セキュリティリーダーの皆さん、DORAの身に迫る危険はもはや頭上にあるのではなく、デスクの上からあなたを見上げている。主要なサイバーセキュリティインシデントを報告するためのわずか4時間という時間枠と、不遵守に対する厳しい罰金を考えると、無視することは不可能だ。
DORA、つまりEUデジタルオペレーショナルレジリエンス法(欧州議会指令(EU)2022/2555)は、2025年1月17日に施行された。この法律は、EU金融サービス業界の透明性を確立し、デジタル決済に対する消費者の信頼を高めることを約束する。
残念ながら、多くの企業はまだコンプライアンスの達成に苦労している。
EU事業を展開している場合は、今すぐDORAについて検討しろ
DORAは、EUのサイバーセキュリティ能力を強化・構築することを目指しており、EU金融機関を対象としている。その名の通り、DORAは、統一された枠組みを通じて、金融サービス企業とその情報通信技術(ICT)プロバイダーのデジタルオペレーショナルレジリエンスを強化することを目指している。
DORAは、欧州金融エコシステム全体のデジタルレジリエンスに焦点を当てた最初の規制枠組みであり、このセクターのリスクとサイバー脅威を軽減するように設計されている。
この義務は、銀行、保険会社、投資会社、暗号資産サービスプロバイダー、クラウドファンディングプラットフォームなど、幅広い金融機関に適用される。これらはすべて厳しい状況に置かれている。確立されたICTリスク管理フレームワークに準拠しない組織は、多額の罰金と評判の低下に直面する可能性がある。
自社のリスクプロファイルを超えて、クラウドプラットフォームやデータセンターなど、特に「重要」と分類されるサードパーティプロバイダーが、以下の主要プロセスに準拠していることを確認する必要がある。
- ICTリスク管理
- インシデント報告と管理
- 情報共有とサイバーセキュリティ
- サードパーティプロバイダー向けの監督フレームワーク
(EUに拠点を置いていなくても、EUの顧客にサービスを提供している企業、特にそのサービスが顧客の事業継続性とオペレーショナルレジリエンスにとって重要と見なされる可能性がある場合は、影響を受ける可能性がある。)
キャッチアップするには費用がかかる可能性
「まだ始めていない人にとって、追いつこうとすることは高くつき間違いになる可能性がある」と、Contrast SecurityのCISOであるDavid Lindnerは指摘する。
コンプライアンスの期限が過ぎた今、多くの金融機関は、その数々の複雑さと厳しい報告期限に適応するという課題に直面している。
2024年4月、McKinseyの調査では、金融機関の約3分の1だけが、2025年1月までにすべてのDORA規制要件を満たせると確信していることがわかった。さらに、回答者全員が、少なくともいくつかのDORAの取り組みが1月17日の期限を超えて継続されると予想していた。
この同じシナリオは以前にも起こっている。企業は、個人データのプライバシーとセキュリティを保護する2018年の法律であるEU一般データ保護規則(GDPR)を満たすのに今でも苦労している。報告書は、米国でも証券取引委員会(SEC)のサイバーインシデント報告義務に対応して、同様の遅れたコンプライアンス結果を示している。
「コンプライアンスの達成と維持には、オペレーションプラクティスへの全く新しいアプローチが必要であり、リソース集約型の監視、監査、報告が求められる」と、Contrast Securityのリスク・コンプライアンス担当ディレクター、Richa Guptaは述べている。「必要な複雑な変更と、そのような変更が影響を与える必要のある広範囲を考えると、金融機関とそのサードパーティベンダーがDORA要件を満たす上で障害に直面しているのは驚くことではない。」
DORAの要件とコンプライアンスの課題
DORAは包括的なICTリスク管理フレームワークを義務付けており、金融機関はデジタルリスクを特定、保護、検出、対応、および復旧する必要がある。これには、既存のフレームワークをDORAの詳細な要件に合わせることが含まれており、リソース集約型で実装が複雑になる可能性がある。前述のように、金融機関は、重要なサードパーティICTプロバイダーが、強化された監視、契約条項、プロバイダーとの共同テストなど、DORAのオペレーショナルレジリエンス基準に準拠していることを確認する必要がある。これらの関係、特に大規模なグローバルサービスプロバイダーとの関係を管理することは困難だ。
年次復旧テストと脆弱性評価も必須であり、注意深く管理しないと運用を中断する可能性がある。これらのテストが事業継続性に影響を与えることなく効果的であることを保証することは、微妙なバランスだ。DORAはまた、主要なICTインシデントを4時間以内に報告するという厳しい時間枠を課している。(比較として、米国証券取引委員会(SEC)の規則では、企業はサイバーインシデントを4日以内に報告する必要があるが、調査によると、多くの企業はこれを満たすのに苦労している。)大規模なサイバー攻撃や混乱を管理しながら、これらの期限を満たす準備をするには、大幅な運用調整と堅牢なインシデント対応プロセスが必要となる。
多くの組織はすでにリソースの制限と拡張性の問題に苦労しており、DORAの要件を実装すると、これらの問題が悪化する。
企業はどのようにDORAへの取り組みを加速できるか?
