とあるエンジニアの作業ブログ

コンサル 金融システム

銀行システムのセキュリティ要件整理

投稿日:2019年2月3日 更新日:

銀行システム/組織のセキュリティ要件を整理する機会がありました。セキュリティはあんまり詳しくないので自分の勉強がてらメモ。

ざっくり結論

銀行システムセキュリティ要件

各評価基準の定義

そもそも各評価基準がどんなものか。

FISC安全対策基準

いわずと知れた公益財団法人 金融情報システムセンター(FISC)で発刊している「金融機関等コンピュータシステムに関する安全対策基準・解説書」の通称です。
日本の金融機関や、そのシステム、データセンタ事業者が準拠すべき安全対策基準がまとまっています。

FFIEC-Cyber Security Assessment Tool (FFIEC CAT)

Cybersecurity Assessment Toolは米国連邦金融機関検査協議会(FFIEC)が、サイバー攻撃の脅威拡大・高度化の現状を受け、金融機関が自組織におけるリスクの識別とサイバーセキュリティの成熟度レベルを評価するために2015年6月に公表したものです。
FS-ISAC(米国金融サービス情報共有分析センター)とFSSCC(米国金融サービスセクター連携協議会)が共同開発したFSSCC Automated Cybersecurity Assessment Toolという自動評価ツール(実態はExcelファイルです)を使えば、質問に答えていくだけで評価結果が得られます。ただし質問数は膨大で範囲もテクノロジーだけでなく組織やガバナンスなど多岐にわたります。

金融庁監督指針

金融庁の用語解説では以下のようになっています。

「監督指針」とは、基本的に、より多面的な評価に基づく総合的な監督体系の構築のため、監督事務の基本的考え方、監督上の評価項目、事務処理上の留意点について、従来の事務ガイドラインの内容を踏まえて体系的に整理し、必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書のことです。

金融庁HP 金融便利帳

つまり、ざっくりいえば「金融庁職員が金融機関を監督する際に、何を正として監督すればよいかがまとまっている教科書」ということですね。
で、別にセキュリティについてだけでなく、ガバナンスとか財務健全性とかそういうとこにまで範囲が及んでおり、情報システムとセキュリティも評価項目の一つになっています。(実際はひとつではなく複数の評価項目に要素としてちりばめられている)

PCI-DSS(Payment Card Industry Data Security Standard)

クレジット業界のセキュリティスタンダード。金融機関だとクレジットカード情報もデータとして扱うことがあり、その時にはPCI-DSS準拠が求められます。

PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である

Wikipedia PCIデータセキュリティスタンダード

それぞれの中身を見るとわかりますがが、重複している内容も含んでいるため、各評価基準から評価項目を抽出しその論理和をとると網羅的なセキュリティ要件のベースラインが抽出できると思われます。

セキュリティ要件解説

わかりにくい部分に焦点を当てて、定義されるべきセキュリティ要件とはどんなものかを解説。

前提の整理

  • 社内組織、システム、ステークホルダーの整理 ··· 社内組織(もしくはグループ会社含めたグループ全体)、情報システム、ステークホルダー(利害関係者)などの整理を行い、セキュリティ要件を定義するうえで関係する登場人物を整理する。
  • 外部組織との連携 ··· 外部、特にシステム的な連携先を整理し、外部組織含めて考慮しなければならないセキュリティ要件の前提とする。
  • 提供チャネル ··· 提供するサービスごとの提供チャネルを整理し、考慮しなければならない/しなくてもよいセキュリティ要件の前提とする。

セキュリティガバナンス

経産省のHPにセキュリティガバナンスとは的なページがあったので拝借しました。
要はセキュリティインシデントにより影響を受ける社内外のステークホルダーの整理と、それらのステークホルダーに説明責任を果たす(組織内でセキュリティに関して責任を持つ)人は誰(どこ)で、その責任を全うはするためにはどのような仕組み(セキュリティにおけるPDCA)が必要かを定義したもの。

出展経済産業省 情報セキュリティガバナンスの概念

システム

ここは上げたらきりがないので簡単に。(そもそもだいたい分かるし。)

  • 設備要件 ··· データセンターやクラウド事業者、各接続拠点に求められる要件。FISC安対準拠とかISO20系所持とか、専用線接続とか。
  • セキュリティ関連技術要件 ··· FW、IDS/IPS、WAF導入とか、ウイルス対策ソフトとか、NW構成とか。
  • トレーサビリティ要件 ··· システムとしてどこまでのトレーサビリティを担保するかを定めた要件。すべてのシステムログを取得しておくことで、万が一セキュリティインシデントが発生したとしても追跡が容易になるなど。
  • 暗号化/データ保管要件 ··· データ別のセキュリティ重要度の定義とそれに応じたデータ暗号化要件とか、DISK暗号化とか、記録媒体に書き出すのであればその種類と保管要件とか保管期間とか。
  • 運用要件 ··· 環境アクセスにおける運用規定、ID管理とか、開発/運用の職権分離とか、脆弱性情報収集とパッチ適用方針とか、シグネチャ適用方針とかセキュリティレポーティング要件とか。

等々。

セキュリティ管理体制

セキュリティガバナンスが社外まで含めた全体の概要図とするなら、セキュリティ管理体制は組織/機能ごとに誰がどの部分を担うかを明確化したセキュリティマップ。
以下のような項目毎にだれが、いつ、何を、どのようにが定義できると理想的。

