A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
DORAのナビゲーション:サイバー・レジリエンスによるコンプライアンス
Season Two
· Episode
9

DORAのナビゲーション:サイバー・レジリエンスによるコンプライアンス

このエピソードでは、ホストのラグー・ナンダクマラが、BTグループのサイバーセキュリティ担当マネージング・ディレクターであるトリスタン・モーガンと、エブリン・パートナーズのデジタル・サービス・パートナーであるマーク・ヘンドリーとともに、金融サービス部門におけるDORA規制とコンプライアンスについて話し合います。NIS2 や DORA などの規制基準間の相互作用、比例性とオペレーショナルレジリエンスの重要性、ゼロトラストなどの原則の幅広い採用について論じています。

トランスクリプト

01:20 ラグーナンダクマラ

みなさん、こんにちは。セグメントの別のエピソードへようこそ。BTグループのサイバーセキュリティ担当マネージング・ディレクターであるトリステン・モーガンと、エブリン・パートナーズのデジタル・サービス・パートナーであるマーク・ヘンドリーを歓迎できることを大変嬉しく思います。トリス、マーク、ザ・セグメントへようこそ。

01:34 マーク・ヘンドリー

ありがとう、ここに来てよかった。

01:35 トリスタンモーガン

お招きいただきありがとうございます。

01:38 ラグーナンダクマラ

まあ、楽しみは全部私のものだし、いつもの人ではなく二人で会話できるようになった。つまり、楽しさも倍増し、手間も倍になります。私たちは、特に金融サービス業界に適用されるコンプライアンスと、それがサイバーにとって何を意味するのかについて話しているのです。お二人の背景について少しお話しします。じゃあ、トリス、まず自分のことを話してくれないか?

01:56 トリスタンモーガン

ええ、ありがとう。ここにいることは素晴らしいことだし、BTグループのすべての顧客、特にビジネス分野の顧客を保護するお手伝いをできることを嬉しく思います。そこで私は、私たちが市場に投入したいと考えている製品やサービス、それらへのサービス提供方法、そして最終的には、今日の状況に合わせて、お客様の安全を確保する方法について検討しています。ご存知のように、できる限り多くの侵害から身を守ることができるだけでなく、コンプライアンスを維持することもできます。だから私はそれを何年も続けてきましたが、それ以前は英国内外の政府部門で働いていた確固たる経歴がありました。

02:29 ラグー・ナンダクマラ

素晴らしい。ありがとう、トリス。マーク。

02:33 マーク・ヘンドリー

いいね、呼んでくれてありがとうそうだねマーク・ヘンドリー、私は英国とアイルランドに焦点を当てたビジネスアドバイザリー会社であるEvelyn Partnersのデジタルサービスパートナーです。この会社に入社する前は、さまざまな企業、テクノロジー企業、四大コンサルタント、法律事務所で多くの時間を過ごしました。2014 年頃から、私の業務の多くは弁護士の指導を受けたり、法務チームの一員として、規制要件を解釈したり、規制や規制執行機関との連携を図ったり、異議を申し立てたりする技術的および業務上の専門家として働いていました。これには、GDPR時代の大規模なデジタル規制変更プログラムや、データ侵害やサイバーセキュリティインシデントの影響を受け、規制当局の精査と執行への調査、是正、対処を必要としていたクライアントとの協力などが含まれます。ですから、今はデジタル規制の世界で生きていくのに楽しい時期です。そして、このポッドキャストでデジタル規制について話してくれてありがとう。

03:43 ラグーナンダクマラ

さっきも言ったように楽しみは俺たちのものだそれで、トリス、マーク、どうもありがとう。実は、マーク、あなたのイントロの最後の部分が、この会話の始まりで私たちが目指すところを本当に刺激していると思います。そして、全体的にだけでなく、特に金融サービス部門にも影響を及ぼしている最大のサイバー脅威だとあなたが感じているものについて、両方の視点を得ています。そこで、考えてみてください。

04:13 トリスタンモーガン

つまり、脅威は数多くあります。そして、セキュリティについて覚えておくべきことは、脅威は 1 種類ではなく、多数存在するということだと思います。そして、その多くでさえ、このような幅広い要因に基づいて進化し、変化し続けています。それは経済的課題かもしれないし、地政学的な課題かもしれないし、他のイデオロギーかもしれない。そのため、多くのお客様が、さまざまな要因による絶え間なく変化する猛攻撃に直面しています。広範囲に及ぶとはいえ、これまで多くの攻撃が主に大規模な多国籍組織、つまり重要なインフラストラクチャと重要なデータを保有する組織に集中していたことが分かります。そして、そうではないケースが増えています。まだ完全に狙われていますが、中小企業は今やその影響を強く受けています。そのため、脅威の観点から見ると、今やあらゆる場所で、あらゆる規模、あらゆる形態の企業に影響を及ぼしています。これは、ご存知のとおり、私たちが見てきた変化の一部を表していると思います。

05:17 ラグー・ナンダクマラ

うん、絶対正しい。そして、データは、逆コンマが最も価値のあるターゲットとして認識されていたものから、今ではあらゆるセクターのあらゆる規模の組織に影響を与えているものへと影響の拡大を絶対に示していると思います。マークのように、トリスの話から引き継ぐべき見方を教えてください。

