デジタル・オペレーショナル・レジリエンス法(DORA)は、デジタル・レジリエンスと金融業界の改善と標準化を目的とした、欧州連合(EU)を拠点とする法律です。 DORAは、金融機関が情報通信技術(ICT)に対する脅威に対処する準備をしなければならないという単純な考えに基づいています。
現代のデジタル環境は、重要な資産に対する高度で頻繁な脅威に満ちており、金融機関はサイバーレジリエンスを優先する必要があります。
DORA は、法律によって提供される規制の枠組み内で、次のような柔軟な運用レジリエンス機能を作成することを組織に奨励しています。
強力なリスク管理手法の開発
内部監査と自己評価の実施
ICTリスクを最小化するための管理の実施
DORAは、各企業がそれぞれの状況に適応できるようにしながら、強力なガバナンスを促進することを目指しているという点で注目に値します。 DORA に照らして、金融業界の企業は、システム障害からサイバー攻撃まで、さまざまな形態のデジタル ディスラプションに効果的に対応する準備ができている必要があります。
金融セクターは、高度に相互接続されたデジタル環境で運営されています。
このように、ミッションクリティカルなシステムやインフラストラクチャに対するICTやサードパーティのサービスプロバイダーへの依存が加速しているため、デジタル攻撃対象領域が拡大し、金融機関が サイバーセキュリティ の脅威にさらされる可能性がはるかに高まっています。 システムを危険にさらしたり、混乱させたり、機密データを改ざんまたは盗み出したり、機関の評判を破壊したりするサイバー攻撃は、金融システム全体の安定性を脅かします。
DORA コンプライアンス要件を考慮すると、金融分野で事業を行う組織は、IT リスク管理と運用レジリエンス機能を強化することが重要です。 効果的なアプローチには、次のようなICT関連リスクのすべての側面が含まれます。
DORA の要件を実装することで、金融機関はサイバー脅威から身を守り、事業継続性を維持し、顧客との信頼関係を強化するための一歩を踏み出します。
その主な焦点は、潜在的に敵対的なデジタル環境での継続的な運用を確保するための運用の回復力にあります。 ICTの脅威に迅速に対応するために、金融サービスセクターで事業を行う企業は、次の6つの基本原則に沿ってレジリエンス計画に優先順位を付ける必要があります。
リスク管理:包括的な内部ガバナンス、自己評価、リスクを特定して最小化するための制御を含む、ICTリスク管理フレームワークの確立。
情報とインテリジェンスの共有: 金融機関は、セキュリティ コミュニティ内でサイバー脅威に関する情報を報告し、共有するためのプロセスを導入することが奨励されています。
サードパーティリスク管理:DORAは、組織がサプライチェーンをカバーするセキュリティ対策を実装することを要求しています。
事業継続計画: 金融サービスでは、セキュリティインシデントを通じて運用を維持するために、徹底的で十分にテストされた継続性計画を策定する必要があります。
インシデント対応と危機管理: デジタルレジリエンスの重要な要素である DORA は、ICT インシデントを分類、管理、および報告するための十分に開発されたインシデント対応計画の存在を義務付けています。
継続的なテストと監視: DORA は、組織がサイバー脅威に対する回復力を確保するために、システムの異常な活動について定期的なテストと監視を行うことを組織に要求しています。
次の要素は、金融機関とサービスプロバイダーが完全なDORAコンプライアンスに向けて取り組む際に遵守しなければならない主要な要件を表しています。
組織は、ICTリスクを最小限に抑えるための制御を実装する必要があり、定期的なテストを通じてレジリエンスを実証でき、サービスに大きな中断を伴わずにセキュリティインシデントに耐えることができることを示す必要があります。
DORA は、組織の既存のセキュリティスタンスと潜在的な脆弱性を特定するための徹底的な自己評価を含む、健全な ICT リスク管理プロセスの確立を義務付けています。
組織は、サイバー脅威に対するレジリエンスを強化するためにリソースを割り当てる必要があります。 これには、ICTシステムの管理に関する専門知識を持つ熟練したスタッフの存在を奨励することが含まれます。
