS データベースの保護) | - Amazon S3 データの AWS Key Management Service による暗号化
- Glue データカタログオブジェクトの暗号化
- IAM ポリシーによる S3 バケットと KMS 鍵へのアクセス制御 | - S3 バケットポリシー および KMS キーポリシーを使った追加の権限制御
- S3 VPC Endpoint ポリシーによる S3 バケットへのアクセス制御
- Amazon QuickSight が提供するダッシュボードのメールレポートや PDF 形式でのエクスポート機能の取り扱いについて検討する
- Amazon QuickSight SPICE データを KMS キーで暗号化する |
| 実 4 | - Amazon S3 バケットへの TSL 必須
- Amazon SNS Topic への SNS 必須 | - VPC Private サブネットでの Amazon Glue Job の実行
- VPC Endpoint による AWS の各種サービスへのアクセス(Amazon S3、AWS KMS、Amazon Glue) | - TLS による業務システムと AWS 間の通信の暗号化 |
| 実 5 | - Amazon S3 バケットの IAM ポリシーおよびリソースポリシーによるアクセス元の制御 | - Amazon S3 バケットへの IAM ポリシーによるアクセス元の制御 | - Amazon S3 バケットポリシー 使った追加の権限制御
- S3 VPC Endpoint ポリシーによる S3 バケットへのアクセス制御 |
| 実 6 | 対象外(業務アプリケーションでの対策) | - 正規化レイヤーでの不要データのフィルタリング(Amazon Glue Job) | 正規化レイヤでの Amazon Glue Job Data Quality(Preview)等を使ったデータの検証 |
| 実 7 | 対応策は実 4 と同じ | 対応策は実 4 と同じ | |
| 実 8 | - AWS IAM Identity Center での MFA の有効化
- AWS Control Tower ガードレールの有効化(IAM ユーザーの MFA 有効化、ルートユーザーの MFA 有効化) | Amazon QuickSight 利用時の IAM ユーザー/ロールと連携したユーザー管理 | Amazon QuickSight のユーザーを Microsoft AD と連携して管理する方法に切り替える |
| 実 9 | - AWS Control Tower ガードレールの有効化(ルートユーザーに対する保護) | 対応策は実 1 と同じ | |
| 実 10 | - (オプション)
特定 Amazon S3 バケットに対する AWS CloudTrail データイベントログの取得 | - Amazon Glue Job 実行時の Amazon CloudWatch Logs へのログ出力
- Amazon QuickSight ダッシュボードアクセスの AWS CloudTrail による監査証跡(管理イベント)
- Amazon S3 データアクセス時のアクセスログの記録
- VPC フローログの取得 | 適時アクセス履歴のチェックを実施 |
| 実 11 | 対象外(業務アプリケーションでの対策) | 対象外(金融取引を行うサービスではないため) | |
| 実 12 | 対象外(業務アプリケーションでの対策) | 対象外(金融取引を行うサービスではないため) | |
| 実 13 | - AWS KMS による暗号化鍵の保護 | - AWS KMS による暗号化鍵の保護 | |
| 実 14 | - Amazon GuardDuty による VPC ネットワークの保護 | 対応策は実 4 と同じ | |
| 実 15 | - AWS Control Tower ガードレールの有効化(Security Group の設定のチェック) | 対応策は実 4 と同じ | |
| 実 16 | - Amazon GuardDuty による VPC ネットワークの保護 | 対象外(アプリケーション側固有の対策はなし) | |
| 実 17 | 対象外(業務アプリケーションでの対策) | 対象外(金融取引を行うサービスではないため) | |
| 実 18 | 対象外(業務アプリケーションでの対策) | 対象外(金融取引を行うサービスではないため) | |
| 実 19 | - AWS CloudTrail による証跡(マルチリージョン、マルチアカウント)
- AWS Config による設定の履歴管理(マルチリージョン、マルチアカウント)
- AWS Control Tower ログ集約アカウントへの監査ログの集約と保護 | 対象外(アプリケーション側固有の対策はなし) | |
| 実 20 | 対象外(管理・運用プロセスでの対策) | AWS Glue が提供する標準ライブラリのみを利用 | Glue Job 実行時に外部ライブラリを利用する場合は、当該ライブラリのバージョン管理を行う必要がある |
| 実 21 | 対象外(管理・運用プロセスでの対策) | AWS Glue が提供する標準ライブラリのみを利用 | Glue Job 実行時に外部ライブラリを利用する場合は、当該ライブラリのバージョン管理を行う必要がある |
| 実 22 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 23 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 24 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 25 | - IAM ポリシーにより最小限の権限のみ付与 | - IAM ポリシーにより最小限の権限のみ付与
-BI(QuickSight) ではデータレイク内標準化済みのデータ(normalized, analytics レイヤー)のみ参照可。raw レイヤーは参照不可としている。 | |
| 実 26 | 対応策は実 1 と同じ
- AWS IAM Identity Center のパスワードポリシーによる AWS 利用ユーザーの保護 | 対応策は実 1 と同じ | |
| 実 27 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | - ID を共有しないなど基本的な IAM の運用を行う |
| 実 28 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 29 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 30 | - 暗号化鍵の管理は AWS Key Management Service を利用 | - 暗号化鍵の管理は AWS Key Management Service を利用 | - AWS KMS 鍵のローテーションはユーザー側にて適切な運用を行う |
| 実 31 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 32 | 対象外(管理・運用プロセスでの対策) | 対応策は実 20 と同じ | |
| 実 33 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 34 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | 生データの S3 へ連携方式と外部接続に関してはユーザー側で対応する |
| 実 35 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 36 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 37 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 38 | (オプション)
- AWS System Manager セッションマネージャーの S3 ロギング有効化
- 特定 S3 バケットに対する AWS CloudTrail データイベントログの取得 | S3 バケット でのサーバアクセスログの出力 | |
| 実 39 | 対象外(管理・運用プロセスでの対策) | S3 バケットによるデータ保管 | 他リージョンへのデータバックアップの必要性について検討 |
| 実 40 | 対象外(管理・運用プロセスでの対策) | Glue Job の Python コードは S3 バケット上で管理される | CodeCommit の利用も必要に応じて検討 |
| 実 41 | 対象外(管理・運用プロセスでの対策) | Glue Job の Python コードは S3 バケット上で管理される | 実 40 と同じ |
| 実 42 | - AWS Cloud Development Kit (AWS CDK)の利用
- AWS Config により設定変更履歴の管理 | - AWS CDK の利用による設定情報のコード化 | |
| 実 43 | 対応策は実 42 と同じ | 対応策は実 42 と同じ | |
| 実 44 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 45 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 46 | 対象外(管理・運用プロセスでの対策) | - Amazon CloudWatch によるモニタリング | |
| 実 47 | 対象外(管理・運用プロセスでの対策) | 対応策は実 46 と同じ | |
| 実 48 | (オプション)
- AWS Systems Manager を使って EC2 インスタンスを集中管理する | 対象外(管理・運用プロセスでの対策) | |
| 実 49 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 50 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 51 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 52 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 53 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 54 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 55 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 56 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 57 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 58 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 59 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 60 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 61 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 62 | 対象外(管理・運用プロセスでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 63 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 64 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 65 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 66 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 67 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 68 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 69 | 対象外(業務アプリケーションでの対策) | 対応策は実 3 と同じ | |
