SWIFTとは

SWIFTは加盟者が所有するグローバルな協同組合で、高度に安全化された金融メッセージングサービスを提供する金融業界の標準化団体です

Information Security

SWIFTはInformation Securityへの妥協のないアプローチを社是としており、それがお客様にとって重要な価値であり、当社のサービスを差別化する重大な要素であると認識しています。

失敗という選択肢はない

(Failure is not an option)

SWIFTの事業の最も重要な構成要素である情報とサイバーセキュリティ対策は組織全体を通じて取締役会レベルから、CEO、経営陣、現場に至るまで、強固に管理されています。

SWIFTの情報セキュリティ対策は包括的です。極端な状況にも対処できるように設計され、秘密保持、完全性、可用性の劣化につながる一切の許可のない物理的また論理的アクセスの防止を目的とします。当社の対策は当社の建物を防衛する物理的管理や、データとシステムへの許可のないアクセスから保護する論理制御を含み、検知、対応、回復能力を包含します。

IT資産とデータの物理的セキュリティは次の方法で確保されています。 明確な目的のもと、設計・構築された当社データセンターに組み込まれた保護措置、厳密な業務ニーズに基づく建物サイトへのアクセス管理プロセスの厳格な遂行、コンピューター・ハードウェアとメディアの全ライフサイクルを通じた厳格な取扱管理の実行などです。

当社は提供するサービスとアプリケーションに関するアーキテクチャ、設計、開発、保守および運用についても同様のアプローチを適用しています。構成された開発手法を使い、当社顧客の業務をサポートするSWIFTサービス、アプリケーションおよびテクノロジーに最高レベルの論理セキュリティを確実に組込みます。当社のセキュリティ専門家チームが、外部のセキュリティ分野の権威と共同で、全ての設計とセキュリティ慣行を検討し、顧客に提供される前に、当社が提供するものに適正な設計、実施、運用が適用されるように、指導、支援、検証を行います。

リスク管理体制

リスク管理はSWIFTの業務慣行に深く組込まれており、「失敗という選択肢はない-Failure is not an option」という社是が示すようにリスク管理重視の文化を強固に支えています。

次の三つの堅固な防衛線がSWIFTのリスク管理を支え監視しています。第一は経営陣で強固な信頼性とセキュリティの枠組みを開発し実施する責任を負っています。第二はリスクと法令遵守担当部門でリスク全般の枠組みの責任を負っています。第三は監査機能です。

これらすべては第三者機関による強固な保証の枠組みと、ISAE基準の要件に準拠した社外監査法人の安全監査報告に支えられています。

SWIFTの企業リスク管理の全般的な枠組みは、SWIFT全体にわたるリスク管理情報について統合された概観を提供し、情報セキュリティリスク管理のようなSWIFT内部のその他のリスク管理慣行の基盤となりこれを管理します。

情報セキュリティリスク管理の枠組みは、セキュリティリスクが特定され、軽減され、追跡され、取締役会に報告される手順を文書化しています。この枠組みは新たに出現する脅威とサイバー攻撃競争に対応する当社のリスク管理手法の進化を反映するように作られています。

SWIFTの内部監査とセキュリティ外部監査は常時SWIFTのリスク管理機能に関して独立した客観的な検討、査定、報告を行うことによって情報セキュリティリスク管理システムを万全のものとしています。内部監査チームは定期的に外部機関の監査を受け、内部監査チームメンバーが国際監査基準及び慣行に従って業務に従事している事を、取締役会とSWIFT経営陣に確認します。

サイバーロードマップ

SWIFTはサイバーセキュリティを極めて真剣に対応しています。当社は様々な公的、専門的あるいは機密の出所から、外部のサイバー事件、犯罪の手口、サイバー攻撃の脅威について学んでおり、これは当社の防止、検知および、修復への継続的な投資の推進に役立っています。当社は包括的な調査によってこのような脅威または脆弱性が業務のセキュリティリスクになると判断したときは、このリスクを軽減しサービスを保護するために速やかに適切な行動をとります。