05:40 マーク・ヘンドリー

ええ、歴史的な要点を考えてみてください。大企業、たくさんの資産、大きな目標、豊富な選択です。中小企業が標的にされています。なぜ?理由はたくさんあります。しかし、サイバー犯罪に対する見返りは、犯罪コミュニティではよく理解されています。リスクは比較的低い。ショットガンを持って銀行に行くわけではなく、報酬は莫大です。また、デジタルサプライチェーンも考えてみましょう。つまり、実際には、これらの中小企業は大企業とつながっているため、標的にされている可能性があります。つまり、そうした企業をターゲットにすれば、ネットワークを横切ってつながった組織へと横移動し、波及効果や複数の影響をもたらすことができるのです。つまり、時間が経つにつれて世界が変化し、デジタル化されてきたのと同じようなものです。相互連携:2、3年前にサプライチェーン攻撃のあった年について話しましたが、今もなお止まりません。そして、ランサムウェアの年。止まらず、進化し、変化したばかりです。犯罪組織や犯罪者が手法、ツール、サービスとしてのランサムウェア、プレイブックを伝え、犯罪組織のカスタマーサービス組織が出現することで、侵入障壁が下がりました。非常に興味深いことですが、脅威のモダリティは頻繁に変化します。脅威アクターの動機はほとんど変わっていないと思います。それは彼らが誰であるか、国民国家か、組織犯罪組織か、あるいは下級レベルの犯罪グループか、あるいは攻撃者がいるかによって異なります。彼らは皆、何かを狙っていて、そのための手段は時間とともに変化し、進化していくだけです。そのため、ディフェンダーを守るために必要な方法も時間とともに変化します。

07:30 トリスタンモーガン

もしよければそこに飛び込んであなたはこれらの企業の多くを思い浮かべます。企業に危害を加えようとしている多くの組織を思い浮かべるでしょう。実際には企業のように運営されています。なぜなら、それらは企業だからです。つまり、テクノロジーの導入とデジタルトランスフォーメーションを見ると、テクノロジーがどのように悪用されるのか、ネット・バッドにどう活用できるのかを理解するためにテクノロジーを検討しているのです。つまり、似ているが非常に異なる2つのビジネスモデルがあるということですね。

07:56 ラグー・ナンダクマラ

絶対に。つまり、収益性のようなビジネスモデルは確かに存在しますし、ランサムウェアやビジネスとしてのランサムウェア、またはビジネスとしてのサイバー攻撃の経済性だと思います。そして、お二人とも、モチベーションについて色々と触れていました。それは単にランサムウェアの年ではなく、ランサムウェアの年と言えるでしょう。複数形ですからね。そして、実際は攻撃のモダリティであり、戦術自体、つまり高レベルの戦術は、攻撃ごとに、攻撃者から攻撃者へと実際には変わりませんが、その手法や手順の一部は進化しています。しかし、それらを少しずつ解き明かして、動機とその1つを見て、過去数年間のさまざまなレポートを見てみましょう。明らかになりつつあることの1つは、強要アプローチだけでなく、可用性の生産性を損なうことに焦点を当てた攻撃が増えていることです。収益性アプローチ。それをどう見ていますか?そして、これは組織の間でますます懸念されているとお考えですか?攻撃が間近に迫っていることがわかっているのに、生産性を維持するにはどうすればよいでしょうか。

09:15 マーク・ヘンドリー

あなたの言うとおりだ。つまり、レジリエンシーという言葉は、私が言っているのは、「常に存在を念頭に置くこと」だと言えるでしょう。なぜなら、セキュリティ侵害が進行中であっても、ビジネスが運営できなくなることは問題ではないからです。そうですね、企業内で進行中のことがあっても、どうすれば事業を継続できるのでしょうか。つまり、私たちが導入している新しいハイパースケーラー SaaS モデルでは、ほとんどの企業が、大半の企業が規模を食い止めているのはごくわずかです。そのため、焦点は IT のレジリエンスにあります。サイバー関連ではないシステム停止が発生した場合、そして実際、サイバー関連の障害が今最も重要になっています。それは、ランサムウェアや、データを再び公開したり、回復したりするために支払いを要求することだけではないという正当な主張をしているからです。実際、ウェブサイトを閉鎖して新規注文を売ることができないようにするか、5万人の従業員全員が入ってきて、それ自体もそのビジネスに莫大な費用がかかるようなことをするのを防ぐことができるかどうかは、はるかに重要です。

10:21 ラグーナンダクマラ

そして、ええ、それと結びついていると思います。最近のデータ漏えいレポートの1つを見ていたところ、データ漏えいの平均コストを見ると、その約3分の1がビジネスの損失によるものだと書かれていました。そして、総コスト全体に占める割合は増加しています。これまでは、身代金の支払いか回復のどちらかというと重大な影響でした。しかし、ビジネスそのものへの影響、つまり生産性への影響は、日々増加の一途をたどっています。Mark さん、お客様との会話と同様に、オペレーショナル・レジリエンスとサイバー・レジリエンスに関して言えば、その会話の内容はどのようなものなのでしょうか?

11:02 マーク・ヘンドリー

誰と話しているのか、相手にとって何が重要なのか、どの分野に属しているのかによって異なりますが、ストーリーを語ることがよくあります。たとえば、私が少し前に扱ったランサムウェア事件の1つは少し前のことですが、これはかなり良い話です。彼らは大規模なランサムウェア、つまり大量のランサムウェア攻撃を受けたため、基本的に業務が停止しました。そして、彼らは1日あたり数百万の損失を被っていました。彼らは動きの速い消費財企業だったので、商品を倉庫に出入りさせることも、ラベルを印刷することもできず、ギグエコノミーの労働者にいつ仕事に来るべきか、どこで働くべきかを伝えることもできず、サプライヤーへの支払いも、スタッフへの支払いも、日々の影響もたくさんありました。そして、トップラインから何百万ドルもの損失を被っていましたが、犯罪者にお金を払ってシステムやデータを復旧させることには、哲学的には断固として反対していました。ですから、もし私が、工場生産ラインを持ち、ギグベースで出入りする企業、つまりゼロアワーの契約社員と話をしているのであれば、どのような影響がどのようなものか、どのような影響がどのようなものか、そしてそのような危機に直面したときにどのように意思決定をするのかを彼らに伝え、心を研ぎ澄ますのに良い話です。一方、金融サービス組織は、その運営方法やトップライン収益の創出方法の点で大きく異なります。したがって、意思決定をどのように行う必要があるか、通信が停止した場合にどのように調整するか、それらのことをどのように計画するか、そしてそれらの哲学的な選択をどのように行うか、そして実践的、運用的、技術的な選択を行う方法も同様です。そしてもちろん、業界が異なれば、規制遵守の義務、負担、監督、監督も異なります。したがって、金融サービス業の分野で、破壊的なランサムウェア攻撃やその他のデジタル指向のシステム停止による全体的なコストについて話しているのであれば、その費用のかなりの部分が、監督機関である上司からの罰金通知によるものと考えられます。一方、今のところ、食品生産企業であれば、システムの耐障害性を維持するために障害が発生した場合に多額の罰金が科せられるとは予想していないでしょう。個人データ漏えいでも罰金が科せられるかもしれませんが、それは少し違います。これは監督の本質であり、施行内容は業種によって大きく異なる場合があり、この種の混乱による全体的なコストの見通しが劇的に変わる可能性があります。

