今回シンガポール拠点に関わることになり、シンガポールの規制とガイドラインについてキャッチアップする必要があったので、以下に備忘録としてまとめました。
私自身が理解している部分は要約できていますが、理解が浅い部分はそのまま翻訳になっています。ご了承ください。
また、構成はAWS User Guide to Financial Services Regulations & Guidelines in Singaporeの主要部分を踏襲しています。
wording
| 用語 | 説明 |
|---|---|
| MAS (Manetary Authority in Singapore) | シンガポール金融管理局 |
| FI (Financial Institution) | 金融機関 |
| customers | AWS利用顧客(AWSを利用してサービスを設計・開発・運用する顧客)。FIが含まれることもあるし、アウトソーシングされたプロパーやBPのことを指すこともある。ここではAWS利用顧客とします。 |
| service provider | FIに対してサービスを提供する者。AWSや、FIの委託先など。FIが自身で開発する場合はAWSのみ、FIがアウトソースする場合はAWSとアウトソース先がサービスプロバイダーに含まれる(もちろんAWSを利用しなければAWSはサービスプロバイダーには含まれません)。 |
■About this guide
ガイドの役割
- AWSとAWS利用顧客のクラウド環境の管理とセキュリティ確保におけるそれぞれの役割の説明
- 金融機関(FI)がAWSを利用する際に考慮すべき、regulatory requirements(規制要件)とガイダンスの概要の提供
- FIが、セキュアでかつregulatory requirementsを満たすAWS環境を設計・構築するのに役立つ追加のリソースの提供
参考ガイドライン
- MAS Guidelines on Outsourcing
- MAS Technology Risk Management (TRM) Guidelines
- Notice 655 on Cyber Hygiene
■Security of the cloud
AWSコンプライアンスプログラムは以下のアクションをベースに置いている。
- validate (検証)
- demonstrate (実証)
- monitor (監視)
●AWS compliance programs
AWSは業界固有の様々なワークロードにおける、認定と独立したサードパーティの証明書を取得している。以下はその中でもFIにとって重要なもの。名前と概要を記す。
- ISO 27001:安全管理(security management)のベストプラクティスと包括的なセキュリティコントロールに特化した安全管理標準。
- ISO 27017:クラウドコンピューティングの情報セキュリティガイダンスを提供する。
- ISO 27018:クラウドにおける個人情報保護に焦点を当てた実践規範(a code of practice)。
- ISO 9001:組織内で効果的な品質管理を達成するために必要な組織構造、責任、手続きなどを文書化しレビューするプロセス志向のアプローチを概説したもの。
- MTCS (Multi-Tier Cloud Security) Level 3:ISO 27001/02情報セキュリティ管理システム(ISMS)標準に基づいた、シンガポールの安全管理運用基準 (SPRING SS 584:2013)。
- Outsourced Service Provider’s Audit Report (OSPAR):OSPARを用いることで、銀行はABS(Association of Banks in Singapore)ガイドラインの要件を満たすサービスプロバイダーを選択していることが実証できるらしい。
- PCI (Payment Card Industory) DSS (Data Security Standard) Level 1:PCI Security Standards Councilによって管理される独自の情報セキュリティ基準。
- SOC (AWS Service Organization Control):主要なコンプライアンス管理(key compliance controls)と目的をAWSが如何に達成するかを実証する、独立したサードパーティの検査レポート。
- SOC 1
- SOC 2
- SOC 3
●AWS Artifact
AWSサービスの一つ、AWS Artifactを利用すれば、2500以上のセキュリティ管理に関するレポートやその詳細を閲覧・ダウンロードできる。AWSのSOCなどを含め、PCIやMAS Technology Risk Management Workbookやその他様々な証明書が提供されている。
■AWS Regions
AWSのリージョンやAZの一般的な説明。
■MAS Guidelines on Outsourcing
●Assessment of service providers
以下はGoO section 5.4.3で言及された、クラウド利用などのアウトソーシング契約に係るdue diligence要件である。各項目に対して、AWSの責任内容や対応が書かれている。
- 5.4.3 (a) Experience and capability to implement and support the outsourcing arrangement over the contracted period
- 5.4.3 (b) Financial strength and resources