| 実 70 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 71 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 72 | 対象外(業務アプリケーションでの対策) | - Amazon CloudWatch を用いた Glue Job のモニタリング
- CloudTrail による証跡
- VPC フローログの取得
| 有効な Glue Job のログメッセージの考慮 |
| 実 73 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 74 | - 大阪リージョンへのガバナンスベースのデプロイ | AZ 障害への耐性は有しているが、大規模な障害が発生した場合、サービス復旧を待つかセカンダリリージョンへの切り替え等を判断する必要がある。 | |
| 実 75 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 76 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 77 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 78 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 79 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 80 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 81 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 82 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 83 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 84 | 対象外(AWS クラウド側で対策済み) | - AWS マネージドサービスの利用
- AZ 障害への耐性は有しているが、大規模な障害が発生した場合、サービス復旧を待つかセカンダリリージョンへの切り替え等を判断する必要がある | |
| 実 85 | 対象外(AWS クラウド側で対策済み) | 対応策は実 84 と同じ | |
| 実 86 | 対象外(AWS クラウド側で対策済み) | 対応策は実 84 と同じ | |
| 実 87 | 対象外(AWS クラウド側で対策済み) | 対応策は実 84 と同じ | |
| 実 88 | 対象外(AWS クラウド側で対策済み) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 89 | - IAM によるアクセス制御
- KMS によるデータの暗号化
- TSL によるデータ転送時の暗号化
- AWS CloudTrail による証跡
- Amazon GuardDuty による不正アクセスの監視
- AWS SecurityHub によるアラートの集約とセキュリティチェック
- AWS Control Tower ガードレールによるシステムの保護と統制の適用 | - IAM によるアクセス制御
- IAM ロールの一時クレデンシャルを用いた各リソースへのアクセス
- AWS KMS による暗号化
- AWS CloudTrail による証跡 | |
| 実 90 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対応) | |
| 実 91 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対応) | |
| 実 92 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対応) | |
| 実 93 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対応) | |
| 実 94 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対応) | |
| 実 95 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対応) | |
| 実 96 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対応) | |
| 実 97 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 98 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 99 | デフォルトセキュリティグループの閉塞(自動) | EventBridge スケジューラ と AWS StepFunctions による Glue Job の定期実行 | |
| 実 100 | 対象外(管理・運用プロセスでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 101 | 対象外(業務アプリケーションでの対策) | 対応策は実 46 と同じ | |
| 実 102 | 対象外(業務アプリケーションでの対策) | 対応策は実 46 と同じ | |
| 実 103 | 対象外(業務アプリケーションでの対策) | 対応策は実 46 と同じ | |
| 実 103-1 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 104 | 対象外(業務アプリケーションでの対策) | 対応策は実 74 と同じ | |
| 実 105 | 対象外(業務アプリケーションでの対策) | 対象外(金融取引を行うサービスではないため) | |
| 実 106 | 対象外(業務アプリケーションでの対策) | 対応策は実 84 と同じ | |
| 実 107 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 108 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 109 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 110 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 111 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 112 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 113 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 114 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 115 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 116 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 117 | 対象外(業務アプリケーションでの対策) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 118 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 119 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 120 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 121 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 122 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 123 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 124 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 125 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 126 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 127 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 128 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 129 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 130 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 131 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 132 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 133 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 134 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 135 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 136 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 137 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 138 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 139 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 140 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 141 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 142 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 143 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 144 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 145 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 146 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 147 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 148 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |