BTとイルミオ:DORAコンプライアンスの簡素化

欧州の金融機関に対するサイバー攻撃は 2023年に倍増 し、このセクターでリスクがいかに増大しているかをはっきりと思い起こさせている。この 急増 は、デジタル・オペレーショナル・レジリエンス法(DORA)が重要であるだけでなく、金融会社が脅威から身を守り、迅速に回復できるよう支援するために重要であることを明らかにしています。

最近のウェビナーでは、イルミオのインダストリーソリューションマーケティング担当シニアディレクターであるラグー・ナンダクマラ氏とBTのシニアコンサルタントスペシャリストであるジャスティン・クレイゴン氏が、ICTリスクの管理とDORAの2025年1月17日の締め切りに備えるための専門知識を共有しました。

先頭に立つ金融サービス

「銀行業界は常にセキュリティの最前線に立ってきました。NIS2 や DORA などの法律は変化を推進し、防御を強化しています」とジャスティン氏は言います。

しかし、考え方は変わりつつあります。企業は侵害が発生することを認めています。今の焦点は、「攻撃者が侵入したとき、最も保護する必要があるものは何ですか?」です。重要な資産に優先順位を付けることが、被害を制限するための鍵となります。

「従来のペリメーターディフェンスの時代は終わりました。境界は変化し、もはや描ける単純な泡ではありません。」– ジャスティン・クレイゴン、BT

最近の攻撃は、レジリエンスの必要性を証明しています

世界最大の銀行でさえ無縁ではありません。ICBC は2023年11月と2024年10月の2回の被害に遭った。「いつかは殴られるでしょう」とジャスティンは言う。目標は、すべての攻撃を止めるだけでなく、発生したときにダメージを制御することです。

Raghu氏は、 金融サービス業界 は非常に相互に関連しているため、1つの組織で侵害が発生すると世界的な影響を与える可能性があると付け加えています。「1つの組織が影響を受けると、波及効果が生じ、国境を越えて広がり、市場を混乱させる可能性があります。それがDORAが防ぐように設計されていることです。」

予防からレジリエンスへ

企業は攻撃が避けられないことを受け入れ、それに応じて計画を立てる必要があります。

「ICBCが示したように、一度攻撃されたからといって、二度と標的にならないわけではありません」とラグー氏は言う。

シフトは レジリエンスに向かっています。「予防だけではもはや十分ではありません」とジャスティンは強調します。企業には、しっかりとしたインシデント対応計画が必要です。迅速な回復は、攻撃自体を止めることと同じくらい重要です。

DORAコンプライアンスの5つの柱

DORA に準拠するには、組織は次の 5 つの主要分野に焦点を当てる必要があります。

• リスク管理: 「何事にも備えておくことが大切です」とジャスティンは言います。明確な危機計画が不可欠です。

• インシデント管理: 攻撃が発生した場合、それを封じ込めることで、重要なシステムへの被害を迅速に制限できます。

• レジリエンステスト: 「安全を願うだけでなく、システムをテストしてください」とジャスティンはアドバイスします。定期的なテストでは、攻撃者よりも先に弱点が発見されます。

• 運用上の回復力: ビジネスの最も重要な部分を保護します。「すべてを止めることはできませんが、被害を最小限に抑えることはできます」とジャスティン氏は指摘します。

• インシデント報告: 機密情報を保護しながら、インシデントについて透明性を保ちます。  

DORA が被害を制限する方法

「DORA は、技術的な修正とポリシーの両方を通じて、侵害による被害を制限するのに役立ちます」と Justin 氏は説明します。これにより、企業は技術標準とベスト プラクティスを採用するよう促され、攻撃の影響が軽減されます。

「それは、水が広がらないように潜水艦の隔壁のドアを閉めるようなものです。」目標は、攻撃を封じ込め、ラテラルムーブメントを阻止し、サプライチェーンの問題があなたとあなたの顧客に影響を与えるのを防ぐことです。‍

重要なことに優先順位を付ける

DORA は比例性を重視しています。「すべてを守ることは期待されていません」とラグーは言います。DORA を使用すると、企業はリソースを薄く分散しすぎることを要求するのではなく、重要なことに優先順位を付けることができます。

ジャスティンも同意します:「他のフレームワークのように、合格するか不合格かのどちらかではありません。優先順位を付けることです。重要な機能がどこにあるのかを知る必要があります。」DORA は、企業がリソースを賢く使用できるように支援します。

サプライチェーンリスクの管理

サプライチェーンのリスク も、DORAが取り組む大きな懸念事項です。企業はサードパーティのプロバイダーに依存しており、それが弱いリンクになる可能性があります。「サプライヤーが攻撃を受けると、あなたにも影響が及ぶ可能性があります」と ジャスティンは警告します。重要なサプライヤーの定期的なチェックと管理が必要です。

主なリスクは、単一のプロバイダーへの過度の依存です。」すべての卵が 1 つのカゴに入っている場合は、問題を招いていることになります」とジャスティンは言います。企業は複数のプロバイダーを利用してリスクを分散する必要があります。‍

防御のテスト

定期的なテストにより、企業の防御の脆弱性が明らかになります。」侵害を想定し、攻撃者がすでに内部にいるかのように振る舞い、どこまで到達できるかを確認してください」と ジャスティンはアドバイスします。これらのテストは、潜在的な弱点を浮き彫りにします。

あるケースでは、BTの侵入チームは、セグメンテーションが不十分だったために、800台のサーバーのうち400台を侵害しました。定期的な検査は意識を高め、防御を強化し、横方向の動きや攻撃の拡大を阻止するのに役立ちます。

トップでの説明責任

DORA は、レジリエンスの責任が IT チームだけにあるわけではないことを確認しています。DORA はレジリエンスを取締役会レベルの責任としています。

「結局のところ、取締役会はビジネスを運営し続ける責任があります」とジャスティンは説明します。

このトップダウンのアプローチにより、レジリエンスが全体的なビジネス戦略に確実に統合されます。取締役会が関与することで、レジリエンスは単なるコンプライアンスのチェックボックスではなく、運用の中心になります。

DORAコンプライアンスの重要なポイント

DORA の要件を満たすために、企業は次のことを行う必要があります。

• 最も重要なことにリソースを集中させることで、最も重要な機能を保護します。

• システムを定期的にテスト して、弱点を見つけて修正します。

• サードパーティプロバイダーを定期的にチェックすることで、サプライチェーンのリスクを管理します。

• ビジネス目標に沿ったレジリエンス計画に取締役会を関与させます。

「サイバー攻撃が発生するかどうかではなく、いつ発生するかが問題です。企業は、その瞬間が来たときに強固で運用を維持する準備をしなければなりません。」– ラグー・ナンダクマラ、イルミオ

サイバーセキュリティの未来を形作る

DORA は、金融機関とそのサプライヤーのセキュリティに対する考え方を再構築しています。DORA は予防だけに焦点を当てるのではなく、回復力を奨励します。主要なシステムを保護し、防御をテストし、サプライチェーンのリスクを管理することで、金融会社は次のサイバー脅威に備えることができます。

視聴 完全なオンデマンドウェビナー DORAが金融セクターの変化をどのように推進しているかの詳細については、こちらをご覧ください。

DORA コンプライアンスについてさらに詳しく知りたいですか?電子書籍「 DORA コンプライアンスの戦略: マイクロセグメンテーションの重要な役割」をダウンロードしてください。マイクロセグメンテーションが組織のセキュリティにどのような変革をもたらすかをご覧ください。今すぐ無料コピーを入手してください。