- 5.4.3 (c) Corporate governance, business reputation and culture, compliance, and pending or potential litigation
- 5.4.3 (d) Security and internal controls, audit coverage, reporting and monitoring environment
- 5.4.3 (e) Risk management framework and capabilities, including technology risk management and business continuity management in respect of the outsourcing arrangement
- 5.4.3 (f) Disaster recovery arrangements and disaster recovery track record
- 5.4.3 (g) Reliance on and success in dealing with subcontractors
- 5.4.3 (h) Insurance coverage
- 5.4.3 (i) External environment (such as the political, economic, social and legal environemnt of the jurisdiction in which the service provider operates)
- 5.4.3 (j) Ability to comply with applicable laws and regulations and track record in relation to its compliance with applicable laws and regulations
●Cloud computing
MASはクラウドコンピューティングはアウトソーシングと近しく、従って起因するリスクも近しいものであるとしている。以下はクラウドサービスの利用に係るリスクの一部。ソースでは書くリスクに対してAWS Controlsが書かれており、AWSではそれぞれGuidelines on Outsourcingに対応していることが記載されていた(AWSリソースを適切に使えば要件を満たすことができるが、コンテンツについてはAWSの責任範囲から外れることが示唆されていた)。
- Data access, confidentiality, and integrity
- Sovereignty
- Recoverabiity
- Regulatory complience
- Auditing
- Segregation of customer data
●Outsourcing agreements
クラウドリソースの利用に係る、契約に関する用語と条件の明文化。少なくとも以下は明文化対象。
- the scope of the outsourcing agreement: アウトソーシング契約の範囲
- performance, operational, internal control, and risk management standards: パフォーマンス、運用、内部統制、またリスクマネジメントの基準
- confidentiality and security: 機密保持とセキュリティ
- business continuity management: 事業継続(の)管理
- monitoring and control: 監視と制御(統制)
- audit and inspection: 監査と検査
- notification of adverse developments: 不利な展開の通知
- dispute resolution: 論争の解決
-default termination and early exit: デフォルトの終了と早期終了 - sub-contracting: 下請け, BP
- applicable laws: 適用される法律
Enterprise Agreement with AWSというオプションがあり、Enterprise Agreementsに登録すれば、AWS利用顧客は自身の契約を最適な形に調整できる。シンガポールFI評価を手助けする導入ガイドも配布されている。詳しくはAWSの代表者に問い合わせる。
●Audit and inspection
Guidelines on OutsourcingはFIのアウトソーシング契約がFIの事業活動・管理を過剰に制限したりMASの監督の機能や目的の実行を妨げるべきでないとしている。
AWS利用顧客は、AWSを使った自身のコンテンツやサービスに対して所有権と制御を保持し、それらをAWSに移譲することはないとしている。AWS利用顧客は、環境設定やコンテンツのセキュリティ確保、その他利用するツールなどを制御する責務がある。
AWSがAWS利用顧客の設定を変更することはなく、ここはAWS利用顧客が責任を持つとしている。詳しくは次を参照:https://d1.awsstatic.com/whitepapers/compliance/Using_AWS_in_the_context_of_Singapore_Privacy_Considerations.pdf
