金融システムのFISC安全対策基準と「特権ID管理」、実現するツールとは

　大手金融機関のクラウド利用やFinTechの台頭を背景に、金融業界では情報システムの管理体制を見直す動きが広がっている。こうした中、FISC（公益財団法人金融情報システムセンター）が刊行する「FISC安全対策基準」の最新版で規定されたのが、「リスクベースアプローチの充足」だ。

　リスクベースアプローチとは、従来のチェックリスト型の監査体制と違い、個々のシステムのリスク特性に応じて対策を講じる体制のことを指す。その必須対策として設けられているのが「基礎基準」という準拠項目群であり、中でも、データ漏えいやシステム不正利用といった人為的に生じる重大なリスクへの対策としては、「特権ID管理」の実施が求められている。

　では、FISC安全対策基準における特権ID管理にまつわる要件項目を満たすには、どうすればよいだろうか。本資料では、FISC安全対策基準の改訂ポイントを踏まえながら、金融情報システムにおける特権ID回りのFISC安全対策基準準拠に向けた管理体制を解説。さらに、その実現を支えるツールを紹介する。