このブログはこちらの英語ブログの機械翻訳です。
来年の締め切りに備えるために必要な5つのステップ
DORAは、EU全体でサイバーセキュリティとオペレーショナル・レジリエンスを強化することにより、金融サービス部門を変革しようとしています。OktaのStephen McDermidが、DORAが金融セクターにとって何を意味するのか、そして多くの企業が複雑な規制とコンプライアンスの階層を管理するために自動化に目を向けている理由を説明します。
ヨーロッパの金融サービス会社は、欧州委員会によるデジタル運用レジリエンス法(DORA)の発効までの数ヶ月と日数をカウントダウンしています。
2025年1月17 日 に24か月の準備期間が終了し、すべての金融サービス会社はDORA規制に準拠する必要があります。
DORAとは?
サイバー脅威の増加に対応して導入されたDORAは、金融機関がデジタル中断に耐え、対応し、回復できるようにし、より広範な金融システムを保護することを目的としています。DORAは、EU全体で既存のガバナンスプログラムを単一の監督下に調和させるように設計されています。
DORAの影響
金融サービス security チームや規制当局と密接に連携してきた経験から、企業がサイバーレジリエンスと保護にどのように取り組むか、特にデジタルオペレーションレジリエンス法(DORA)を踏まえて、変化が見られるようになりました。
今日、デジタルサプライチェーン全体のリスクを最小限に抑えることに重点が置かれています。サイバーセキュリティ、潜在的な侵害、脆弱性に関する懸念に対処するために、管理とガバナンスが十分に準備されていることを確認する必要があります。
これは大きな変化であり、適切なタイミングで起こっています。最近のサイバーセキュリティ事件は、サプライチェーンの侵害およびサードパーティのアクセスに関連する重大なリスクを浮き彫りにしています。
DORAは、これらの問題を理事会や最高財務責任者(CFO)にとってより明確にするように設定されており、適切なガバナンス構造を整備し、さらに重要なこととして、インシデントが発生した場合に効果的に対応できる能力を持つことが重要になります。
管理すべき複雑な規制の階層
私たちは、ますます複雑化する規制環境の中で生活し、事業を行っています。DORAは、NIS2やサイバーレジリエンス法(CRA)など、今後施行されるいくつかの規制の1つにすぎません。コンプライアンスの管理は課題であり、企業は現在、分析、検証、および監査に必要な負担の増大を管理するために自動化に目を向けています。最近のBusinesses at Work 2024レポートでは、データコンプライアンスツールの成長率が前年比120%に達しました。
DORAコンプライアンスに向けてどのように進むか
デジタルサプライチェーンにおける主要な断層を特定する上で、企業は、予防が不可欠であると認識するとともに、適切な制御の堅牢なテストと検証を行うことが同様に重要であるとますます認識しています。インシデントは発生するものであり、その影響を軽減するための鍵は、徹底的な準備にあります。
DORAコンプライアンスの準備方法に関する私のアドバイスを以下に示します。
- 主要なサプライヤーを特定し、シナリオ計画とシミュレーションを通じてサプライヤーと連携します。このような取り組みは、組織が潜在的な影響を理解し、緊急時対応計画を策定するのに役立ちます。
- データ分析と業界標準に対するベンチマークを通じて、緊急時対応計画を継続的にテストし、改善します。
- 運用上の回復力とサードパーティのリスクプログラムが確実に整備されているようにしてください。これらの既存のプログラムをDORAの規制に合わせ、ギャップを特定します。
- これらの Regulatory Technical Standards (RTS) の要件の準備のために回覧された協議やドラフト文書に遅れないようにしてください。
- 今こそ、パートナーや同業者と協力して、他の人がこれらの課題にどのように対処しているかを理解し、知識の共有とコラボレーションを促進する時です。
コンプライアンスは非常に重要です
DORAに準拠しない金融機関は、罰金、調査のためのデータアクセス許可の要件、さらには業務停止命令など、重い罰則に直面します。
金融サービス機関にサービスを提供する重要なサードパーティプロバイダーにとって、リスクは同様に高くなります。コンプライアンス違反は、プロバイダーの前年度の 1 日平均全世界売上高の 1% のペナルティ支払いを招く可能性があり、コンプライアンスが達成されるまで毎日適用されます(最長 6 か月)。
そしてもちろん、サイバー攻撃と情報漏洩は、投資家の信頼と市場での評判に悪影響を及ぼす可能性があります。信頼を築き上げるには長年の歳月が必要ですが、一瞬にして失われる可能性があります。
DORAは金融サービス企業にとって規制上の重要な出来事であり、サイバーレジリエンスと運用ガバナンスに対して、より包括的かつ統合的なアプローチを取ることを義務付けています。言うまでもなく、DORAは厳格ですが、それには正当な理由があります。DORAコンプライアンスへの投資は多額になり、かなりのリソースを必要とする可能性がありますが、対応を誤った場合の影響は指数関数的に大きくなる可能性があります。
デジタルIDとDORAの詳細をご覧ください。
Digital IdentityはDORAの中核です。DORAに準拠するためには、金融サービス機関は、アクセス制御を改善し、オペレーションとトランザクションのセキュリティを強化するために、強力なIdentity管理と認証ツールを実装する必要があります。ウェブアプリケーション攻撃の86%が侵害された認証情報に起因することを考えると、その理由は容易に理解できます。
デジタルアイデンティティがDORA、セキュリティ、および顧客のセキュリティにどのように影響するかを知るには、Oktaのホワイトペーパー「DORAにおけるデジタルアイデンティティの役割」をお読みください。
