SCSKと電通国際情報サービス(ISID)、野村総合研究所の3社は2012年9月10日、金融機関がクラウドサービス「Amazon Web Services(AWS)」を活用する際に必要となるセキュリティ対応策をまとめた文書を作成したと発表した。内容を一部簡略化したサマリー版は同日から、3社の企業サイト(SCSKISIDNRI)で同一内容を無償公開している。

 3社が作成したのは「金融機関向け『AWS』対応セキュリティリファレンス」。国内業界団体の金融情報システムセンター(FISC)が策定した「金融機関等コンピュータシステムの安全対策基準・解説書」(FISC安対基準)に照らし、AWSが同基準に適合できるか、そのためにどんな対策が必要か、などを表形式でまとめた。

 3社はいずれもAWSの販売を手掛けるITベンダーで、「活用法の無償公開などを通じ、クラウドのマーケットを拡大させる」(ISIDの渥美俊英クラウドエバンジェリスト)狙い。AWSは様々な第三者認証の取得で安全性を自ら証明し、海外では金融機関の利用が急速に広がっているという。しかし、日本では業界基準であるFISC安対基準への適合状況が判然とせず、金融機関が活用する壁になっていた。3社は金融機関に加え、セキュリティや安定稼働への要求が厳しい一般企業の業務システムでもクラウドの普及を目指す。

 今回用いた「FISC安対基準」の最新版である第8版は295項目の基準がある。3社は各項目でAWSの適合状況を調べ、ICカードなどクラウドに関係ない項目を除けば全項目で「適合可能である」と結論付けた。ただし一部項目はユーザー側が適切な運用をしたり対策を取ったりすることが前提となる。

 作成したセキュリティリファレンスでは、これらのFISC安対基準の項目とAWSの適合状況、ユーザー側の対策方法などを表形式でまとめている。適合状況の判断は、AWSが公開している文書と取得済みの第三者認証、さらに運営元の米アマゾンウェブサービシズ(AWS)や日本法人と秘密保持契約(NDA)を結んで開示を受けた内部資料やインタビュー内容を基にしている。

 無料公開したサマリー版は、このうち公開済みの情報だけで構成している。NDAで得た情報も含む「詳細版」を利用するには、3社のいずれかにコンタクトを取った上でユーザー企業も米AWS側とNDAを結ぶ必要がある。なお公開情報として判断に用いた第三者認証は、「SAS70(Statements on Auditing Standards No.70)」および後継の「SOC Report(Service Organization Controls)」に加え、クレジットカード業界が定めた「PCI DSS(Payment Card Industry Data Security Standard)」、セキュリティマネジメント監査の「ISO27000」シリーズである。