13:47 ラグーナンダクマラ

ええ、絶対に。つまり、コンプライアンスや規制の厳しい業界、コンプライアンスや規制の厳しい業界がどのように基準の向上、この場合はセキュリティとレジリエンスの向上を推進しているのか、という点について、私たちが探求したい分野です。それを念頭に置いて、どのような変化が起きているとお考えですか?というのも、私は以前のキャリアで個人的な経験をいくらか見てきたからです。コンプライアンスの観点から見たチェックリストは、大体網羅的なものでした。このリストに目を通し、これらすべてのことを行っていることを確認し、基本的には証拠を提供してください。しかし、これらの統制の影響については前後関係がないことが多かったため、実際にセキュリティ体制が有意義に改善されているというよりは静的なものです。この点についてどう思いますか?DORAについて少し話しますが、その点でDORAが推進している興味深い変化がいくつかあります。しかし、例えば、コンプライアンスとその要件の有効性を歴史的に振り返ってみて、あなたはどう思いますか?

14:48 トリスタンモーガン

多くの組織で、コンプライアンスは難しいものと見なされることが多かったと思いますが、その理由については疑問符も付いていました。そして、よくチェックボックス演習と呼ばれることもあったが、その主張は正当なものだ。また、英国のNCSCが開発したサイバー・アセスメント・フレームワークなど、最近の動向を見てみると、これはチェックボックスではありません。これは実際にはスケールでの格付けに関するものです。組織ベースでできることは、企業によっては、これらのことが他のことよりも重要だと言うことです。そのため、コンプライアンスを遵守する必要がある分野を詳しく調べることができ、規模に対するコンプライアンスの必要性がどの程度あるかを把握することもできるのです。これは本当に重要だと思います。違反が発生した場合の運用プレイブックが良い例だからです。さて、どのようなシナリオをシミュレートしようとしているのでしょうか?企業全体に漏洩がどこまで広がるのか考えてみてください。これらすべての種類のことを判断するには、顧客やより広いサプライチェーンに対するリスクに基づいて、実際にどの程度対策を講じる必要があるかを判断する必要があります。

15:55 ラグーナンダクマラ

うん、絶対正しい。それは比例性の問題に戻ってくると思う。あなたのビジネスにとって何が重要かというと、あなたにとって何が重要かということになります。マークは、これまでの経歴を踏まえて何をしてきたか、これまで顧客と何をしてきたか、そしてそれが時間の経過とともにどのように変化してきたかについて、どのような見方をしていますか?

16:15 マーク・ヘンドリー

そうですね、デジタル空間の規制環境(デジタル空間とデータ空間と呼びましょう)は変化し、大きく変化していると思います。私が長年実務に携わっている間、私は1998年のデータ保護法をそのままクライアントに助言していました。その後、GDPR、英国のGDPR、英国のデータ保護法が制定されました。また、私たちがそれを実践してきた方法、あるいは顧客や企業が支援を必要としていた方法も、時とともに変化してきました。これは、私自身の実務家としての立場の問題かもしれませんし、デジタルエコシステム、世界、そして私たち全員が現在生活している規制や標準環境の遵守に関するものかもしれません。たとえば、昔はコールセンターやデータウェアハウスを回って、統制が存在するか、存在しないか、ある程度機能していることを確認し、合意された手続きや監査などを行っていました。そういったことのいくつかは今でも続いていると思います。しかし、標準のテキストを見ると、Trisが今言ったように、NISTのサイバーセキュリティフレームワーク、またはMCSCのサイバーアセスメントフレームワークや、実際にはNIS2とDORAに関するものです。ですから、NIS2 が良い例です。まったく静的でない最先端技術を考慮に入れているようなことを言っています。それは常に変化しています。そのため、解釈の量が非常に多くなります。そして、なぜそう書いてあるの?なぜなら、攻撃と危害因果関係の最先端技術も変化するのに合わせて、保護、検知、対応の最先端技術も変わらなければならないからです。そして、これらの規制は 20 ~ 30 年の試練に耐える必要があり、それを裏付けるガイダンスを通じて進化させる必要があります。しかし、ご存知のとおり、DORA と関係がある NIS2 が指摘されています。NIS2 の定義には、標準の定義があります。標準とは、この規制が標準を指す場合、国際標準を指し、欧州規格を指し、技術標準を指すということです。そのため、規制自体よりも動きの速い他の場所への道標がすぐに示されます。したがって、私たちがクライアントにアドバイスする方法、クライアントがこれらのことを考慮して行動する方法などは、すべて非常に頻繁に変化します。

18:58 ラグーナンダクマラ

ええ、あなたはそれを美しく表現したと思います。トリスさん、それを念頭に置いておくと、今見ているのは NIS2 の話ですが、ここでは DORA を紹介しますが、ここでは DORA を紹介しましょう。ISO 27001 を構築するためのインスピレーションとしてどのように活用されているかについて説明しています。なぜなら、そこには、車輪の再発明を試みるよりも、すでに関連性のあるものがたくさんあるからです。ですから、マークが言っていたことと結びついているのは、努力の重複を避けるために組織がとにかく採用している、規制と安全なフレームワークや標準とのより緊密な連携ということだと思います。それはあなたが観察していることと一致していますか?

