# FISC 安全対策基準 実務基準の対策
## 金融ワークロードベストプラクティス [勘定系] サンプルアプリケーション
この表には FISC 安全対策基準(第 10 版)の実務基準に対する BLEA for FSI での対策についてのみ記載しています。総合的なシステム全体の安全対策に関しては、ユーザーアプリケーション側の実装とシステム運用・開発プロセス等での対策を含めて検討して下さい。
| 実務基準番号 | 共通統制環境(ガバナンスベーステンプレート)の対策内容 | 金融ワークロード
テンプレートの対策内容(勘定系) | 使用者側での追加の対策の例/考慮事項 |
| ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------- |
| 実 1 | \- AWS IAM Identity Center のパスワードポリシーによる AWS 利用ユーザーの保護 | \- AWS Identity and Access Management (IAM)ロールの一時クレデンシャルを用いた各リソースへのアクセス | |
| 実 2 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 3 | \- AWS Control Tower ガードレールによる保護(Amazon EBS の暗号化、Amazon S3 バケットの保護、Amazon RDS データベースの保護) | \- AWS Key Management Service (AWS KMS)による暗号化 | |
| 実 4 | \- Amazon S3 バケットへの TLS 必須
\- Amazon SNS Topic への SNS 必須 | \- AWS Direct Connect を用いた閉域接続 | \- アプリケーションとの通信は利用者側で TLS による暗号化を実装 |
| 実 5 | \- Amazon S3 バケットの IAM ポリシーおよびリソースポリシーによるアクセス元の制御 | \- IAM によるアクセス制御 | |
| 実 6 | 対象外(業務アプリケーションでの対策) | \- Amazon DynamoDB の PITR 有効化 | |
| 実 7 | 対応策は実 4 と同じ | \- オープンネットワークを介するデータ伝送がないのため対象外 | |
| 実 8 | \- AWS IAM Identity Center での MFA の有効化
\- AWS Control Tower ガードレールの有効化(IAM ユーザーの MFA 有効化、ルートユーザーの MFA 有効化) | 対象外(業務アプリケーションでの対策) | |
| 実 9 | \- AWS Control Tower ガードレールの有効化(ルートユーザーに対する保護) | \- IAM ロールの一時クレデンシャルを用いた各リソースへのアクセス | |
| 実 10 | \- (オプション)
特定 Amazon S3 バケットに対する AWS CloudTrail データイベントログの取得 | \- VPC フローログの取得
\- Application Load Balancer のアクセスログ作成の有効化 | |
| 実 11 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 12 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 13 | \- AWS Key Management Service による暗号化鍵の保護 | \- AWS KMS による暗号化鍵の保護 | |
| 実 14 | \- Amazon GuardDuty による VPC ネットワークの保護 | \- AWS WAF を Application Load Balancer に適用
\- VPC エンドポイントの利用 | |
| 実 15 | \- AWS Control Tower ガードレールの有効化(Security Group の設定のチェック) | \- VPC エンドポイントの利用 | |
| 実 16 | \- Amazon GuardDuty による VPC ネットワークの保護 | 対象外(業務アプリケーションでの対策) | |
| 実 17 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | \- 異常取引検知はアプリケーションでの実装 |
| 実 18 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | 対応策は実 17 と同じ
\- 異常取引検知はアプリケーションでの実装 |
| 実 19 | \- AWS CloudTrail による証跡(マルチリージョン、マルチアカウント)
\- AWS Config による設定の履歴管理(マルチリージョン、マルチアカウント)
\- AWS Control Tower ログ集約アカウントへの監査ログの集約と保護 | 対象外(業務アプリケーションでの対策) | |
| 実 20 | 対象外(管理・運用プロセスでの対策) | \- Amazon ECR ベーシックスキャンの有効化 | \- Amazon Inspector による ECR コンテナイメージ/EC2 の脆弱性スキャン機能を利用可能 |
| 実 21 | 対象外(管理・運用プロセスでの対策) | 対応策は実 20 と同じ
\- Amazon ECR ベーシックスキャンの有効化 | |
| 実 22 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 23 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 24 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 25 | \- IAM ポリシーにより最小限の権限のみ付与 | IAM ポリシーにより最小限の権限のみ付与 | |
| 実 26 | 対応策は実 1 と同じ
\- AWS IAM Identity Center のパスワードポリシーによる AWS 利用ユーザーの保護 | 対象外(管理・運用プロセスでの対策) | |
| 実 27 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 28 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 29 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 30 | \- 暗号化鍵の管理は Key Management Service を利用 | \- 暗号化鍵の管理は Key Management Service を利用 | \- 鍵のローテーションはユーザー側の運用として定義すること |
| 実 31 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 32 | 対象外(管理・運用プロセスでの対策) | 対応策は実 20 と同じ
\- Amazon ECR ベーシックスキャンの有効化 | |
| 実 33 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 34 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 35 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 36 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 37 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 38 | (オプション)
\- AWS System Manager セッションマネージャーの S3 ロギング有効化
\- 特定 S3 バケットに対する AWS CloudTrail データイベントログの取得 | 対象外(管理・運用プロセスでの対策) | |
| 実 39 | 対象外(業務アプリケーションでの対策) | \- Amazon Aurora の自動バックアップ
\- DynamoDB の PITR 有効化
\- ECR のクロスリージョンレプリケーション有効化 | |
| 実 40 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 41 | 対象外(管理・運用プロセスでの対策) | \- ECR のクロスリージョンレプリケーション有効化 | |
