Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

NTTコミュニケーションズの対応 | クラウドスペシャリスト・リレーインタビュー第6弾

印刷

NTTコミュニケーションズの対応

― この指針に対するNTTコミュニケーションズの見解を教えてください。

藤本:

第一に、NTTコミュニケーションズは電気通信事業者として、「電気通信事業法」を遵守する責務があります。特に、「旧第一種電気通信事業者」に該当する通信設備・機器を保有しているため、安定したサービス供給という観点では、これまでも法的拘束力のある環境でサービスを提供してきました。あわせて、様々な外部認証を積極的に取得しながら信頼性の高いサービスを長きにわたって提供してきた実績もあります。

このように、法的拘束力と外部評価に裏付けされたNTTコミュニケーションズのクラウドサービス「Enterprise Cloud(通称:ECL)」は、「FISC安全対策基準」の第8版追補改訂に対しても準拠していることが確認されており、結果として現在まで多数の金融機関に採用して頂いています。

― それでは、FISCの安全対策基準「第8版追補改訂」の注目すべきポイントを教えてください。

藤本:

そうですね。特徴的なのは「再委託先管理」「データ漏洩防止」「立入監査」そして「サイバー攻撃対応体制の整備」ではないでしょうか。

①再委託先管理:
クラウド事業者に対し、クラウドサービスの公開情報に加え、非公開情報の開示を求めて、リスク管理の状況等を評価することになっています。

ここでは、一般的な契約内容の確認に加え、特徴的な点として、再委託先管理の確認があります。有識者検討会で、クラウドサービスは「外部委託の一形態」として扱われることとなり、さらには、金融機関の再委託先で情報セキュリティに関連した不祥事が発生していることから、クラウド事業者にも再委託先管理を徹底させることになったようです。

この点、NTTコミュニケーションズでは、総務省「電気通信事業における個人情報保護に関するガイドライン」第12条に基づいて従業員および委託先の監督が法的に義務づけられていることを評価いただいています。

②データ漏洩防止:
まず、データの取扱いについて、クラウド事業者の責任範囲を明確にする必要があると考えます。

基本的には、利用者がクラウドサービスへ収容したデータに関しては、利用者側の責任範囲となり、内部犯行による情報漏洩対策の観点からも、重要データを暗号化等で保護し、契約終了時にはデータ消去をする必要があります。またクラウド事業者側ではディスク等の電子媒体の取扱いに関して厳密な運用がされなければなりません。

NTTコミュニケーションズは、総務省「電気通信事業における個人情報保護に関するガイドライン」第3章(各種情報の取り扱い)や第10条(保管期間等)の規定を遵守し、適切な方法で運用していることをお約束しています。

③立入監査:
よく話題になるのが立入監査ですが、クラウド事業者によっては受け入れが難しいケースもあります。しかしNTTコミュニケーションズでは、コアIT領域に関して、監査対応範囲を明確化した上で、条件付きで立入監査の受け入れを行っています。また電気通信事業法において、総務大臣の指示による監査受け入れの義務が課せられているという背景もあります。

④サイバー攻撃対応体制の整備:
これはクラウドサービスに限ったことではありませんが、近年の金融機関に対するサイバー攻撃の多発を背景に、特に直接の内部統制が及びにくいクラウド事業者の対応力を知ることは重要な要素としてあげられます。

NTTコミュニケーションズは、サイバー攻撃に対して、独自のセキュリティオペレーションセンターによる監視、セキュリティベンダー研究機関との連携、NTT-CERT活動による情報収集、インシデント発生時の全社災害対策体制が確立されています。

― 他に、クラウドサービス利用で注意すべきことがあったら教えてください。

藤本:

クラウド事業者との責任分界点の明確化です。一般的には、OSより上位のミドルウェアやアプリケーションが利用者側の責任範囲になり、クラウド事業者はシステム基盤側とされています。これは、データ管理がどちらの責任範囲かという観点によるもので、利用者とクラウド事業者との事前の確認と合意が必要となります。

また付け加えるなら、システム基盤側にもハードウェアの設置場所であるデータセンター、ネットワーク(回線)部分が存在し、それぞれに対してクラウド事業者として確実に統制が取れるのかを見極めるべきでしょう。

NTTコミュニケーションズのクラウドサービス(ECL)は、自社のデータセンター、ネットワーク(回線)を基本としているため、障害時や不測のセキュリティ事故、災害時においても一社で統制を取ることが可能で、それは東日本大震災時の計画停電時の対応で実証されています。

― それでは、利用者が「FISC安全対策基準」の準拠状況を知るにはどうすればよいでしょうか。

藤本:

NTTコミュニケーションズでは、改訂版で追加された項目も含め、準拠状況をまとめた一覧表を作成していますので、要望を頂ければご提供いたします。

― NTTコミュニケーションズでは、「FISC」以外の外部認証の取得状況は、どうなっていますか。

藤本:

もちろん、品質やセキュリティに関する外部認証も継続して取得しています。例えば、今年制定され、クラウドセキュリティに特化した認証であるISO27017に関しても取得予定となっていますし、これからも新しい認証取得に向けて積極的に対応していきます。

藤本:

NTTコミュニケーションズは、電気通信事業者の実績と強みを活かし、引き続き金融業界を含む高度なセキュリティ基準を持つ企業さまにも安心してご利用いただけるクラウドサービスを提供してまいります。

この記事のキーワード

関連サービス