19:46 トリスタンモーガン

ああ、100%、実は、これは本当にビジネスに役立っています。多くの企業がさまざまな分野で採用している ISO のような大きなグローバル標準を思い浮かべるでしょう。完全に独立したものを構築し、すべての企業に異なるものの遵守を依頼した場合、多大なコストがかかるだけでなく、実際にははるかに大きな抵抗が生じると思います。一方、DORAのようなこれらの規制は、実際には多くの企業がすでにある程度採用している業界で認められたベストプラクティスに基づいており、実際には賢明ですが、コンプライアンスへの障壁も少なくなります。つまり、そこにたどり着くためにやるべきことはまだたくさんありますが、実際には、それが少なくなっています。しかし、それはまた、企業が話し合うことのできるコミュニティが増え、何をすべきか、何をすべきか、また心配する必要のない分野を理解できるようになったということでもあります。多くのセクターについて、これを行うには課題もありますが、これが普遍的に使用されているものであり、企業がさまざまな現地の法律やさまざまな国に従う必要がないという満足感もあります。なぜなら、私たちやお客様がサービスを提供する多くの企業は国の境界を越えて事業を行っているからです。

20:57 ラグーナンダクマラ

ええ、絶対に。実は、この点についてもう少し話しておくと興味深い点です。というのも、NIS2 は、その性質上、EU が NIS2 を指令として定義し、基本的には加盟国にそれを関連する現地の規制に採用するよう求めているからです。しかしそれを DORA の場合と比べると、EU は「実際には、これを全面的に適用させる責任は我々が負うつもりだ」と言っています。より広く、より多くの産業を対象とするNIS2と、EU全体で規制になりつつあるDORAでは、なぜこのようなアプローチに違いがあるのでしょうか?アプローチに違いがあるのはなぜか?

21:46 トリスタンモーガン

それを認識してレベルアップさせ、実際にこれを欧州経済と見なしていると思います。したがって、レジリエンス、サイバーセキュリティに関するこれらの基本的な問題のいくつかを検討しない限り、個々の国レベルだけでなく、より広く、より広い地理的レベルで発生する可能性のある影響を認識します。それがなければ、異なる解釈をしていても、調和は得られず、すべてが同じ方向に進むこともできないからです。もちろん、セキュリティには別の問題もあります。チームスポーツとして見ると、組織間で情報を共有してより良くする必要があります。繰り返しになりますが、これらの大陸全体およびヨーロッパ全体の規制を見ると、それらは重要だと思います。なぜなら、それがその基礎の 1 つだからです。

22:32 ラグーナンダクマラ

そして、ええ、それは重要なポイントだと思います。また、EUでも世界でも、金融サービス業界は、NIS2がカバーする重要産業のような他のどの業界よりも、はるかに国境を越えて相互につながっていると思います。マークさん、どう思いますか?

22:50 マーク・ヘンドリー

ええ、私はあなたの言ったことに完全に同意します。遺産については少しあると思います。2 つ目は NIS2 です。これは NIS から来ています。私たちには英国のNISがあって、元々のNISネットワークや情報システムを知らない人のために説明すると、2018年の規制は本当に必要不可欠なサービスの運営者に焦点を当てていました。つまり、国家の重要なインフラ、公益事業、運輸などであり、関連するデジタルサービスプロバイダーであるRDSP(RDSP)と呼ばれるものも同様です。そして、それはすべて国際法に置き換えられたものです。GDPRとほぼ同じ時期でした。GDPR はすべての注目を集め、実際にはその後、施行と監督のほとんどすべてに注目が集まりました。そして、NIS2 は、より広い範囲の産業が、国内的、国際的、経済的、社会的、社会的基盤において重要または重要であると見なされるべきであると認識しているため、議論の第二段階です。しかし、実際には連携が取れておらず、フランス郵政公社と英国の水素インフラ経済との間には何の調整も行われていません。そのため、NIS2 の対象となるすべての業界に適したものを作るのは本当に難しいでしょう。そして、調和のとれたものですが、あなたがおっしゃるように、欧州の金融サービス、経済・社会、監督制度はかなり長い間調整されてきました。だからこそ、調和のとれた包括的な行為であるDORAの方がはるかに可能性が高いのです。ご存知のとおり、時間がその証拠となるでしょうが、その調和のとれた手段を用いて、達成すべきことや、達成すべきと定められた原則を達成できる可能性ははるかに高くなります。

24:45 ラグーナンダクマラ

そうは言っても、私たちは歴史的に金融サービス業界におけるICTリスク管理規制の本質に精通していると思いますが、EUがこうした規制の多くを「オペレーショナル・レジリエンス」という形で再構築するきっかけまたは転換点は何だったと思いますか?マーク、転換点は何だったんですか?

25:14 マーク・ヘンドリー

これは、おそらく2008年の金融危機以降、金融サービスにおける最大のレジリエンス対策だと言えるでしょう。2008年の金融危機以降は、金融レジリエンス、つまりシステム内の現金に関するものでした。2008年以降、多くの変化がありました。先ほどお話ししましたが、経済とそのすべてのプレーヤーがどの程度相互につながっているか、そして社会がデジタルインフラにどれだけ依存しているかについては、これから見られるようになりつつあると思いますが、ある種の機能停止が起こったときにその影響がどれほどドミノになり得るかという点では、少し驚いたかもしれません。デジタルサプライチェーンの奥深くに埋もれているために誰も気づかず、誰も実際にデューデリジェンスを行っていないのに、私たち全員が彼らに頼っていたらどうなるかについて、ヨーロッパ全土で大きな懸念と緊張があると思います。ただ、まだ分からないだけです。そして、DORAの識別目標のようなものでそれが明らかになります。そこでは、サプライチェーンを徹底的かつ詳細に計画し、誰が誰とつながっていて、誰が誰とつながっていて、誰に頼っているのかを確認する必要があります。そして最近、これらすべてのDORAプロセスとプログラムの真っ只中で、サプライチェーンを特定し、DORAの対象となる金融サービス事業体として決定するという非常に良い例がありました。DORAの対象となるのは誰かを重要または重要なICTプロバイダーと見なします。サイバー攻撃は受けなかったものの、ウィジェットやドングルを接続して多数のサーバーやラップトップに導入していた多くの金融サービス機関と提携するICTプロバイダーとして。そして、そうした企業の行動が、大規模で破壊的な業務停止を引き起こしたのです。そして、それはサイバー攻撃とは関係ありませんでした。だからこそ、あなたも私も、サイバー目標、サイバー義務、サイバー要件として捉えるICTリスク管理の要素があるのです。しかし、それよりも重要なのは、デジタル・オペレーショナル・レジリエンスです。なぜなら、それはサイバー攻撃ではなかったからです。そして、短期間で破壊的なランサムウェア攻撃を受けたのと同じような影響があったからです。そして、これが起こった理由です。今の世界がどう動いているかに基づいて介入するということです。