また、GoOはFIに対し、サービスプロバイダーに対して行われたあらゆる監査レポートと結果にアクセスできるよう求めている。これは、アウトソーシング契約に係る、サービスプロバイダー又はその下請けの内部監査人(サービスプロバイダーの組織内の者)・外部監査人(組織の外部から雇われた監査人)、又はサービスプロバイダーやその下請けに任命されたエージェントによって作成されたもの。
AWSではAWS Service Organization Control (SOC) 1, 2, 3 reports, ISO27001, 27017, 27108 certifications, PCI DSS compliance reportsを含むAWS認定又レポートにより、AWS環境におけるセキュリティコントロールを検証・証明することができる。
■MAS Technology Risk Management Guidelines (MAS TRM Guidelines)
MAS TRM Guidelinesはリスク管理の原則とベストプラクティスの基準をFIに示している。
- 技術に係るリスクの健全で強固な管理フレームワークの確立
- システムのセキュリティ、信頼性、回復力、回復可能性の強化
- 顧客の情報、トランザクション、システムの保護のための強力な認証の展開
AWSは、AWSのセキュリティとコンプライアンス管理と、AWS Well-Architected Frameworkのベストプラクティスガイダンスを、MAS TRM Guidelinesの要件にマッピングしたワークブック(MAS TRM Guidelines Workbook)を作成している。
AWSガイドにはそれらの例が羅列されていた。
■Notice 655 on Cyber Hygiene
Notice 655 on Cyber Hygieneはシンガポールの全ての銀行に適用されている、管理者アカウントのセキュアな管理、セキュリティパッチの適用、ベースラインとなるセキュリティ基準の確立、ネットワークセキュリティデバイスのデプロイ、マルウェア対策の実装、ユーザー認証の強化に係るサイバーセキュリティ要件を定義したもの。
AWSは、AWSのセキュリティとコンプライアンス管理と、AWS Well-Architected Frameworkのベストプラクティスガイダンスを、Notice 655の要件にマッピングしたワークブック(AWS Workbook for MAS Notice 655 on Cyber Hygiene)を作成している。
AWSガイドにはそれらの例が羅列されていた。
■ABS Cloud Computing Implementation Guide 2.0
ABS (Associatoin of Banks in Singapore)は、クラウドアウトソーシング契約を締結している銀行に向けた実施ガイド(ABS Cloud Computing Implementation Guide 2.0)を作成している。
MAS Guidelines on OutsourcingとMAS Technology Risk Management Guidelinesは関連する規制当局によって発行され、幅広い種類の金融機関に対し指針を提供しているのに対し、AWS Cloud Computing Implementation銀行業界の団体から推奨される実践的な事項をまとめている。
●Key controls
こちらはTRMやNotice655と同様、例が羅列されている。
■Next steps
AWSはFIが各国家各組織でのクラウド適用の要件を満たせるよう、それぞれが現状を把握する必要があるとしている。
次のステップとして、AWSはAWS CAF (AWS Cloud Adoption Framework)の利用を勧めている。AWS CAFは組織がクラウドの適用のための効率的で効果的な計画を作成するのに役立つらしい。
また、そのほかの具体的な次のステップとして、以下がある。
- AWS representativeにクラウド適用の計画策定について問い合わせする
- SOC 1や2, PCI-DSSやISO 27001のコピーを取り、内容を確認する
- CIS Amazon Web Services Foundations(AWSセキュリティ設定のベストプラクティスセット)の関連性と利用を検討する。
- デューデリジェンスやリスク評価の観点から、必要であろう他のガバナンスやリスクマネジメントの実施を深堀する。
- AWSが支援している金融サービスのクラウドへの移行について、AWS representativeから学ぶ
- AWS MAS TRM WorkbookやNotice 655 on Cyber Hygiene Workbook, ABS Cloud Computing Implementation Guide 2.0 Workbookの内容を確認する。
- MASへの年1回又は要求に応じた提出のために、アウトソーシング契約を適切な状態に更新・維持する
役に立ちそうな英用語
| 用語 | 説明 |
|---|---|
| in transit | 転送中 |
| at rest | 保存中 |
| due diligence | デューデリジェンス(企業などに要求される当然に実施すべき注意義務および努力のこと:https://www.weblio.jp/content/Due+Diligence) |
さいごに
以前内部統制に関わっていた経験もあり、多少は馴染みがありましたが、やはり英語で法務や監査関連の資料を読むのは疲れます。恐らく業界では適切なコンテクストがあるのでしょうが、業界外部の人間だと用語が抽象的に感じて、具体がわからず想像力が働かないという事態が往々にして起こるように感じます。
これから学んで具体的に想像・言語化できるようになっていきたいです。