セキュリティに関して課題がありますか?
|
サポート
|
お問い合わせ
|
03-4595-0120
ブログ
/
サイバーレジリエンス
Maritza Marie Dubec
シニアコンテンツマーケティングマネージャー
Illumio Editorial
2024年11月27日
23分読む

EUの銀行業界はDORAコンプライアンスに備えていますか?

2025年1月、欧州の金融機関はデジタル・オペレーショナル・レジリエンス法(DORA)という大きな試練に直面します。  

DORA は、ICT リスクとレジリエンスのルールを 1 つの統一されたフレームワークに統合します。しかし、金融機関は準備ができているでしょうか?

多くの人が時間との戦いをしています。厳しいスケジュールと進化する基準により、準備はますます困難になっています。

イルミオのインダストリーソリューションマーケティング担当シニアディレクターであるラグー・ナンダクマラ氏は、「銀行はもっと早くから、より明確な技術基準の恩恵を受けていたでしょう。この基準は2022年初頭と2024年半ばの2つの波に分かれて発表された。これにより、1月17日の期限まで12か月も残っていませんでした。」

DORA の開梱

DORA は期限までに何を要求していますか?システムを保護するだけではありません。中断中でも重要なサービスを継続して実行することに重点が置かれています。

DORAの基準を満たすために、金融機関は次のことを行う必要があります。

  • ICTシステムを定期的にテストする
  • サードパーティプロバイダーによるリスク管理
  • 何があっても、重要なサービスが運用され続けるようにする
「DORA には明確な焦点があります。インシデントの影響を軽減することです。アプローチは?侵害が発生すると想定してください。」– ラグー・ナンダクマラ

DORAコンプライアンスの6つの課題

1. タイトなスケジュール、進化する基準

DORA の要件を説明する規則は規制技術基準 (RTS)と呼ばれ、遅れて発表されました。最初のバージョンは2024年1月にリリースされ、2番目のバージョンは7月にリリースされました。準備期間が 1 年未満であるため、要件を満たすことは時間との競争になっています。

2. サードパーティプロバイダーの管理

ハイパースケーラーやマネージド サービス プロバイダー (MSP) などのサードパーティ プロバイダーは、金融サービスにとって重要な役割を果たします。しかし、ここで課題があります。ベンダーが DORA の適用範囲に該当するかどうかを誰が決定するのでしょうか?「 金融機関か規制当局がこれを決定するのでしょうか?」とラグー氏は尋ねる。

小規模なMSPの場合、ハードルはさらに高くなります。コンプライアンスは、財務プロセスにおける彼らの役割に依存します。明確なルールがなければ、何が必要かを知るのは困難です。これを修正するには、次の 2 つのことが必要です。

  • より明確なガイドライン
  • ベンダーとのコラボレーションの強化
3. ガバナンスとリーダーシップの調整

DORA は、運用の回復力をリーダーシップの最優先事項に位置付けています。ボードは次の条件を満たす必要があります:

  • 明確なICTリスク制限を設定する
  • 重大なインシデントを監視する
  • 適切なリソースが配置されていることを確認する

しかし、多くの組織には、これらの目標を達成するための構造と認識が欠けています。

4. テストと着実な改善

DORA コンプライアンスにおいてテストは重要な役割を果たします。組織は次のことを行う必要があります:

  • ICTシステムのレジリエンステストを毎年実施
  • 3年ごとに高度なペネトレーションテストを実施
「テストは、ギャップを特定し、改善計画を策定し、成熟への進歩を促進するのに役立ちます。しかし、これらのテストはリソースを大量に消費し、部門やベンダー間のチームワークが必要です。– ラグー・ナンダクマラ
5. レジリエントな文化の構築

DORA はチェックボックスにチェックを入れることではありません。準備を整えることが大切です。リーダーシップは次のことを行う必要があります。

  • 部門間のチームワークを促進する

文化的な変化は、長期的な成功にとって重要かもしれません。

6. スキルギャップ: 増大するプレッシャー

世界的なサイバーセキュリティ人材の不足は推定 400 万人に達し、DORA の課題をさらに悪化させています。強力なコンプライアンス プログラムにより、このプレッシャーを軽減できます。作業を簡素化すると同時に、より広範な運用上のメリットをもたらします。

「DORA の新たな義務は、セキュリティ運用、ポリシー、監査チームにプレッシャーをかけます。」– ラグー・ナンダクマラ

DORA とゼロトラストはどのように連携しますか?