当社は ISOまたはアメリカ国立標準技術研究所(NIST)サイバーフレームワークなどの広く認知された基準に従い、サイバー戦略とインフラストラクチャに大きな投資をしてきましたが、決して安心できない事を認識しております。当社はグローバルな金融インフラストラクチャの極めて重要な構成要素としてその役割を果たさなければなりません。SWIFTは、脅威が常に変化する状況に先手を打つためにセキュリティ投資を継続します。サイバー脅威の増大を考慮し、常に今後3年間に注力する分野を定めたサイバーセキュリティのロードマップを作成・更新しています。当社のサイバー投資は4段階に構造化されています

  • 知る-敵を知り当社がリスクにさらされている範囲・度合いを理解する
  • 防ぐ-敵を本質的に困難な状況に置き、サーバー攻撃を防ぐ
  • 計画する-決して敵を過小評価せず、当社の防御を破る攻撃の探知に努める
  • 管理する-防御が破られた最悪の場合に備え、攻撃に対応し、封じ込め、修復のための準備をしておく。

SWIFTメッセージング・サービス

SWIFTメッセージング・サービスは、SWIFTが所有し、SWIFTとその従業員が運営(および管理)する建物、インフラストラクチャ、ソフトウェア、製品とサービスを含むSWIFT環境の中で提供されます。SWIFTは顧客メッセージに対し厳格なセキュリティ、秘密保持と完全性保護を適用します。当社はメッセージ・データの不正漏洩を防ぎ、メッセージの出所を保証し、メッセージを無許可での改竄から保護し、メッセージデータの破損を検知するための管理手法を設置しています。さらにメッセージのコンテンツ認証を利用して、認証されたメッセージのみを処理し、適切な順番で目的とする受取人に確実に送信することができます。

当社はメッセージングサービスの可用性を確約しており、SWIFT環境内でのメッセージと関連する顧客データの機密性と完全性、および個人情報守秘に関する権利を確保します。

顧客が送信したメッセージ データ*は先端的なセキュリティおよび本人認証技術を利用して認証されます。メッセージが顧客の**環境を出てSWIFT環境に入る前に先端技術による暗号化が加えられます。受信者に安全に送達されるまでのすべての送信過程を通じて、SWIFTの機密保持と完全性確約の下で、メッセージはSWIFTの保護された環境下にあります。顧客の全てのメッセージはSWIFTシステムに保存されるとき暗号化されます。

可用性 

SWIFTのメッセージング・サービスは、計画に基づく限られた停止期間をのぞき、年365日、毎日24時間利用できるように設計されています。当社は耐障害性を充分に担保するために複数のオペレーションセンター(OPC)を保有しています。各OPCでは、基幹システムは異なる階に配置され、単一障害点を排除する設計になっています。2014年、スイスに立地するSWIFTの最先端オペレーションセンターが完全稼働を開始しました。この新しいオペレーションセンターはグローバルな全てのメッセージングの流れをサポートする能力があります。SWIFTは他の全ての耐障害機能とバックアップ機能に障害が発生するという起こり得ない極端なケースでもメッセージングを復元する能力があります。

秘密保持

当社は顧客データの不正漏洩を防ぎます。当社のセキュリティ対策は物理的・論理的アクセスについて強固な管理をしていますが、これには建物を保護する物理的な措置、ならびに業務ニーズに基づいてアクセスを制限する論理的管理も含まれます。全ての顧客メッセージはSWIFTシステムに保存されるとき、またはSWIFTのデータセンターから出るときに最先端技術で暗号化されます。これに加えて、顧客メッセージはデータの秘密保持に関する顧客の期待にもっとも適合する地理的ゾーンに立地するOPCで処理され保存されます。 

完全性

SWIFT固有の公開鍵、電子証明書、電子署名は送信人を認証し送信されたメッセージの完全性を確認するために利用されます。SWIFTは電子署名をチェックし、メッセージの完全性を確認し、送信人を認証する証明書を確認します。SWIFTはメッセージが適切な順序で意図した受信人に送達されるように、終端間でセキュリティを提供し、送信人が受信人のために署名を適用できるようにし、受信人がメッセージの完全性を確認し、送信人を認証できるようにします。このようにして、送信する機関と受信する機関が排他的にメッセージ中のデータを管理することができ、メッセージの送信者は送信過程でメッセージが改竄されていないことを確認する手段をメッセージの受信者に提供します。