| 実 42 | \- AWS Cloud Development Kit (AWS CDK)の利用
\- AWS Config により設定変更履歴の管理 | \- AWS Cloud Development Kit (AWS CDK)の利用 | |
| 実 43 | 対応策は実 42 と同じ
\- AWS Cloud Development Kit (AWS CDK)の利用
\- AWS Config により設定変更履歴の管理 | 対応策は実 42 と同じ
\- AWS Cloud Development Kit (AWS CDK)の利用 | |
| 実 44 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 45 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 46 | 対象外(業務アプリケーションでの対策) | \- Amazon CloudWatch を用いた Application Load Balancer や Aurora、DynamoDB、Amazon Elastic Container Service (Amazon ECS)リソースのモニタリング | |
| 実 47 | 対象外(業務アプリケーションでの対策) | 対応策は実 46 と同じ
\- Amazon CloudWatch を用いた Application Load Balancer や Aurora、DynamoDB、Amazon Elastic Container Service (Amazon ECS)リソースのモニタリング | |
| 実 48 | (オプション)
\- AWS Systems Manager を使って EC2 インスタンスを集中管理する | \- ECR によるコンテナイメージ管理 | |
| 実 49 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 50 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 51 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 52 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 53 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 54 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 55 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 56 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 57 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 58 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 59 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 60 | 対象外(AWS クラウド側で対策済み) | 対象外(AWS クラウド側で対策済み) | |
| 実 61 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 62 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 63 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 64 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 65 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 66 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 67 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 68 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 69 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 70 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 71 | 対象外(管理・運用プロセスでの対策) | \- リージョン切り替え方針の解説 | |
| 実 72 | 対象外(業務アプリケーションでの対策) | \- VPC フローログの取得
\- Application Load Balancer のアクセスログ作成の有効化
\- Amazon CloudWatch を用いた Application Load Balancer や Aurora、DynamoDB、Amazon Elastic Container Service (Amazon ECS)リソースのモニタリング | |
| 実 73 | 対象外(管理・運用プロセスでの対策) | \- マルチリージョン構成の構築 | |
| 実 74 | \- 大阪リージョンへのガバナンスベースのデプロイ | \- セカンダリリージョンの構築 | |
| 実 75 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 76 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 77 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 78 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 79 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 80 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 81 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 82 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 83 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 84 | 対象外(AWS クラウド側で対策済み) | \- マルチリージョン/マルチアベイラビリティーゾーン構成の構築
\- 高い可用性を備えている AWS マネージドサービスの利用 | |
| 実 85 | 対象外(AWS クラウド側で対策済み) | \- マルチリージョン/マルチアベイラビリティーゾーン構成の構築
\- 高い可用性を備えている AWS マネージドサービスの利用 | |
| 実 86 | 対象外(AWS クラウド側で対策済み) | \- マルチリージョン/マルチアベイラビリティーゾーン構成の構築
\- 高い可用性を備えている AWS マネージドサービスの利用 | |
| 実 87 | 対象外(AWS クラウド側で対策済み) | \- マルチリージョン/マルチアベイラビリティーゾーン構成の構築
\- 高い可用性を備えている AWS マネージドサービスの利用 | |
| 実 88 | 対象外(AWS クラウド側で対策済み) | \- マルチリージョン/マルチアベイラビリティーゾーン構成の構築
\- 高い可用性を備えている AWS マネージドサービスの利用 | |
| 実 89 | \- IAM によるアクセス制御
\- KMS によるデータの暗号化
\- TLS によるデータ転送時の暗号化
\- AWS CloudTrail による証跡
\- Amazon GuardDuty による不正アクセスの監視
\- AWS SecurityHub によるアラートの集約とセキュリティチェック
\- AWS Control Tower ガードレールによるシステムの保護と統制の適用 | \- IAM によるアクセス制御
\- IAM ロールの一時クレデンシャルを用いた各リソースへのアクセス
\- KMS による暗号化 | |
