DORAの準備:2人のサイバーセキュリティコンプライアンス専門家からの洞察

欧州連合のデジタル・オペレーショナル・レジリエンス法(DORA)は、2025年1月に金融サービス業界を再構築する予定です。これは、サイバーセキュリティと運用の回復力の新しい基準を設定します。

DORA への移行には課題もありますが、組織が業務を強化し、今日の複雑な脅威の状況に備える方法も提供します。

The Segment: A Zero Trust Leadership Podcastでは、BTのサイバーセキュリティ担当マネージングディレクターであるTristan Morgan氏とEvelyn PartnersのデジタルサービスパートナーであるMark Hendry氏の2人のセキュリティコンプライアンスリーダーに話を聞きました。

Tristan Morgan と Mark Hendry について

トリスタンは、世界中のグローバル多国籍企業にセキュリティ、クラウド、ネットワークサービスを提供する BTでサイバーセキュリティ を率いています。英国政府やその他の国でのサイバーセキュリティの経験により、複雑なデジタルエコシステムの保護とコンプライアンスの確保に関する強力な背景が身に付きました。  

Evelyn Partners では、Mark は複雑な サイバーセキュリティ コンプライアンス の課題を通じてクライアントをガイドします。彼は 、GDPRを含むデジタル規制分野で豊富な経験を持ち、規制変更プログラムに重点を置いています。彼は、デジタルトランスフォーメーションをナビゲートし、DORAのような新しい規制に適応するための貴重な洞察をクライアントに提供します。

DORA:銀行のサイバーレジリエンスへの総合的なアプローチ

DORA は、 銀行および金融業界 が業務とサイバーセキュリティの両方の観点からレジリエンスに対処する方法に大きな変化をもたらします。DORAは、国ごとに個別のルールではなく、 サイバーレジリエンス をEU全体にわたる協調的な取り組みとして扱います。

「DORA はレジリエンスの会話をより高いレベルに引き上げます」とトリスタン氏は説明します。「これは、個々の国レベルだけでなく、より広い地理的レベルで起こり得る影響を認識しています。」

マーク氏は、これを「2008年の暴落後以来、金融サービスにおける最大の回復力介入」と考えていると指摘した。2008年以降は、財務の回復力とシステム内の現金の維持がすべてだったとマーク氏は説明した。現在、世界経済はますます相互接続されており、社会は銀行業界のデジタルインフラに大きく依存しています。

EUの金融機関のつながりが深まるにつれて、サイバー脅威によるリスクと、サイバー脅威が引き起こす可能性のある混乱は急速に増大しています。DORA は、統一された戦略を奨励することでこれに取り組み、組織がどこにいても重要な業務を保護できるように支援します。

「サイバーセキュリティとレジリエンスについて異なる解釈を持っている場合、調和は得られず、すべてが同じ方向に進んでいるわけではありません」とトリスタン氏は述べています。「セキュリティは非常にチームスポーツであり、協力してより良いものになるには、組織間で情報を共有する必要があります。」

DORA により、EU の金融機関は 1 つのルールに従うことになります。これは、侵害やランサムウェア攻撃に対する業界全体の防御を強化するのに役立ちます。また、業界の変化と成長に合わせて企業がコンプライアンスを維持することも容易になります。

サイバーレジリエンスは、セキュリティだけでなく、生き残ることに関係しています

レジリエンスはDORAの主な焦点です。これは、侵害を阻止するだけでなく、侵害が発生した場合でもビジネスが継続できるようにすることです。

最近の 金融業界のサイバー攻撃 は、それらがどれほど破壊的であり、業界全体、さらには世界にどのような影響を与える可能性があるかを示しています。

「レジリエンスがすべてです」とトリスタンは言いました。「侵害が発生した場合、ビジネスが停止するかどうかは問題ではありません。それは、侵害にもかかわらず運営を維持することです。」  

サイバー脅威が増える中、ビジネス、特に銀行業務では、円滑な運営を維持することが重要です。銀行セクターの侵害は、人々の生活や仕事に影響を与える可能性があります。サイバーレジリエンスは、単にセキュリティを維持することではなく、生き残ることです。

ゼロトラスト戦略を使用してDORAコンプライアンスを実現する

DORA は ゼロトラストについて明示的に言及していません。しかし、ゼロトラストの根底にある原則は、DORA の目的と密接に一致しています。  

マーク氏の指摘によると、「DORA で検索して『セグメンテーション』や『脅威を封じ込めるためのネットワーク要素の瞬間的な切断』などの用語を探した場合、ゼロトラストは絶対にそこにあります。」

トリスタン氏は、ゼロトラスト戦略が DORA 要件を満たすのに役立つ 4 つの重要な領域について説明しました。

• 識別する 重要な資産 脅威:ネットワーク全体を可視化して、最も脆弱で、最初に対処する必要があるものを理解できます。

• 攻撃にプロアクティブに備える: 攻撃が重要なリソースやデータに到達する前に、 攻撃を封じ込め るセキュリティ制御を構築します。

• 最小権限: ゼロトラストの中核原則である最小権限は、ユーザー、アプリ、サービスが役割を実行するために必要な最小限のアクセスのみを持てるようにします。これにより、攻撃者がネットワーク内を移動しようとする速度が低下します。

• いち早く 対応と回復 インシデントから: 侵害が発生した場合、できるだけ早く検出、封じ込め、対応できることが重要です。Illumioのようなゼロトラストソリューションは、検出プラットフォームと統合して、このプロセスを自動化します。

DORA のルールはゼロトラストのベスト プラクティスと一致しており、その先進的なアプローチを示しています。DORA は、これらの原則をコンプライアンス ルールに含めることで、銀行が脅威から保護し、攻撃中でも稼働を維持できるよう支援します。

DORAコンプライアンスに遅れをとっていますか?対処方法は次のとおりです

DORA コンプライアンスを達成するには、金融機関がプロセスに思慮深く戦略的に取り組む必要があります。トリスタン氏とマーク氏は、積極的な計画が不可欠であると強調しました。  

いつの間にか1月が到来します。組織がすでに遅れをとっているのではないかと心配な場合は、次のことを考えておすすめのマークを付けてください。

• 攻撃があったら一番痛いもの

• 今優先すべきこと

• 来年の計画に何が取り込まれるか

組織は、まず影響の大きい領域に焦点を当てる必要があります。短期的な修正だけでなく、持続可能な保護を提供する長期的なコンプライアンス計画を策定します。

The Segment: A Zero Trust Leadership Podcast を聴き、購読し、レビューする

もっと詳しく知りたいですか?当社のウェブサイト、Apple Podcasts、Spotify、またはポッドキャストを入手できる場所ならどこでも、エピソード全体を聴くことができます。エピソードの全文も読むことができます。

無料の電子ブックをダウンロードしてください。 Strategies for DORA Compliance: Key Role of Zero Trust Segmentation、DORA について知っておくべきことをすべて入手してください。