27:40 ラグーナンダクマラ

ええ、絶対に。君が言ったことには戻るよ。トリス、何か付け加えることは?

27:44 トリスタンモーガン

彼らもそれが来るのを見ることができたと思います。そして、マークが関連しているクリティカル・セクターの高度に相互に結びついているだけでなく、ジャスト・イン・タイム・エコノミーを見てみると、いつでも、いつでも、どの時点でも、それが小さな局地的な影響ではないことが、いかに大きな影響を及ぼし得るかが気付き始めるでしょう。ですから、この計画にはもっと先見の明があると思いますが、私が一緒に仕事をしている企業に対しても、特定の企業やセクターがすべての費用を負担する必要がないように、これらのことについてより詳細なガイダンスと標準化を組織に求めています。

28:28 ラグーナンダクマラ

そこにはいくつかのものがあります。お二人ともおっしゃっていたので、その影響について考えてみましょう。また、最近の例として、2023年末の終わりにICBCランサムウェア攻撃に関連したサイバー攻撃があり、その後、米国証券の主要構成要素である米国証券市場に影響を与えたことが考えられます。そして、取引相手全員の取引などをクリアできるというノックオン効果もありました。これは、DORAやそれがもたらすコントロールのように、文字通り影響を減らすことを目的としているものの好例ですが、サードパーティのものは本当に興味深いと思います。皆さんに最初に尋ねる質問は、重要な第三者サービスプロバイダーと重要でない第三者サービス製品をどのように見分けるかということです。というのも、そのようなチェーン、亀がずっと下がっているようなものです。掘り下げ続けて、「まあ、それは私のプロセスにとって重要で、あれは重要で、あれはそうです」と言えるからです。つまり、すべてが重要だということです。では、どのように差別化を図ればよいのでしょうか?

29:35 マーク・ヘンドリー

つまり、そこにないポイントがあります。それは解釈の問題であり、したがって深さと徹底性の問題であり、その間にリスクバランスがあるということです。それは比例原則です。これらの規制にはすべて比例原則が含まれており、これはたとえば、X、Y、Zへのリスクを念頭に置くことに関係しています。GDPRでは、データがハッキングされたり盗まれたりした場合に、自然人、つまりあなたや私に危害が及ぶリスクに関するものです。つまり、それが医療データであって、それを入手したくない人物、または財務データだとしたら、危害を受けるリスクは何かということです。そこで、あなたはそれに対処するために相応の保障手段を講じているのです。そして、サプライ・チェーン・マッピングについて言えば、あなたが望むなら、何が重要で何が重要なのでしょうか?念のために言っておきますが、私は弁護士ではありませんが、定義が何であるかを調べ、あなたの組織に合わせて解釈してください。そして、実際には2つあります。先日、これについていくつかアドバイスをしていました。少なくとも私が扱っていたクライアントのシナリオでは、この点を考慮する2つの方法があります。それは、障害が発生したり消滅したりした場合に重要であり、金融サービス部門と経済において重要なことを完了することができなくなるということです。そして、それは、取引の完了や取引など、人々が機械から現金を引き出すようなものです。その第二部は、あなたにとって何が大切かということについてです。つまり、それが経済、経済に関わる人々、そして行動を起こす他のプレーヤーにとって重要なことです。そして実際に、それはあなたにとって重要なのか、それとも重要なのか、という問題があります。そして、もっと重要なのは、自分自身、部下、そして自分を頼りにして何かをすることを期待する他の人たちに対して、自分が負っている義務を果たすことができるか、ということです。たとえば、このクライアントとの会話では、「ああ、当社のリスク管理についてはどうですか?」ということでした。「私たちはそれを実現するために X、Y、Z、クラウド・ポータル、またはプラットフォームを使用し、X、Y、Z でそれを適用しています。」では、これらはきわめて重要なのでしょうか。実際、特定の時点で1週間以上ダウンすると、規制上の義務を果たせなくなります。そうですね、彼らはその2つのうちの1つです。それらはきわめて重要です。誰がそれを切り抜けるかはあなたが決めるけど、私はそういうふうにやってるんだ。

31:58 ラグーナンダクマラ

そこで、これに対抗するために言っておきますが、これらの規制、特にDORAの特性は、比例性の部分によって、非常に動的で、柔軟性が高く、あらゆる組織に合わせて非常にカスタマイズ可能になっていると思います。しかし、「オーケー、これが私たちがやろうとしていることだ」ということを特定して判断するうえでも、正しい選択をしたことを証明できるという点では難しいことではないでしょうか。これは課題となるのではないでしょうか。つまり、組織は通常、できる限り多くのことをデフォルトとして行っているということでしょうか。どのように判断し、正しい決定をしたことをどのように証明しますか?