耐障害性

SWIFTのメッセージング・サービスは世界の金融市場のシームレスな活動にとって不可欠であり、したがって当社はメッセージング・サービスの耐障害性には特別に注力しています。当社のインフラストラクチャは過負荷、混乱、機能不良、悪意の行為が発生した場合でも利用可能で、定義づけられた回復目標時間を満たすように設計、構築および検証が行われています。

当社のインフラストラクチャは高度の耐障害性があるのでメッセージング・サービスが長時間停止することは想定していません。SWIFTは創立以来いつでも利用できるITサービスの分野で先駆者であり、耐障害性に対する信念は現在まで続いています。SWIFTは文書化された耐障害性に関する信念に基づき、またこれまでの経験を活かし、耐障害性の高いアーキテクチャ設計、実装しています。

当社は冗長性を充分に担保するために複数のオペレーションセンター(OPC)を保有しています。OPCは人災および天災の可能性を慎重に考慮し、地理的に異なった場所に立地しています。各OPCの内部では、システムアーキテクチャは単一障害点を排除する設計になっており、各OPCのシステムとネットワークは該当地域のSWIFTユーザーが必要とする処理・保存条件を満たすように設計・構築されています。

全てのOPCは高度に安全であり、アクセスは厳しく管理されています。各OPCはサーバーから冷却装置、電力供給に至るまで重要な項目は二重に構築しています。メッセージデータは送達までつねに2ヵ所の地理的に異なったオペレーションセンターに保存されます。

複数のオペレーションセンターが同時に機能停止するという極端な想定にも備え、完全に独立した災害復旧インフラストラクチャが起動し、当社のメッセージング・サービスを継続させます。定義されたシナリオと予想結果に基づくサービス継続テスト計画が、公表され、監査を経た上で実施されます。SWIFTは少なくとも年1回、期待時間内での災害サイトのサービス継続テストを行います。 

SWIFTはメッセージング・サービスが事故による影響を受けるという稀なケースへの対策を充分に整えています。SWIFTは毎年数百回の業務継続演習を実施します。これにはすべてのレベルのスタッフ、地元の当局、顧客が参加し、サイバー関連の事件を含む種々異なったシナリオを対象にしています。

具体的なサイバー対応業務継続計画が用意されています。

また、テスト後の検討に基づき改善対策が実行されます。

SWIFTのサービス耐障害性は定期的な社内および外部監査の対象となり、外部監査報告書に含まれます。

外部監査を通じて提供される独立機関の保証

SWIFTの外部セキュリティ監査人は当社のメッセージング・サービスについて毎年独立した外部監査を行います。この監査はISAE基準の必要条件を遵守して実施されます。結果報告は対象範囲のSWIFTサービスの安全性と信頼性に関する独立した機関の保証を提供します。2015年までの報告書はISAE3402基準に基づいて作成され、統治、秘密保持、完全性、可用性、および変化管理分野での記載された管理について、SWIFTが充分で効果的な管理を実施しているという合理的な確証を得たとする独立したセキュリティ監査人の意見が含まれています。2016年については報告書はISAE3000に基づいて作成されます。CPMI-IOSCOの重要サービス・プロバイダーに対する期待に準拠して、監査はリスク管理、セキュリティ管理、技術管理、耐障害性およびユーザーコミュニケーションの分野を対象とします。 ISAE3402と ISAE3000は、SWIFTのようなサービスプ・ロバイダーが顧客と監査人に対し自社のプロセスと管理について、独立機関としての保証を提供する国際標準です。  

毎年、本報告書は顧客、および適切な秘密保持協定の下では見込み顧客にも、要請に応じて提供されます。

2014 ISAE 3402 Type 2の電子コピーをお申込みの方は  

ここをクリック して下さい。

*ファイルは当社のFileActメッセージサービス経由でもお送りできます 。メッセージの保護管理はファイルにも同様に適用されます

**または顧客パートナーの環境