企業は、DORAのさまざまな側面を支援できるツールを導入している可能性がある。静的アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)、インタラクティブアプリケーションセキュリティテスト(IAST)、ランタイムアプリケーション自己保護(RASP)、およびWebアプリケーションファイアウォール(WAF)などは、ICTシステムの継続的な監視と制御を行い、異常なアクティビティを検出し、脆弱性評価やスキャン、ネットワークセキュリティ評価、パフォーマンステスト、エンドツーエンドテスト、侵入テストなどの必要なテストを実行する。
特に、アプリケーションにおける検知と対応(ADR)は、ICTリスク管理、インシデント報告、およびオペレーショナルレジリエンスの中核要件を満たす能力を考えると、すべての組織のDORAコンプライアンスの武器の一部であるべきだ。ADRがDORAコンプライアンスの達成にどのように役立つかの概要を以下に示す。
1. ADRによるICTリスク管理
- 継続的な監視: ADRはアプリケーションの継続的な監視を提供し、脆弱性、誤設定、および潜在的な脅威をリアルタイムで検出する。これは、堅牢なICTリスク管理フレームワークを維持するというDORAの要件を満たすために不可欠だ。
- プロアクティブな脆弱性管理: ADRは、悪用される前にリスクを特定して軽減し、アプリケーションのセキュリティとレジリエンスを確保する。
- ICTシステムの予防と保護: ADRは、異常なアクティビティからICTシステムを保護する。検出、予防、および保護は、実際にはADRの主な目的だ。
2. インシデントの検出と報告
- DORAは、重要なICTインシデントを主要なものとして分類してから4時間以内に報告することを義務付けている。ADRツールは、脅威の検出、分類、および報告ワークフローを自動化することでこのプロセスを合理化し、インシデント報告要件へのタイムリーな準拠を保証する。
- ADRはまた、DORAで義務付けられている中間報告書と最終報告書の作成に不可欠な、詳細なインシデント後の分析をサポートする。
3. オペレーショナルレジリエンスのテスト
- ADRプラットフォームは、侵入テストや脆弱性評価など、アプリケーションの定期的なレジリエンステストを促進する。これらのテストは、シナリオベースの評価を通じてICTシステムを継続的に改善するというDORAの要件に沿ったものだ。
- 攻撃シナリオをシミュレートすることで、ADRは組織がさまざまな脅威状況に対する準備状況を評価し、対応能力を向上させるのに役立つ。
4. サードパーティリスク管理
- ADRツールは、アプリケーション内でサードパーティ統合を駆動するコードを監視する。
- サードパーティのソフトウェアまたはサービスを通じて導入された脆弱性を特定することにより、契約上の合意事項の履行を支援する。
5. ガバナンスと監督
- ADRソリューションは、アプリケーションのリスクとインシデントの可視性を提供する集中ダッシュボードを提供し、経営幹部がDORAの下でガバナンス責任を果たすことを可能にする。
DORAは金融機関にとって重大な課題を提示しており、包括的なリスク管理、堅牢なインシデント対応、および厳格なコンプライアンス報告を要求している。困難ではあるが、DORAはオペレーショナルレジリエンスを強化し、EU金融セクターをサイバー脅威から保護するための重要な機会を提供する。ADRのような高度なセキュリティソリューションを活用することで、組織はDORAの複雑さを効果的に乗り切り、コンプライアンス要件を満たし、より安全で回復力のある未来を構築できる。
Contrast ADRがコンプライアンスの取り組みにどのように役立つかについて、もっと詳しく知りたいなら、今すぐデモをリクエストしよう。
Learn more about Contrast Security
Read more:
