EUのNIS2およびDORAセキュリティ指令:知っておくべきこと

金融およびエッセンシャル サービス部門は、2022 年のランサムウェアの最大の標的でした。

これらの業界の組織は、多大なプレッシャーにさらされています。効率を高めるために変革とデジタル化を行う必要があり、可用性とセキュリティを維持しながら迅速に実現する必要があります。

同時に、ランサムウェア攻撃者は、金融機関や重要なサービスの運営者を意図的に標的にしています。彼らは、これらの業界がダウンタイムを許容できないことを知っており、その結果、身代金を支払う可能性が最も高いと述べています。

昨年、 銀行や金融サービス 、エネルギー、水道、輸送などの 必要不可欠なサービス部門 で、数え切れないほどのサイバーセキュリティインシデントが発生しました。これらの攻撃は莫大な経済的損失を引き起こし、経済、基盤となるインフラストラクチャ、消費者の安全に多大な損害を与える可能性があります。

金融サービスと必要不可欠なサービスにサイバーレジリエンスが必要な理由

毎年、新しいビジネスバズワードが主役になります。

今年の?反発力。それには十分な理由があります。

過去 12 か月間で、企業のサイバー リスク管理方法に大きな変化がありました。サイバー攻撃は、単にデータを盗むことから、ビジネスの可用性に影響を与えるものへと進化しています。現在、データ侵害の平均コストは 435万ドルであり、攻撃に対応するだけではもはや十分ではなく、攻撃を生き延びることが重要になっています。

レジリエンスが現在、 銀行セクターのセキュリティの最優先事項 である理由をご覧ください。

この問題は、ビジネスリーダーが攻撃が発生した場合の組織の回復力に対する信頼の欠如によって悪化します。Enterprise Strategy Groupの 最近の調査 によると、組織がサイバー攻撃の影響に対処する準備ができていると感じているビジネスリーダーはわずか19%です。また、半数以上が、攻撃が壊滅的なビジネス結果をもたらすと考えています。

イルミオゼロトラストセグメンテーションがサイバーレジリエンスをどのように提供するかについては 、こちらをご覧ください。

サイバーレジリエンスに対する欧州連合の対応 - NIS2とDORA

欧州全土のレジリエンスとインシデント対応能力を強化するため、欧州連合(EU)は最近、今後数年間で発効する予定の NIS2と呼ばれる必要不可欠なサービスに関するネットワーク・情報システム(NIS)指令の更新を承認しました。

英国はもはやEUの一部ではありませんが、NIS指令を採用し、更新を行うことを確認しました。この更新により、英国の必須およびデジタルサービスがますます高度化し、頻繁になるサイバー攻撃から確実に保護されるようにするための既存の指令が強化されます。

さらに、EU は、銀行および金融サービス組織がセキュリティ インシデントに耐え、対応し、回復できるようにすることを目的としたデジタル オペレーショナル レジリエンス法 (DORA) を作成しました。

指令が公開された後、組織には 24 か月の実施期間が与えられます。しかし、積極的な変化は、事後対応的な消防訓練よりも常に優れています。ビジネスリーダーは、コンプライアンスを達成するために今すぐ始めることを推奨しています。

NIS2とは

新しいNIS2指令の主な目的は、エネルギー、輸送、銀行、医療などの必要不可欠なサービスによる知識共有を改善し、侵害後の対応を強化することです。これは、ネットワークと情報システムのセキュリティに関する法的措置を概説した元のNIS指令の進化版です。

NIS2指令草案へのアクセス はこちらから。

NIS2が必須サービスにとって重要な理由

この指令の目標は、EU全体だけでなく、官民部門のレジリエンスとインシデント対応能力を向上させることです。

しかし、それはまた、より広範な傾向、つまり侵害が起こることを受け入れることのシグナルでもあります。この指令は重要なIT資産の保護に役立ちますが、重要なサービスプロバイダーに新たなコンプライアンスの課題を課すことにもなります。

DORAとは?

