Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

EUの銀行業界はDORAコンプライアンスに備えていますか?

Maritza Marie Dubec
シニアコンテンツマーケティングマネージャー
Illumio Editorial
November 27, 2024
23分読む

2025年1月、欧州の金融機関はデジタル・オペレーショナル・レジリエンス法(DORA)という大きな試練に直面します。  

DORA は、ICT リスクとレジリエンスのルールを 1 つの統一されたフレームワークに統合します。しかし、金融機関は準備ができているでしょうか?

多くの人が時間との戦いをしています。厳しいスケジュールと進化する基準により、準備はますます困難になっています。

イルミオのインダストリーソリューションマーケティング担当シニアディレクターであるラグー・ナンダクマラ氏は、「銀行はもっと早くから、より明確な技術基準の恩恵を受けていたでしょう。この基準は2022年初頭と2024年半ばの2つの波に分かれて発表された。これにより、1月17日の期限まで12か月も残っていませんでした。」

DORA の開梱

DORA は期限までに何を要求しますか?システムを保護するだけではありません。重要なサービスは、中断時でも実行し続けることに重点が置かれています。

DORAの基準を満たすために、金融機関は次のことを行う必要があります。

  • ICTシステムを定期的にテストする
  • サードパーティプロバイダーによるリスク管理
  • 何があっても、重要なサービスが運用され続けるようにする
「DORA には明確な焦点があります。インシデントの影響を軽減することです。アプローチは?侵害が発生すると想定してください。」– ラグー・ナンダクマラ

DORAコンプライアンスの6つの課題

1. タイトなスケジュール、進化する基準

規制技術基準(RTS)と呼ばれるDORAの要件を説明する規則は、遅れてリリースされました。最初のバージョンは 2024 年 1 月にリリースされ、2 番目のバージョンは 7 月にリリースされました。準備に1年もかからない中、要件を満たすことは時間との戦いと変わった。

2. サードパーティプロバイダーの管理

ハイパースケーラーやマネージドサービスプロバイダー(MSP)などのサードパーティプロバイダーは、金融サービスの鍵を握っています。しかし、ここに課題があります:ベンダーがDORAの範囲に入るかどうかは誰が決定するのでしょうか?「 これは金融機関 または規制当局が決定しますか?」とラグー氏は尋ねます。

小規模なMSPの場合、ハードルはさらに高くなります。コンプライアンスは、財務プロセスにおける彼らの役割に依存します。明確なルールがなければ、何が必要かを知るのは困難です。これを修正するには、次の 2 つのことが必要です。

  • より明確なガイドライン
  • ベンダーとのコラボレーションの強化
3. ガバナンスとリーダーシップの調整

DORA は、オペレーショナル レジリエンスをリーダーシップの課題の最優先事項に据えています。理事会は 次のことを行う必要があります。

  • 明確なICTリスク制限を設定する
  • 重大なインシデントを監視する
  • 適切なリソースが配置されていることを確認する

しかし、多くの組織には、これらの目標を達成するための構造と認識が欠けています。

4. テストと着実な改善

テストは、DORA コンプライアンスにおいて重要な役割を果たします。組織は次のことを行う必要があります。

  • ICTシステムのレジリエンステストを毎年実施
  • 3年ごとに高度なペネトレーションテストを実施
「テストは、ギャップを特定し、改善計画を策定し、成熟への進歩を促進するのに役立ちます。しかし、これらのテストはリソースを大量に消費し、部門やベンダー間のチームワークが必要です。– ラグー・ナンダクマラ
5. レジリエントな文化の構築

DORA はチェックボックスにチェックを入れることではありません。準備を整えることが大切です。リーダーシップは次のことを行う必要があります。

  • 部門間のチームワークを促進する

文化的な変化は、長期的な成功にとって重要かもしれません。

6. スキルギャップ: 増大するプレッシャー

世界的な サイバーセキュリティの労働力不足 (推定400万人)は、DORAの課題を悪化させています。強力なコンプライアンスプログラムは、このプレッシャーを和らげることができます。これにより、作業が簡素化され、より広範な運用上の利点が得られます。

「DORA の新たな義務は、セキュリティ運用、ポリシー、監査チームにプレッシャーをかけます。」– ラグー・ナンダクマラ

DORA とゼロトラストはどのように連携しますか?

DORA は ゼロトラストについて言及していますか?直接ではありません。しかし、最小権限アクセスや継続的な監視などの重要なアイデアは密接に一致しています。

ゼロトラストの哲学である「決して信頼せず、常に検証する」は、すべてのユーザー、デバイス、アプリケーション、ワークロードがアクセスする前に認証を受けることでリスクを軽減します。

今日の最大のサイバーリスクにどのように役立ちますか?

  • ランサムウェアを阻止する: ランサムウェア攻撃がネットワークを介して拡散する範囲を制限することで、 ランサムウェア攻撃 の影響を軽減します。
  • サードパーティのリスクを管理:重要なシステムへの ベンダー のアクセスを制限します。ベンダーが重要なシステムにアクセスできる量を制御します。

1月17日までのカウントダウン

時計は時を刻んでいます。テスト、サード パーティによる監視、レジリエンス プランニングはオプションではありません。それには、積極的な戦略とレジリエンスへの文化的転換が必要です。

ラグー氏が説明したように、「EUは完璧ではなく進歩を望んでいます。彼らは、組織が要件をどのように解釈し、何を達成したかを確認したいと考えています。」

DORA コンプライアンスについて詳しく知りたいですか?無料の電子書籍をダウンロードし、 DORA コンプライアンスのための戦略: マイクロセグメンテーションの重要な役割.マイクロセグメンテーションが組織のセキュリティをどのように向上させるかをご覧ください。

関連トピック

Banking & Financial Services

関連記事

2023年8月のお気に入りのゼロトラストストーリー
Cyber Resilience

2023年8月のお気に入りのゼロトラストストーリー

今月、私たちにとって際立ったゼロトラストのストーリーと視点をいくつか紹介します。

Read more
スコアを知る: 脆弱性の露出の説明
Cyber Resilience

スコアを知る: 脆弱性の露出の説明

脆弱性エクスポージャースコアの計算方法により、組織は業界標準の脆弱性スコアリング測定値と環境のコンテキストを組み合わせることができます。

Read more
2021年のサイバーセキュリティ予測
Cyber Resilience

2021年のサイバーセキュリティ予測

クラウドがすべてを解決すると仮定すると、エンドポイントセキュリティを見落としている組織が多すぎます。これがDevSecOpsとサイバーリスクにとって何を意味するかは次のとおりです。

Read more
BTとイルミオ:DORAコンプライアンスの簡素化
Cyber Resilience

BTとイルミオ:DORAコンプライアンスの簡素化

サイバーレジリエンスを強化し、ICTリスクを管理し、2025年1月のDORAコンプライアンス期限に金融機関を準備する方法を学びましょう。

Read more
イルミオでDORAコンプライアンスを達成する方法
Cyber Resilience

イルミオでDORAコンプライアンスを達成する方法

イルミオゼロトラストセグメンテーション(ZTS)プラットフォームで利用可能な3つのツールを学び、DORAコンプライアンスの構築を支援します。

Read more
DORAの準備:2人のサイバーセキュリティコンプライアンス専門家からの洞察
Cyber Resilience

DORAの準備:2人のサイバーセキュリティコンプライアンス専門家からの洞察

BTのサイバーセキュリティ担当マネージングディレクターであるTristan Morgan氏と、Evelyn PartnersのデジタルサービスパートナーであるMark Hendry氏から、DORAコンプライアンスのナビゲートに関する洞察を得ることができます。

Read more

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more