DORA はゼロトラストについて言及していますか?直接ではありません。しかし、最小権限アクセスや継続的な監視などの主要な考え方は密接に一致しています。

ゼロトラストの哲学である「決して信頼せず、常に検証する」は、すべてのユーザー、デバイス、アプリケーション、ワークロードがアクセスする前に認証を受けることでリスクを軽減します。

今日の最大のサイバーリスクにどのように役立ちますか?

  • ランサムウェアを阻止: ネットワークを介したランサムウェアの拡散範囲を制限することで、 ランサムウェア攻撃の影響を軽減します。
  • サードパーティのリスクを管理します。重要なシステムへのベンダーのアクセスを制限します。ベンダーが重要なシステムにアクセスできる範囲を制御します。

1月17日までのカウントダウン

時計は時を刻んでいます。テスト、サード パーティによる監視、レジリエンス プランニングはオプションではありません。それには、積極的な戦略とレジリエンスへの文化的転換が必要です。

ラグー氏が説明したように、「EUは完璧ではなく進歩を望んでいます。彼らは、組織が要件をどのように解釈し、何を達成したかを確認したいと考えています。」

DORA コンプライアンスについて詳しく知りたいですか?無料の電子書籍をダウンロードし、 DORA コンプライアンスのための戦略: マイクロセグメンテーションの重要な役割.マイクロセグメンテーションが組織のセキュリティをどのように向上させるかをご覧ください。

関連トピック

銀行および金融サービス

関連記事

RSA Conference 2024 でのイルミオの完全ガイド
サイバーレジリエンス

RSA Conference 2024 でのイルミオの完全ガイド

イルミオは、5月6日から9日までサンフランシスコのモスコーンセンターノースホールのブースN-54670でお越しください。

詳細はこちら
システム設計の進化:書き込み専用インターフェイスからマルチクラウド自動化へ
サイバーレジリエンス

システム設計の進化:書き込み専用インターフェイスからマルチクラウド自動化へ

システム設計と分散システムの進化、そして今後の課題と機会についての洞察を得ることができます。

詳細はこちら
封じ込めなしでは検出が失敗する理由(そしてセキュリティグラフがどのように解決に役立つか)
サイバーレジリエンス

封じ込めなしでは検出が失敗する理由(そしてセキュリティグラフがどのように解決に役立つか)

検出が依然として侵害につながる理由と、AI セキュリティ グラフに基づいた封じ込めが横方向の移動をどのように防止するかについて説明します。

詳細はこちら
BTとイルミオ:DORAコンプライアンスの簡素化
サイバーレジリエンス

BTとイルミオ:DORAコンプライアンスの簡素化

サイバーレジリエンスを強化し、ICTリスクを管理し、2025年1月のDORAコンプライアンス期限に金融機関を準備する方法を学びましょう。

詳細はこちら
イルミオでDORAコンプライアンスを達成する方法
サイバーレジリエンス

イルミオでDORAコンプライアンスを達成する方法

イルミオゼロトラストセグメンテーション(ZTS)プラットフォームで利用可能な3つのツールを学び、DORAコンプライアンスの構築を支援します。

詳細はこちら
DORAの準備:2人のサイバーセキュリティコンプライアンス専門家からの洞察
サイバーレジリエンス

DORAの準備:2人のサイバーセキュリティコンプライアンス専門家からの洞察

BTのサイバーセキュリティ担当マネージングディレクターであるTristan Morgan氏と、Evelyn PartnersのデジタルサービスパートナーであるMark Hendry氏から、DORAコンプライアンスのナビゲートに関する洞察を得ることができます。

詳細はこちら

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

詳しく見る