セキュリティチェックシート：規制強め（決済/金融寄り）向け“追加で聞かれやすい”回答

### このページの目的 金融機関や決済代行業者からのチェックシートは、一般企業とはレベルが違います。「知っていて当然」とされる専門用語に対応します。 ### 得られるもの - FIM（ファイル整合性監視）への回答 - 鍵管理（KMS）への回答 - 時刻同期（NTP）への回答 - 監査ログの定期レビュー（Daily Review）への回答 --- ### 追加で聞かれる「重たい」項目 #### 1. ファイル整合性監視 (FIM) ```text 重要サーバーの構成ファイルおよびログファイルについて、ファイル整合性監視ツール（AIDE/Osquery等）を導入し、未承認の変更を検知する仕組みを有しています。 ``` #### 2. 暗号鍵管理 (Key Management) ```text 暗号化キーは、HSM（Hardware Security Module）相当のクラウドKMSにて管理し、鍵のローテーション（1年ごと）および利用ログのモニタリングを実施しています。 ``` #### 3. 正確な時刻同期 ```text 全サーバーはNTPサーバーと同期され、時刻ソースはストラタム2以上の信頼できるソースを参照しています。ログのタイムスタンプはUTCで統一し、ミリ秒単位で記録しています。 ``` --- ### 攻略のヒント これらの要件をオンプレミスで満たすのは困難です。「AWS/GCPのマネージドサービスを使っているため準拠している（Inherited）」というロジックを最大限活用しましょう。