| 実 90 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 91 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 92 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 93 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 94 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 95 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 96 | 対象外(開発プロセスでの対策) | 対象外(開発プロセスでの対策) | |
| 実 97 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 98 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 99 | \- デフォルトセキュリティグループの閉塞(自動) | 対象外(業務アプリケーションでの対策) | |
| 実 100 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 101 | 対象外(業務アプリケーションでの対策) | 対応策は実 46 と同じ
\- Amazon CloudWatch を用いた Application Load Balancer や Aurora、DynamoDB、Amazon Elastic Container Service (Amazon ECS)リソースのモニタリング | |
| 実 102 | 対象外(業務アプリケーションでの対策) | 対応策は実 46 と同じ
\- Amazon CloudWatch を用いた Application Load Balancer や Aurora、DynamoDB、Amazon Elastic Container Service (Amazon ECS)リソースのモニタリング | |
| 実 103 | 対象外(業務アプリケーションでの対策) | 対応策は実 46 と同じ
\- Amazon CloudWatch を用いた Application Load Balancer や Aurora、DynamoDB、Amazon Elastic Container Service (Amazon ECS)リソースのモニタリング | |
| 実 103 - 1 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | - 検証時の障害の再現には AWS Fault Injection Simulator の活用を検討 |
| 実 104 | 対象外(業務アプリケーションでの対策) | \- リージョン切り替え方針の解説 | |
| 実 105 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 106 | 対象外(AWS クラウド側で対策済み) | \- Amazon Aurora の自動バックアップ
\- DynamoDB の PITR 有効化
\- ECR のクロスリージョンレプリケーション有効化 | |
| 実 107 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 108 | 対象外(管理・運用プロセスでの対策) | 対象外(管理・運用プロセスでの対策) | |
| 実 109 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 110 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 111 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 112 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 113 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 114 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 115 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 116 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 117 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 118 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 119 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 120 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 121 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 122 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 123 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 124 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 125 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 126 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 127 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 128 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 129 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 130 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 131 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 132 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 133 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 134 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 135 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 136 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 137 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 138 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 139 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 140 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 141 | 対象外(業務アプリケーションでの対策) | 対象外(業務アプリケーションでの対策) | |
| 実 142 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 143 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 144 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 145 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 146 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 147 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |
| 実 148 | 対象外(本リファレンスアーキテクチャの対象外) | 対象外(本リファレンスアーキテクチャの対象外) | |