クラウド時代のFISC｜「責任共有モデル」が変えた風景と、見落としやすい責任分界点

「クラウドを使えば、もうFISC対応は終わり」

そう考えている方を、私は今までに何人も見てきました。たしかに、AWSやAzureといった大手クラウド事業者は、FISC設備基準への準拠を証明する第三者監査報告を公開しています。事業者が分厚いリファレンス文書を提供してくれるので、「これを取引先の金融機関に渡せば話は通る」と感じてしまうのも無理はありません。

しかし、結論から先にお伝えします。

クラウド事業者がFISC準拠しているからといって、利用企業のシステムが自動的に準拠しているわけではありません。

これは、私が金融ITの現場で何度も突きつけられてきた現実です。多くの担当者が見落としているのは、クラウドという仕組みに必ず存在する「責任の境界線」そのものなのです。

オンプレミス時代であれば、インフラからアプリケーションまで全てを自社で管理していたので、責任は明確でした。しかしクラウドでは、事業者と利用者で責任が分け合われます。この分け方を正しく理解しないまま「クラウドだから安心」と思考停止してしまうと、後になって自社責任範囲の対策不足が、契約破棄や監査指摘という形で表面化してしまうわけです。

この記事では、FISCが提案する「責任共有モデル」の考え方と、クラウド利用企業が必ず押さえるべき責任分界点について整理します。読み終える頃には、自社が「どこまで守ればよいのか」が明確になっているはずです。

FISCが提案する「責任共有モデル」とは

クラウド時代のFISC対応を理解する上で、最も重要な概念が「責任共有モデル」です。本章では、この考え方が何を意味し、何を変えたのかを整理します。

オンプレミス時代のシステム運用では、データセンターに配置されたインフラからネットワーク、ミドルウェア、OS、ストレージに至るまで、全てを利用企業が自社で管理する必要がありました。サーバーの物理セキュリティから、ファイアウォールの設定、OSのパッチ適用まで、何もかもを自分の手で完結させていたわけです。

この前提が、クラウドの登場で大きく変わりました。

FISCは現在、「責任共有モデル」という考え方を提案しています。これは、データセンターやクラウド事業者が、インフラからネットワークまでの管理責任を負い、FISC設備基準を満たすことを義務付けるモデルです。クラウド事業者は第三者の監査報告書を公開することで、その準拠を証明します。

このモデルの意味するところが大きいのは、FISC準拠のクラウドサービスを利用すれば、利用者側はインフラ部分の責任から大きく解放されるということだからです。

裏を返せば、金融サービスを提供する事業者は、FISCの設備基準を満たすクラウド業者を利用することを、金融機関から実質的に義務付けられているとも言えます。クラウド事業者選定の段階で、すでにFISC対応の半分は始まっているということです。

ただし、ここで安心してはいけません。事業者の責任範囲が広がった分、「ではどこから先が自社の責任なのか」を正しく理解する必要があるからです。

IaaS／SaaSで変わる利用者の責任

責任共有モデルにおける利用者側の責任範囲は、クラウドのサービス形態によって変わります。本章では、形態ごとの責任分界点を整理します。

クラウドサービスには、主に以下の3つの形態があります。

ざっくりとした責任分界点の目安は、以下の通りです。

階層	IaaS	PaaS	SaaS
アプリケーション	利用者	利用者	事業者
ミドルウェア	利用者	事業者	事業者
OS	利用者	事業者	事業者
仮想インフラ	事業者	事業者	事業者
物理インフラ・データセンター	事業者	事業者	事業者
データ・アクセス管理	利用者	利用者	利用者

ここで重要なのは、どのサービス形態を選んでも、データそのものとアクセス管理の責任は常に利用者側に残るということです。

つまり、IaaSであればOSから上の層を自社で守る必要があり、SaaSであっても自社データの暗号化方針やユーザーアクセス権限管理は自社責任です。「SaaSだから何もしなくていい」というのは大きな誤解だということになります。

責任範囲に該当する証跡については、AWSであればCloudTrail、Azureであれば監査ログのような標準サービスで、効率的に取得・管理することが可能です。SLAについても、クラウド事業者の各サービスに明示されています。これらを使いこなすことが、利用者側責任を果たす実務的な第一歩となるわけです。