32:45 トリスタンモーガン

ですから、あなたはそこで妥当な主張をしていると思います。つまり、実際に意思決定を証明し、自分の要点を中心に、比例性を中心とした立場に立つ必要があるということです。では、どのようにして意思決定と証拠を得たのでしょうか?マークの言うところでは、実際に弁護士も探しているのですが、どうやってそこにたどり着いたかという観点から提案します。なぜなら、明らかにあなたがしたくないのは、仮定をして、それが将来無効であることが証明されることだからです。また、あなたが今日下す決定はどれも、それが厳しすぎるのかを理解するために定期的な見直しが必要であることにも注意してください。私たちが実施した内容という点では、それらは十分に厳格ではないのでしょうか?しかし、少し前に戻って、これはバイナリ、つまり1か0に関する質問ではないことをお伝えしたいと思います。実際、これはキースケール程度です。また、必要な重要な関係者を検討する際には、さまざまなプラットフォームシステムや機能のスタックランキングについて考えることも重要です。また、私がお客様とよく話していることですが、購入注文書を作成できなかったら、それは本当に重要なことなのか、とお客様がよく考えていることです。私たちは、まあ、実際、インシデント対応のスペシャリストを雇うためにそれが必要なら、それは問題になるだろうと言いました。そのため、どのレベル、どの程度までコンプライアンスを維持したいのかを判断する際には、シミュレーションや思考の一環として、かなり詳細な方法で取り組まなければならないことがたくさんあります。

34:03 ラグーナンダクマラ

それは本当に素晴らしい点です。つまり、事業を継続し、運用を続けるために継続して実行する必要がある主要なビジネスプロセスのうち、小規模なものはどのようなものか、ということです。それが他のすべてを支えていると感じています。それで、会話はたいていそこから始まるんですか?会社として最低限設定されているのはそういうことですか?

34:28 トリスタンモーガン

ええ、私はいつもお客様から始めることを推奨しています。実際、私が顧客だとしたら、どのようなサービスがあるのでしょう、サービスを受け続けるために必要なサービスは何でしょうか?そして、そこでは最低限必要なことについて難しい決断が下されるでしょう。マークは、現金を手に入れることや送金できることについて話しました。これらは金融サービスにおいて根本的に重要なことであり、それを組織全体に浸透させると、その逆のリスクとして、どのプラットフォームシステムなどを維持する必要があるかを実際に検討しても、その1つという重要な点を見失ってしまうリスクがあります。つまり、実際には顧客に連絡できるということです。そこで、私はそれを前から後ろまで見ることを提唱します。

35:08 ラグーナンダクマラ

絶対に正しい。なぜなら、そこから始めて、いったんそのリストができたら、こう話すことができるからです。「オーケー、じゃあ、こういうものが直面している脅威は何だ?彼らはどのようなリスクにさらされているのでしょうか?」次に、統制のギャップがどこにあるかを特定する方法について検討し、それを軽減するためにどのような追加統制を導入する必要があるかを判断し、そのテストと改善を続けてください。

35:32 トリスタンモーガン

そして進めていくうちに、コントロールのギャップがたくさんあることがわかります。そして、こう言うことが重要です。「さて、どれを優先するか?どれが一番重要ですか?」700のことをリストアップするよりも、やるべきことがたくさんあります。重要なのは、企業が継続的に事業を運営し、顧客にサービスを提供できるようにするには、どれが最も大きな影響を与えているかを知ることが重要です。

35:51 ラグーナンダクマラ

そうですね、Mark さん、その後に続くのが、ビジネス情報に基づいたアプローチで、比例関係と結びつき、本質的に、あなたとあなたのプロセスが直面する脅威は何か、テスト方法を決定づけることになると思います。これはDORAの重要な部分であり、過去に金融サービスのリスク管理分野で適用されてきた他の規制とは一線を画していると思います。そういうふうに考えているんですか?

36:18 マーク・ヘンドリー

ええ、そう思います。トリス、君の言うことには全く同感だ。つまり、不便だったり苦痛だったり、企業対消費者金融サービス組織や企業間取引だと言われたとしても、規制当局の精査が最も早く行われることがわかっている場合は、ノックされた場合に人々が気付くことは何か、ということです。それらはどのようなもので、そこから逆算して、どのような相互につながっているのでしょうか?彼らは何を頼りにしているのか?そして、その手がかりは「ビジネスインパクト分析」という名前にあります。私たちはこれをロバの連中とやってきましたが、私たちの後ろに鋭い棒があり、DORAという形で今それをやらざるを得ないからです。金融サービスではいつもそういうことがありました。とにかく、他の業界は初めて厳しい状況に直面しています。しかし、ここでは主にDORAについて話しています。ここでもう一つポイントがあります。ええ、私たちはDORAの施行への道を進んでいて、それがどのようなものかはまだわかりませんが、金融サービスや監督当局は通常、より設備が整っていて、十分な訓練を受けた人材、適切なリソースを持っていることはわかっています。規制当局や上司に代わって仕事をしている人がいたら、彼らはおそらく意見を異にするでしょう。今、彼らは意見が合わないかもしれませんが、他の人と比べると、彼らは群を抜いてより積極的です。なぜなら、それは非常に重要だからです。でも今ドーラから4ヶ月も離れてるの?じゃあ予定通りに進まなかったらどうする?何を優先するつもりですか?もっと深く、あるいは軽く触れるのは何か。そして、説明責任については先に述べました。何か問題が生じた場合、その決定と行動が、その時点で入手できた情報に基づいて取るべき適切な一連の決定と行動であった理由について、どのように説明すればよいでしょうか。調査が行われ、執行が計算され決定される際には、これらすべてが一因となります。だからといって、強制執行が行われないというわけではありませんが、そうした状況を緩和する状況について、それらについて良い話をして、それが賢明で賢明な決定であったこと、あるいは少なくとも過失ではなかったことを証明できれば、自分が良い立場に立っていることがわかります。ですから今DORAプログラムに遅れをとっているなら、私たちが言ったことを考えてみてください。何が最も害になるのか、何を優先するのか、何を乗り越えるのか、来年は何を始めるのか、少しリスクバランスの取れた観点から考えてみてください。