組織は、デジタル運用のレジリエンスを確保するために講じられた措置について詳しく説明した詳細なドキュメントを追加で準備する必要があります。 これには、継続性計画、ICT関連のインシデントに対応するためのインシデント対応計画、データガバナンス構造、テストおよびレポート活動が含まれます。
DORA がサードパーティの ICT システムに関して導入する制御 (例: クラウド プロバイダー) は、組織が契約を分類して評価し、サービス プロバイダーに追加のコンプライアンス保証を要求し、新しい要件を満たすために保険の適用範囲を更新することを奨励しています。
金融機関は、改善が必要な領域を特定するためにギャップ評価を完了することから準備を開始する必要があります。 ギャップ評価では、ESAガイドライン、NIS、CROEに加えて、 NIST CSF、ISO、ITIL、COBITなどのITリスク管理標準に対するDORAコンプライアンスを決定する必要があります。
組織の仕様によっては、 HIPAA コンプライアンス も重要な要素になる場合があります。
最終的に、この分析は、DORA のコンプライアンスから外れる主要な領域を特定するのに役立ち、デジタル レジリエンス戦略の作成に情報を提供します。
ギャップ評価が完了したら、組織は実装のタイムラインを定義し、コンプライアンス要件を満たすためのリソースの割り当てとセキュリティシステムの実装計画に優先順位を付けるのに役立つロードマップを作成する必要があります。
DORAの重要な側面の1つは、欧州監督当局(ESA)による金融機関の監督の強化です。 これにより、デジタルレジリエンスを確保するためのより強力な制御が可能になります。
金融セクターの組織は、ITリスク管理、サイバー脅威の検出およびセキュリティ機能に多額の投資が必要になります。 さらに、DORA と並行するサイバーセキュリティ基準である NIS2 指令は、幅広いビジネス セクターに影響を与えます。 これらの規制は、組織が厳しい要件に準拠するためにシステムやスタッフを一新するため、コストの増加につながる可能性があります。
これらすべての課題を考慮に入れると、DORA 要件を遵守するための積極的なアプローチを取ることが重要です。 DORAは、金融セクターのビジネスに対する監視の強化と規制の強化につながり、その結果、これらの機関のコストが増加します。
今すぐ始めることで、組織はこの新しい規制環境をより適切にナビゲートし、DORA 要件に完全に備えることができます。
DORA は 2023 年 1 月に発効し、組織は 2025 年 1 月までに規制に完全に準拠する必要があるため、組織はすぐにコンプライアンス準備作業を開始することが不可欠です。
コンプライアンスの期限が近づく中、金融業界のセキュリティ専門家にとって、DORA コンプライアンスを確保するためにどのような手順を踏む必要があるかを理解することがますます重要になっています。
2025年1月に向けて注目すべき2つの重要なマイルストーンは、ESAによる認証プロセスと、金融機関の準備状況を評価するためのフレームワークを提供する必須の脅威主導型侵入テスト(TLPT)の開始です。
DORA の複雑さを乗り越える中で、完全なコンプライアンスの期限が近づく中、組織はコンプライアンスを確保するための積極的な措置を講じる必要があります。
迅速なインシデント報告、サードパーティリスク管理、監査要件の増加に関する規制を満たすには、現在の準備状況を理解し、コンプライアンスから外れる可能性のある組織の領域を特定するための積極的な措置を講じることが不可欠です。
チェック・ポイント NIS2/DORA Readiness Assessment は、2025 年 1 月の期限より前に組織を DORA に備えることで、コンプライアンスを強化または達成するのに役立ちます。
チェック・ポイント ソフトウェアは、 NIS2 およびDORAに備えるために、お客様と共にパートナーとして準備するための設備が整っています。 私たちは協力することで、お客様の組織内でオペレーショナルレジリエンスの文化を育み、サイバー脅威や規制違反のリスクを軽減することができます。
フィードバック