逆に、責任分界点を曖昧なまま運用してしまうと、金融機関の監査時に「この設定は誰が責任を持っているのか」と問われた瞬間に答えに詰まることになります。事業者と利用者のどちらが何を見ているのかを、社内で文書化しておくことが大切です。

海外クラウド利用時の「越境移転」という落とし穴

責任共有モデルを理解しても、もう一つだけ見落としやすい論点があります。本章では、海外クラウドを利用する際の越境移転リスクについて整理します。

個人情報保護の観点から、海外のクラウドを利用する場合には、越境移転規則などのいくつかの制限が発生します。

たとえば、FISC設備基準に準拠したクラウドであっても、データの保管場所が海外であれば、別途の検討が必要になるのです。日本国内でデータが完結することを前提としたサービス設計であれば、リージョン選択を「日本国内」に固定しなければなりません。バックアップやログの保管先まで含めて、データが国境を越えないかを確認する必要があるということです。

また、FISCには「契約終了後のデータ削除プロセス」という固有の要求事項もあります。クラウド契約を解約したとき、自社データが事業者側のシステムから確実に削除されることを、契約条項として担保しておく必要があるのです。これも、見落としやすいポイントの一つです。

こうした「FISC固有の要求」をクラウドの設定やデータ管理ポリシーに正しく反映するためには、技術者だけに任せていてはいけません。管理者が設定値をどう確認するかまで踏み込んで、組織として手順を持っておくことが、後々のトラブルを防ぐ最短ルートになります。

設定値の確認はチェックリスト化する

クラウド利用時のFISC対応は、結局のところ「設定の積み重ね」です。本章では、その設定を組織として担保するためのチェックリスト化の重要性についてお話しします。

私が現場でよく目にするのが、「クラウドの設定が、できる技術者に任せきり」になっているケースです。たしかに、クラウドの設定画面は専門知識を要するものが多く、管理者が口を出しにくい領域です。しかし、それゆえにブラックボックス化しやすいのもまた事実なのです。

これを防ぐには、FISCの要求事項のうち、自社責任に該当する項目を「設定確認チェックリスト」として明文化することです。具体的には、以下のような項目を一覧化しておきます。

このチェックリストを管理者と技術者の両方で定期的に確認することで、「気がついたら誰かが設定を変えていた」というインシデントを未然に防げます。

クラウドのFISC対応で最も恐ろしいのは、設定不備に気づかないまま運用が続くことです。事業者の責任範囲は事業者の監査報告で担保されますが、利用者の責任範囲は自社でしか担保できません。だからこそ、地道な確認プロセスを組織の習慣にすることが大切なのです。

まとめ：「クラウドだから安心」を卒業する

最後に、改めて整理させてください。

クラウド時代のFISC対応は、「契約すれば終わり」ではなく、「契約してから始まる」ものです。事業者の準拠リファレンスを取引先に渡しただけで終わらせず、自社が守るべき領域を地道に固めていく姿勢こそが、本当の意味でのクラウド活用に繋がるのではないでしょうか。

そして、責任共有モデルの理解は、自社がそもそも「どの程度FISCに向き合うべきか」という、より大きな問いとも繋がっています。完全準拠が必要な事業者なのか、部分準拠で十分な事業者なのか。その判定基準については、別の記事で整理しています。

また、そもそも「FISC準拠を求められた」という状況に戸惑っている方は、はじめに以下の記事から読んでいただくと、全体像が掴みやすいかと思います。

私たちマネーパートナーズソリューションズ（MPS）は、金融ITの最前線で「24時間365日、止められないサービス」を作り続けてきた経験を基盤に、FISC安全対策基準の導入支援、クラウド利用時の責任分界点整理、設定確認チェックリストの設計支援を行っています。

「AWSやAzureを使っているが、FISC対応として何を確認すればよいか分からない」「事業者のリファレンスを取引先に提出したが、自社側で何をすべきか整理したい」

そうした漠然とした不安をお持ちであれば、ぜひ一度、私たちの知見を頼ってください。金融業界という最も厳しい環境で磨かれたノウハウを、貴社のクラウド運用の現場へお届けします。

ご興味をお持ちいただけましたら、以下のフォームよりお問い合わせください。

最新のセキュリティ情報について、無料のメールマガジンを配信しています。以下のフォームからご購読ください。