AWSセキュリティ編~AWSにおけるセキュリティの考え方③~


こんにちは! HEROです!

AWSのセキュリティ編。今回お話するのはFISCについてです。

FISC

まずはおさらいです。
FISCは、重要なシステムをAWSで構築しようとするユーザーにとって、安全性を確認するための有益なテンプレートであり、必須の資料(リファレンス)です。
そもそも、FISCとは金融庁の外郭団体である「金融情報システムセンター」(The Center of Financial Industry Information Systems)の略称です。金融機関の情報システムに関してさまざまなガイドラインや調査リポートなどを発行しています。最も有名なものが「FISC安対基準」です。
これにより、FISCの項目のうち、どの項目がAWS側の責任で、どの項目がユーザーの責任かを明確にすることができます。

大項目としては建物、コンピュータ室・データ保管室、電源室・空調機械室、電源設備、空調設備、監視制御設備、回線関連設備、管理体制の確立、入退管理、運用管理、システム開発・変更、各種設備管理、教育・訓練、要員管理、外部委託管理、システム監査、インストアブランチ、コンビニATM、デビットカード、オープンネットワークを利用した金融サービス、ハードウェアの信頼性向上対策、ソフトウェアの信頼性向上対策、運用時の信頼性向上対策、障害の早期発見・早期回復、災害時対策 、データ保護、不正使用防止、不正プログラム防止と実に28もの項目があります。

では実際にどういった内容なのか?
以前の記事でポリシーにデータセンターの秘匿があるとご紹介しました。
FISC対応の中の建物の構造について、ピックアップして見ていきましょう!

FISC①

FISC①

一つ目は建物についてです。AWSのデータセンターは災害を考慮した設計はもちろん、外部からはそれとわからないように設計されています。我々のようなAWSパートナーはもちろん、AWSのほとんどのスタッフもデータセンターの場所は明かされていません。これでは攻撃のしようがありませんね。

FISC②

FISC②

続いてはコンピュータ室・データ保管室。 物理的なセキュリティだけではなく、火気や空気など環境に対するリスクも考慮されています。

FISC③ 

FISC③

コンピュータ室・データ保管室の項目で個人的に驚いたのがこれです。
こんなことまで対応しているのですね・・・恐るべしFISC対応。
これまでにご紹介した第三者認証と合わせてAWSではセキュリティに関して数多くの認証や対応を行っています。
クラウド移行をお考えのそこのアナタ!AWSに利用することでセキュリティレベルは向上します!

参考:http://aws.amazon.com/jp/aws-jp-fisclist/
  :http://adsj-contents.s3.amazonaws.com/security-compliance/FISC_Document_20120824JP.pdf

いかがでしたか?次回もお楽しみに!