38:50 トリスタンモーガン

金融サービス会社は規制に非常に慣れていることが多いと考えるのはまさにその通りです。しかし、ご存知のように、DORAの適用範囲について考えると、先ほどお話ししたように、ICT企業やその多くを含め、実際にこの種の規制の対象となったのはこれが初めてです。したがって、コンプライアンスを達成しようとするとオーバーヘッドが発生するだけでなく、コストもかかります。また、こうした企業の中には比較的小規模な企業もあるため、移行に乗り出すだけでなく、実際にコンプライアンスを遵守するためのコストも非常に面倒です。

39:20 マーク・ヘンドリー

全くそのとおりだ。これは、規制対象外の企業への対象範囲の拡大です。規制対象外の企業は、欧州の金融サービス経済にとって重要な、あるいは重要なICTサプライヤであるため、Doraの対象となります。そして実際、DORAには非常に興味深いものがあります。DORA には仕組みがあって、それがどのように機能するのかとても興味があります。それがアセットの登録と呼ばれるものです。金融サービス機関がこれらのスプレッドシートに記入しなければならないのは、これらが私たちの重要な情報システム、ICT、および第三者資産であり、それらは要求に応じて、またある程度の頻度で監督当局に開示する必要があるということです。その後、ICTプロバイダーは監督当局から「重要かつ重要」と指定されます。今では、これらすべての資産登録簿が大規模なビッグデータ漏洩に陥るような調整メカニズム、協力メカニズムがあり、突然、欧州委員会レベルで史上初めて、これらすべての相互接続と交差点の運用方法が、何層にも重なって見事になった状況を予測できます。私にとって、彼らがDORAでそれを達成できれば、私たちがどのように回復力を維持するかは非常に強力で、そこにたどり着くために何が必要かを一瞬忘れてしまうようなものです。その洞察を得るだけでも数十年の歳月がかかり、私たちはその最前線にいるのかもしれません。マニアックな言い方をすれば、これはちょっとクールなことです。

40:55 ラグーナンダクマラ

ええ、絶対に。それに対する反応は2つあると思うけど最初の反応は、銀行金融サービス業界、テクノロジーサービスプロバイダーの間の相互依存関係全体と、これらがどのように相互に関連しているか、そしてそれがどの程度深く関わっているかを完全に理解しているのは驚くべきことだというあなたの反応です。しかし、その後、あるテクノロジーベンダーのもとで働くこともありました。私が恐れているのは、自分がそのリストに載っているかどうか、また、そのリストに載っていなければ、自分が批判的かどうかは、どうすればわかるのかということです。私は批判的じゃないの?また、あるお客様が「ああ、彼らは重要なテクノロジープロバイダーだ」と言っているお客様と、リストに載っていないのは私たちではなく別のお客様との違いです。それでは、それが私の義務にどう影響するのでしょうか。というのも、それはまだはっきりしていないと感じている部分だからです。

41:48 マーク・ヘンドリー

それで、私の会社はフィンテックアドバイザーオブザイヤーを受賞したばかりです。想像していただけると思いますが、私たちはそのスペクトルの中でも限界に該当する多くの企業と仕事をしていますが、それらは基本的にデジタルバンクかそのようなものであるために規制されています。そして、もしその企業が EU 市場で事業を行っていたり、欧州の規制当局の監督下にあったりするのであれば、その範囲を推測してみてください。しかし、彼らがテクノロジー企業であるためにテクノロジー側にいるのであれば、基本的にはテクノロジープロバイダーであり、顧客は金融サービス事業体です。ただ、こうした金融サービスの顧客がどこで事業を行っているのか、そして顧客のために何をしているのかを調べればいいのです。もしあなたが、あなたが彼らにとって重要な存在で、もしあなたが落ち込んだら、相手は何かできなくなるだろうと思っているなら、それは論理的な練習です。小売業、医薬品製造、金融サービスに顧客を抱える、より広範なテクノロジー企業であれば、同じ練習をしてください。金融サービスの顧客は誰ですか?請求をするので相手が誰なのかがわかり、考えてみてください。顧客にとって自分が何を意味するのか、ある日転倒してそのための計画を立て、論理的な練習を重ねた場合にどうなるかを考えてみてください。しかし、トリスの言うところでは、確信が持てない場合は、弁護士に相談してください。

43:00 トリスタンモーガン

議会を探すことについて最後のポイントを挙げると思います。だから、ほら、誰も一人ではできないんだ。そして、助けてくれる第三者はたくさんいます。例えば、最初にどこへ、どこに行くべきかという点で比例性について話し、他のセクターが何をしてきたかを知っているようなものです。そして、人々が適切な程度の負担を負わずに適切なレベルまでコンプライアンスを達成できるように、そのような判断を下す手助けをしてください。特に、この規制の厳しい領域から生まれて当然ではない企業もそうです。そしてマークは、金融サービス分野に進出したテクノロジー企業について話しました。その中には、他の人と仕事をすることが最も重要だと思う企業もあると思います。

43:42 ラグーナンダクマラ

時間が近づいてきて、これはゼロトラストのポッドキャストで、ゼロトラストという言葉は一度も触れていないので、今はそうする義務があると感じています。まずはあなたから始めてみましょう。そこでDORAは、何を目指しているのかについてよく語っています。サイバー攻撃の最中でも継続して生産性を上げることができるように、EUの金融サービス業界のレジリエンスを向上させることを目指しています。また、アクセスの範囲を縮小することなどについては、多くの技術的要件があります。しかし、ゼロトラストという言葉は一度も意図的に触れていません。ゼロトラストとDORAの関連性についてどう思いますか?また、ゼロトラストが意図的に除外された理由についてどう思いますか?