  • 情報共有・連携経営への報告
  • 管理・モニタリング
  • サイバー訓練
  • セキュリティ教育・啓蒙
  • セキュリティシステムの評価・導入検討
  • セキュリティ人材の確保・育成

また、NECさんの提供している図が責任分解としてわかりやすかったので拝借。

出展NEC Cyber Security Journal セキュリティスペシャリスト達が語る「サイバーセキュリティ最前線の現場から」

特記:CSIRT、SOC、IR

CSIRT(Computer Security Incident Response Team)とは

CSIRTとはコンピュータセキュリティインシデントに対応するための専門チームであり、以下の6種類に分類できる。

組織内CSIRT(Internal CSIRT)
組織内で発生したインシデントに対応
国際連携CSIRT(National CSIRT)
日本ではJPCERT/CCなど
コーディネーションセンター(Coordination Center)
協力関係にある他のCSIRTとの連携・調整 グループ企業間の連携など
分析センター(Analysis Center)
インシデント傾向分析、マルウェア解析、痕跡分析、注意喚起など
ベンダチーム(Vendor Team)
自社製品の脆弱性に対応
インシデントレスポンスプロバイダ(Incident Response Provider)
いわゆるセキュリティベンダ、SOC事業者など

出展JPCERT CSIRTガイド

CSIRTの要諦

  • CSIRTには「標準規格」のようなものはない
  • CSIRTとは必ずしもチームである必要はなく組織内で発生したインシデントに対応する機能でも良い
  • CSIRTの構築例として以下のような形態がある。
    CSIRT構築例
    出展JPCERT CSIRTガイド
  • 事後対応だけでなく事前の準備を含めた包括的なインシデント対応全般を一般的に「インシデントマネジメント」と呼び、このうち「インシデント発生時」と「インシデント発生後」のような実際に発生したインシデントに対して行なう一連の業務を「インシデントハンドリング」と呼び、特にその中で、インシデントに実際に対応する業務を「インシデントレスポンス(IR)」と呼ぶ
    インシデントマネジメント
    出展JPCERT CSIRTガイド

上記のような要諦の中で、次に示す通りSOC部分はシステムの運用部門が担うことが多いと考えられます。とすると、CSIRTが実務として担う作業は、

  • SOCからの報知を受け付け全社的なインシデントとして管理・展開する
  • インシデント発生時のインシデントハンドリングの実行方針を定めSOCに対して実行を依頼する
  • 社外のCSIRTと情報交換し最新のセキュリティ動向を社内に還元する
  • インシデントによる影響を把握しセキュリティ責任者(CSO)、ひいてはステークホルダーに対して報告する

といったところでしょうか。一つの部門がCSIRTを担うことが理屈的には効率的のように見えますが、CSIRTが担う実作業ごとに担当を分けて部署横断CSIRTを構築する方が実務的には適しているというケースも多いと考えられます。(例えば社外CSIRTとの情報交換やCSOへの報告はCSIRT専門部隊が担うが、インシデントハンドリングは各システム担当が担う等)

SOC(Security Operation Centre)

キュリティオペレーションセンター(英: Security Operation Center)とは、顧客または自組織を対象とし、情報セキュリティ機器、サーバ、コンピュータネットワークなどが生成するログを監視・分析し、サイバー攻撃の検出・通知を行う組織である。

Wikipedia セキュリティオペレーションセンター

つまりSOCは、IDS/IPSやWAFでシグネチャ検知された結果やJPCERT等からの脆弱性情報をモニタリングしタイムリーにCSIRTに対して報知し、インシデントレスポンスにおいてはパッチ適用などの実作業をこなすオペレータのこと。この役割に則るとSOCはシステムごとの運用部隊、もしくはシステム運用を一手に引き受ける運用部隊が担うのが適切と考えられます。

参考サイト

 

-コンサル, 金融システム
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。

関連記事

システムアーキテクチャ設計メソトロジー

システムアーキテクチャ設計のメソトロジー(方法論)をメモ。 目次 アプリケーションの原則とアーキテクチャパターン(Application Principle and Architecture Patt …

改めてリーンスタートアップの要点まとめ(1/3) 全体概要&第1部

ここ2、3年の仕事はプロジェクトをアジャイルで進めることが多く、かつ今度リーンスタートアップで提唱されているプロセスを採用するということで改めてリーンスタートアップを読んでみた。 以前読んだときは自分 …

AML(Anti Money Laundering)入門

仕事でAMLの知識が必要になったので勉強した内容のメモ。 目次 マネーロンダリングとAML/CFTとは マネーロンダリング/テロ資金供与の実例 AML/CFTの仕組み 全体概要(KYC、経済制裁対応、 …

改めてリーンスタートアップの要点まとめ(3/3) 第3部

リーンスタートアップの第3部のまとめ。 第1部、第2部のまとめは以下から。 第1部 第2部 目次 リーン実践にあたっての案件サイズ(バッチサイズ) :本書 9、11章に対応 事業拡大において注力すべき …

改めてリーンスタートアップの要点まとめ(2/3) 第2部

リーンスタートアップの第2部のまとめ。 第1部のまとめはこちら。 目次 構築→計測→学びのサイクルと事業拡大/転換 :本書 5、6、7、8章に対応 構築・検証プロセスにおける特記 :本書 6章に対応 …