NIS2には、その指令の一部として銀行および金融サービス組織が含まれていますが、DORAは特に金融セクター向けです。

今後の DORA 指令は、企業が侵害に耐え、対応し、そこから回復できるようにすることを目的としています。銀行セクターは世界経済を支えており、強力なサイバーセキュリティ対策がなければ、侵害はすぐに壊滅的なものになる可能性があります。DORA は銀行に対し、サイバー レジリエンスを強化し、顧客データを保護し、セキュリティ侵害に直面した場合でも事業継続性を確保することを要求しています。

2023年初頭までに発効し、2025年までに適用される予定のDORAは、金融サービス業界にとって大きな変革をもたらすでしょう。

DORA指令へのアクセス はこちらから。

DORA が銀行および金融サービスにとって重要な理由

業界は長年にわたり、ビジネスとセキュリティの成果を結びつけるために懸命に努力してきました。DORA は金融機関のレジリエンスを向上させるだけでなく、セキュリティ機能と運用レジリエンスの間のリンクをより明確にします。

対象企業は、リスクを迅速に管理し、対処できなければなりません。実際、DORA の第 II 章セクション II では、組織がセキュリティ リスクに迅速、効率的、包括的に対処するための適切なリスク管理フレームワークを開発し、高レベルのデジタル運用レジリエンスを確保することが義務付けられています。

しかし、これは簡単なことではなく、組織は今すぐ基礎を築き始めなければ、遅れをとる危険があります。

イルミオゼロトラストセグメンテーションがNIS2およびDORAコンプライアンスの達成に役立つ3つの方法

レジリエンスを構築し、NIS2 および DORA に準拠するために、組織はすぐに何をすべきでしょうか?ゼロトラストセグメンテーション(ZTS)から始めましょう。

1. アプリケーションとワークロードの通信を可視化する

最初のステップとして、組織の現在のセキュリティイニシアチブとリスクをNIS2およびDORA要件と比較するギャップ分析を実行することが重要です。

このプロセスにおける重要なツールは、 イルミオZTSプラットフォーム が提供する アプリケーション依存関係マッピング です。ハイブリッド攻撃対象領域全体にわたるアプリケーションとワークロードのトラフィックと通信を迅速かつわかりやすく可視化します。たとえば、どのサーバーがビジネスクリティカルな資産と通信しているか、どのアプリケーションがインターネットへのオープン回線を持っているかを確認し、悪意のある攻撃者が組織のネットワークに簡単にアクセスできるようにします。

この可視性により、セキュリティチームはNIS2およびDORAコンプライアンスに向けて作業に優先順位を付けることができます。彼らは、組織がすでにコンプライアンスを遵守している場所と、より優れたセキュリティ制御を実施する必要がある場所を確認できます。

2. 柔軟できめ細かなセグメンテーションポリシーを設定する

ハイブリッドネットワークを可視化したら、サイバーレジリエンスを高め、NIS2およびDORAコンプライアンスの達成に役立つ情報に基づいたセキュリティポリシーの設定を優先する準備が整います。

Illumio ZTSを使用すると、ワークロードとデバイス間の通信を制御する柔軟できめ細かなセグメンテーションポリシーを自動的に設定できます。これは、必要で望まれているもののみを許可します。たとえば、サーバーからアプリ、開発から本番環境、IT から OT への通信を制限できます。

セグメンテーションポリシーの設定は、NIS2およびDORAディレクティブに暗黙的に組み込まれたセキュリティモデルであるゼロトラストアーキテクチャを構築するための重要なステップです。

3. 資産を積極的に隔離するか、侵害の拡大を事後的に封じ込める

Illumio ZTSでネットワークをセグメント化すると、避けられない侵害に対するプロアクティブセキュリティとリアクティブセキュリティの両方が提供され、NIS2およびDORAディレクティブによる攻撃レジリエンスというコア目標を達成します。

価値の高い資産を積極的に分離して、重要で必要なもののみへのアクセスを制限します。これは、ランサムウェアやその他の侵害がこれらの資産に広がったり、ビジネスを停止したり、壊滅的な損害を引き起こしたりしないことを保証できることを意味します。

アクティブな攻撃中は、侵害の拡散を事後対応的に阻止し、ネットワークのごく一部に数分で封じ込めます。実際、 最近のビショップ・フォックスのサイバー攻撃エミュレーション では、イルミオZTSが10分以内に侵害の拡大を阻止できることがわかりました。これは、エンドポイント検出および対応 (EDR) ソリューションのみの 4 倍の速度です。

• イルミオがNIS2要件にどのように適合しているか についての詳細をお読みください 。
• 無料の電子ブックをダウンロードしてください。 Strategies for DORA Compliance: Key Role of Zero Trust Segmentation.