44:28 トリスタンモーガン

2つ目のポイントを取り上げるとしたら、まずなぜそれが省略されているのかを説明します。つまり、ゼロトラストは明らかに、すべての企業のセキュリティポジションを根本的に高めるための機能をまとめた広義のセキュリティ用語です。ですから、実際には、ゼロトラストは将来用語として変わるかもしれないということを念頭に置いておく必要があります。しかし、それを支える原則は、ゼロトラストという名前が付けられなかった理由の 1 つであり、ゼロトラストが命名されなかった理由の 1 つでもあると思います。そして、私はそれらを実際には4つの方法で見ています。重要なのは脅威を特定し、どれが重大か、どれが重要でないか、そしてそのようなサードパーティーへの依存関係を明らかにすることです。そして、ゼロトラストによって、攻撃の保護と防止にどのように役立ち、どこに適切な監視と制御を行う必要があるかを認識すると同時に、攻撃であるかどうかわからないことに対してはより高度なことを行う必要があることを認識する必要があります。そのためには、一見テクノロジーのようなより高度なセキュリティが、より高度な脅威ハンティング、特に国家型の活動について言えば、より高度なセキュリティが本当に重要です。そして、ご存知のとおり、ゼロトラストのもう1つの重要な部分は、これらの攻撃にどのように対応し、どのように回復するかを検討することです。ほとんどの企業は、キャパシティを売却し続けたいと考えていることを覚えておいてください。ですから、ゼロトラストはこうしたものをいくつか集めたものですが、基本的にはそれが重要な理由です。そしてもちろん、一部の企業にとっては、今お話しした4つのうちの1つを増幅または縮小したいと思うかもしれません。なぜなら、それらはあなたの業務に最も関連しているからです。しかし、ゼロトラストの原則を見ると、最も重要なのは、最小権限の概念です。つまり、従業員として管理権限を永久に付与する時代ではなく、従業員や顧客に、必要なことを行うための最小限の権限を与え、必要のないときにその権限を使用したいと考えています。ご存知のとおり、それは私たちがやりたいことではありません。ゼロトラストに必要なのは、人々の参入を根本的に困難にすることです。しかし、仮に人々が組織に入ったとしても、それを本当にタイムリーに察知し、対応し、そこから回復できるようにする必要があります。

46:32 ラグーナンダクマラ

ええ、絶対に。そして、彼らが組織内でどこまで到達できるかを制限してください。組織に入った場合、どこまで移動できるか?ええ、本当に素晴らしい言葉です。そうだよね?これはDORAだけでなく、それをはるかに超えたものにも当てはまる一連の原則です。そして、DORAは、これらの原則のいくつかを必要に応じてダイヤルアップまたはダイヤルダウンすることで恩恵を受けていると思います。マーク、何か考えは?

46:56 マーク・ヘンドリー

ええ、そこにあります。そこにはゼロ・トラストがあります。これは私たちが今日目指し、取り組んでいる標準です。用語は時間の経過とともに進化する可能性があり、だからこそ、この用語はおそらくトリスの言うところには入っていませんが、ゼロトラストの要素は入っているのです。DORA で検索して、「セグメンテーション」という単語を探した場合、「マイクロセグメンテーション」のように、ネットワークの要素を瞬時に切り離して包含し、そこに何があるかというと、そこにはその言葉があります。絶対に入っています。だから、探しているものを知っていればいいんだ。そうすれば見つかるよ。そして、ゼロトラストは進化し続けます。それが進化して、私たちが達成しようとしている別の名前になったり、異なる特性セットになったりするかもしれません。しかし、DORAは長持ちするはずです。そして、ゼロトラストのような用語が、規制上の技術基準やそれに付随する技術標準の実装に現れ始めるかもしれません。しかし、それは絶対にその中にあります。というのも、これまでお話ししてきたような危害から組織を守るための非常に良い方法だからです。

47:53 ラグーナンダクマラ

セグメンテーションベンダーとして、私はGoogleがこれらのドキュメントですべての用語とすべての同義語を検索し、すべての用語とすべての同義語を見つけたことを信じてください。ですから、もうすぐ間に合っていると思います。トリス、一緒に行くから、まずあなたのところに来なさい。まとめると、リスナーの皆さん、DORAについてだけでなく、現在のセキュリティ・リスク・コンプライアンスについて、また今後どのように進化していくのかについて、実際どのように考えてもらいたいと思いますか?

48:17 トリスタンモーガン

このことからわかるのは、私たちがセクターとしてデジタルテクノロジーの利用を増やすのと同じように、敵対者がデジタルテクノロジーを利用してますますターゲットを絞り、そこから利益を得ようとしていることもわかっているということです。したがって、セキュリティについて見てみると、組織内の誰もが極めて重要かつ最も重要な存在であることがわかります。それは、セキュリティをより適切に検出して防御し、最終的には顧客により良いサービスを提供できるようにすることです。つまり、規制とDORAがそのガイダンス、標準化、そして最終的にはそのために必要なコラボレーションを提供するのに役立つ場所でもあります。今年だけでなく、来年ではなく、今後5〜10年間。

49:02 ラグーナンダクマラ

つまり、より良いコラボレーションとより良い標準を実現できるのです。セキュリティを共同で改善するためです。

49:09 トリスタンモーガン

ええ、より良いコラボレーション、より良い基準。それが成功の鍵だと思います。

49:16 ラグーナンダクマラ

すごい、マーク?

49:18 マーク・ヘンドリー

ええ、トリスの意見に賛成です。これはエバーグリーンです。来るよ。まだ来ていませんが、もうすぐ来るし、常緑樹です。だから、良い場所に行って、そこから構築を続け、連れて行こうとしている場所に引きずり込まれたり、蹴ったり叫んだりしないようにしましょう。メリットを考えてみてください。それは価値保護についてです。大事なのは安定性と回復力です。レジリエンスについて考えてみてください。ええ、それがメッセージです。レジリエンスについて考えてみてください。コンプライアンスについてはあまり考えすぎないようにしてください。ただし、ビジネスにとって意味のあるコンプライアンスに準拠した方法で実行してください。正しく解釈してください。良いストーリーを伝え、あなたに合った正しいことをしてください。そうすれば、かなり良い立場に立つことができます。

49:55 ラグーナンダクマラ

まとめると、お二人からの非常に賢明で有益な言葉だと思います。トリス、マーク、本日はどうもありがとうございました。お二人とお話しできて良かったです。すべての知恵に感謝します。みんな乾杯、ありがとう。