仕事の関係で FSA GL と FISC 第13版をちゃんと読んだのでざっくり整理した。
AWSをよく使うので、AWS前提になってます。
背景
よくある ECS 構成で API Gateway → ALB, ALB → Backend とか BFF → Backend 間が HTTP のままになっているケースがちらほら。「VPC 内部だから大丈夫」で済むのかどうか問題。
結論としては、内部通信であっても暗号化が必要。
FSA GL / FISC の該当箇所
FSA GL 2.3.4.4-基-3: 暗号技術によるNWセキュリティ
- 分類: 基本的な対応事項 (= 必須)
- 対応する FISC 基準: 実4 項1, 2, 5
- 出典: 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」(2024年10月公表) 176項目中 #116
「基本的な対応事項」はどうも FSA GL における必須レベルの要求っぽい。「対応が望ましい事項」とは明確に区別されてる。
FISC 実4: 伝送データ暗号化の階層別対策
- 改訂版: FISC 安全対策基準 第13版 (2025年3月公表)
- 改訂理由: FSA GL (サイバーガイドライン) の安全対策取込みに伴う改訂
問題は「階層別」の文言が追加されたことらしい。従来は外部通信 (インターネット境界) の暗号化が主な対象だったが、第13版では通信レイヤーごとの暗号化対策を求めている。つまり境界防御型からゼロトラスト的な各レイヤーでの暗号化へ要求水準が引き上げられた。ゼロトラスト前提でやってねという当たり前の話ではあるがend-to-end以外もやるとなると意外とコストかかる。
FSA GL 2.3.4.4-望-c: マイクロセグメンテーション
- 分類: 対応が望ましい事項 (= 推奨)
- 対応する FISC 基準: 実14 項8 (第13版で新設)
- 出典: FSA GL 176項目中 #121
現時点では「望ましい」レベルだが、FISC 第13版で項8として新設されており、今後「基本」へ昇格する可能性がある。いずれにしても先手を打っておくほうがいいやつ。
典型的な ECS 構成へのインパクト
| 構成箇所 | 規制要件 | ギャップ |
|---|---|---|
ALB リスナー :80
|
FISC 実4 / FSA GL 2.3.4.4-基-3 | API GW → VPC Link → ALB 間が平文 HTTP |
| BFF → Backend (ECS Service Connectなど) | 同上 | Service Connect に TLS/mTLS の設定なし |
対応案
- ALB に
:443リスナーを追加し、API GW → ALB 間を TLS 化 - Service Connect に TLS を有効化 (ECS Service Connect は TLS 対応化)
- ギャップ分析に内部通信暗号化の項目を明示的に追加
VPC 内だからと暗号化を省略していると、FISC 実4 / FSA GL 2.3.4.4-基-3 に対する説明がつかない。ALB のリスナー追加と Service Connect の TLS 有効化は比較的軽い作業なので、早めにやっておくのが吉。
ECS Service Connect は Private CA 対応してて mTLS いけるので経路確保手段としてはかなりいい感じ。
参考
おわり
別にむずくはないけど結構気を使うやつ。がんばろう。