ブログ

金融サービスにおける EU のデジタル運用レジリエンス法 (DORA) 規制の遵守を理解する

チャド・デイビス サムネイル
チャド・デイビス
2024 年 6 月 7 日公開

デジタル運用レジリエンス法(DORA)は、欧州連合(EU)内の金融サービス業界にとって極めて重要な法律として間もなく制定される予定です。 これは、規制環境に追加される単なる頭字語ではなく、デジタル領域におけるサイバーセキュリティと運用の回復力を強化するための根本的な変化です。 組織がコンプライアンスに向けて準備を進めるにつれて、DORA の本質を理解することが重要になります。

DORA は、デジタル運用レジリエンス法の略で、金融サービスにおけるサイバーセキュリティと運用レジリエンスを強化するために制定された EU の法律です。 DORA の規定により、金融機関とその重要なサードパーティ技術サービス プロバイダーは、2025 年 1 月 17 日までに情報通信技術 (ICT) システムにおける特定の技術標準を遵守する必要があります。

DORA に従わない場合、望ましくない結果を招く可能性があるため、そのリスクは大きくなります。 執行当局は、DORA を遵守しない団体に対して行政罰、場合によっては刑事罰を課す権限を持ちます。 法的な影響だけでなく、規則を遵守していない組織のブランド評判も深刻なダメージを受ける可能性があります。

期限が近づくにつれ、金融サービス部門で事業を展開する組織にとって、DORA の影響と要件を常に把握しておくことが重要になります。 このブログでは、DORA の詳細を詳しく掘り下げ、運用効率を最大化しながらコンプライアンスを確保するための戦略と可能なソリューションを探ります。

DORA に関する主な考慮事項

組織がデジタル運用レジリエンス法への準拠に向けて準備を進める中で、慎重に検討する必要があるいくつかの重要な考慮事項が浮上します。

  • サイバーセキュリティインシデントのタイムリーな報告

DORA では、サイバーセキュリティ インシデントの迅速な報告は必須となっています。 組織は、サイバーセキュリティ インシデントを迅速に特定、評価、報告するための強力なインシデント対応メカニズムを確立する必要があります。 事件を適時に報告しないと、DORA に基づいて重大な結果を招く可能性があります。

  • 組織の第三者への依存の透明性

DORA は、組織が重要なサービスに関して第三者機関に依存することに関する透明性を重視しています。 組織は、サードパーティのテクノロジー サービス プロバイダーへの依存度を徹底的に評価し、開示する必要があります。 これには、これらのプロバイダーが必要な技術基準を満たし、組織の運用回復力の目標をサポートできることを確認することが含まれます。

  • 規制当局や顧客からの監査問い合わせに対応する能力

DORA におけるもう 1 つの重要な考慮事項は、規制当局や顧客からの監査問い合わせに組織が効果的に対応する能力です。 これには、包括的な文書の維持、定期的な評価の実施、および DORA の要件への準拠を証明するための堅牢な制御の実装が含まれます。 組織は、義務付けられた技術基準と運用上の回復力対策を遵守していることの証拠を提供する準備をする必要があります。

F5 ソリューションが DORA コンプライアンスにどのように役立つか

F5 分散クラウド プラットフォームは、セキュリティ インフラストラクチャを簡素化および最適化するソリューションを提供し、組織が DORA コンプライアンスの課題に正面から対応できるようにします。 F5 は、複数のポイント ソリューションへの依存を減らすことで、組織が分散環境全体でセキュリティ管理ポリシー適用を一元化し、運用を合理化し、保護と可視性を強化することを可能にします。

F5 を使用すると、アプリケーションがホストされている場所に関係なく、一貫したポリシーの導入とアプリケーション全体にわたるセキュリティの拡張が簡単になります。 さらに、F5 のソリューションは、集中化されたユーザー インターフェイスを通じて分散アプリケーション インフラストラクチャ全体に貴重な洞察とテレメトリを提供し、効率的な監視と管理を促進します。 「クリックして有効化、どこでも実行」できるセキュリティ ポリシーを採用することで、グローバルな範囲と施行による一貫性と繰り返し可能な保護が確保され、金融サービス組織は効果的かつ簡単に実装できる包括的なセキュリティ対策のメリットを享受できるようになります。

さらに、 Heyhack を通じて取得したテクノロジーを統合してF5 Distributed Cloud Services Web Application Scanning を形成することで、顧客は魅力的な自動化されたセキュリティ偵察および侵入テスト機能にアクセスできるようになります。 さらに、F5 の受賞歴のある分散クラウド サービスは、 APIレート制限機能の拡張、API インベントリ管理の改善、JWT 検証の強化、カスタム パターン検出、ゾンビ API を識別するための API 検出機能の改善など、 APIセキュリティを継続的に強化します。

最後に、F5 SSL ソリューションを使用すると、組織はセキュリティ検査デバイスを介した動的なポリシーベースの復号化、暗号化、トラフィック ステアリングによってインフラストラクチャとセキュリティへの投資を最大限に活用できます。 これは、転送中および保存中の暗号に関する要件に関連して、DORA にとって特に重要です。

影響を受けるすべての組織は、罰金、そしてさらに重要な点として、DORA コンプライアンス違反に関連する評判の失墜を回避するために、セキュリティと監視機能が十分に堅牢であることを保証する競争に臨んでいます。

幸いなことに、この新しい規制環境で成功するために必要なテクノロジーは準備ができています。 F5 ソリューションがどのように役立つかをここで学んでください。