ブログ

EU デジタル運用レジリエンス法 (DORA) への準備

バート・サラーエツのサムネイル
バート・サラーエツ
2024年8月5日公開

欧州の政策立案者たちは、同地域の重要なデジタルインフラに対するサイバー攻撃をますます懸念している。

金融セクターが変化する脅威に適切に対処できるようにするため、EUは2025年1月から適用されるデジタル運用耐性法( DORA )規制を策定しました。 

DORA の適用範囲は広く、EU 内で活動する 22,000 を超える金融機関とその ICT サービス プロバイダーを網羅しています。 これは、EU 域外に拠点を置き、これらの組織とやり取りしている人々にも影響を及ぼします。

本質的に、DORA への準拠は、金融サービス企業が対処しなければならないリスクを反映した、より堅牢で総合的なセキュリティ戦略を構築するための基盤となります。 

ほとんどの銀行は以前から厳格なセキュリティ対策を講じてきましたが、DORA は、信用および決済機関、暗号資産サービスプロバイダー、中央証券保管機関、信用格付け会社など、より多くの専門プレーヤーを関与させることで、金融エコシステム全体の防御を強化するように設計されています。 金融機関には データの破損や損失のリスクを最小限に抑え、ビジネス活動を妨げる可能性のある不正アクセスや技術的な欠陥を防ぎ、ICT システムの可用性を維持します。

コンプライアンスの確保

金融機関、そして今日のほとんどの他の企業にとって、アプリとデータは今やミッションクリティカルなものとなっています。 DORA に準拠し、分散型サービス拒否 (DDoS) 攻撃やその他の攻撃を受けた際に継続的な運用を確保するためには、堅牢な Web アプリケーション ファイアウォール (WAF) などのテクノロジーを使用してこれらの資産を完全に保護することが重要です。

DORA では、金融機関に対して、ICT ネットワークのパフォーマンスの問題や関連するインシデントなどの異常なアクティビティを速やかに検出し、潜在的に重大な単一障害点を特定することも義務付けています。 重大なインシデントが発生した場合、金融機関は規制当局、影響を受ける顧客およびパートナーに通知する必要があります。 その後、インシデントの解決に向けた進捗状況を報告し、根本原因を分析した最終レポートを作成する必要があります。 

これらの要件を満たすには、金融機関はアプリのパフォーマンスとセキュリティ状態を完全に把握する必要があります。 ここで、 F5 Distributed Cloud Console が大きな役割を果たします。 アプリ資産全体の統合されたエンドツーエンドの可視性を提供するように設計されており、DORA のデジタル レジリエンス コンプライアンスのほとんどの要件を満たしています。 

F5 Distributed Cloud Console は、DORA のより微妙な要求にも役立ちます。 たとえば、金融機関は侵入テストを使用して、少なくとも3 年ごとに ICT ツール、システム、プロセスをテストする必要があります。 

最近まで、この種の活動は専門的で、多くの場合は高額な費用がかかる「ホワイトハット」ハッカーの領域でした。 これはもはや当てはまらず、プロセス全体を自動化することが可能になりました。 

F5 は今年初め、分散クラウド Web アプリケーション スキャンソリューションをリリースしました。これにより、組織はインターネット、パブリック リポジトリ、公開されているサーバー、その他のソースを継続的に監視し、外部向けのアプリケーション サービス、データ、脆弱性を統合できるようになります。 さらに、自動化された侵入テストを実施し、潜在的な脆弱性を特定し、問題の証拠を取得し、セキュリティを向上させてコンプライアンスを確保するための修復ガイダンスを受け取ることもできます。

自動化が進むと、プロジェクトごとにではなく継続的に侵入テストを実行する方がコスト効率が高くなり、新しい製品やサービスのタイムリーなリリースが保証されます。

ICT 資産にセキュリティを組み込む

すべての企業は、DORA に準拠するために特定のポイント ソリューションを導入するのではなく、デジタル セキュリティに対する総合的なアプローチを目指す必要があります。 AI の進歩によって自動化が進むと、ICT インフラストラクチャ、コンポーネント、アプリ、および付随するアプリケーション プログラミング インターフェイス (API) の設計、開発、展開にセキュリティを組み込むことがはるかに容易になります。

API は、現在では本質的にデジタル経済の中枢神経系となっており、特に重要です。 組織は、アプリケーション開発プロセスに脆弱性検出を組み込むために全力を尽くし、リスクを特定し、API が実稼働に入る前にポリシーを実装する必要があります。 

この高まるニーズに直接応えて、F5 Distributed Cloud Services は業界で最も包括的な AI 対応 API セキュリティ ソリューションを提供します。 API の構築時および実行時に API を保護するために、企業がさまざまなツール セットと機能を使用することを余儀なくされた時代は終わりました。 F5 は、アプリケーション開発プロセスにおける脆弱性の検出と観測を可能にし、API が実稼働に入る前にリスクが特定され、ポリシーが実装されることを保証します。 API セキュリティがかつてないほど重要かつ複雑になっている現在、F5 は顧客が個別の API セキュリティ ソリューションに料金を支払って管理する必要性をなくしています。 API の検出、テスト、ポスチャ管理、ランタイム保護をすべて 1 つのプラットフォームで実行できることは、DORA の差し迫った複雑さを予測する上で大きな利点となります。

結局のところ、DORA は頭痛の種として見るべきではありません。 むしろ、これは組織全体で重要なセキュリティ対策を改良し、強化する大きな機会です。 それでも、これは旅であり、セキュリティが実際に何を意味し、どのように表現されるかについての認識を変える必要がある人もいるでしょう。 

今後の課題に取り組むすべての人にとって幸運なことに、F5 には、DORA の監視およびレポート要件に準拠するために必要なツールが多数あり、サイバーセキュリティ攻撃による壊滅的なリスクを大幅に低減できることは言うまでもありません。