ドラとは?金融サービスのためのデジタルオペレーションレジリエンス法
by
読書時間 4 分
金融業界における差し迫ったサイバー攻撃に対する耐性を向上させることを目的とした「デジタル運用耐性法(DORA)」は、現在も進行中の立法案である。この法律は既存の規制に取って代わるものではなく、デジタル環境におけるオペレーショナルリスク管理の枠組みを提供することによって、規制を補完するものであることに留意することが重要です。
DORAの目的は、データ保護やインシデント対応計画などのベストプラクティスを実施することで、金融機関がサイバー攻撃に耐えられるようにすることです。つまり、企業は攻撃が起こったときに、攻撃による被害から回復しながら業務を維持できるような計画を立てておく必要があるのです。
View: Deloitte’s new rules for DORA compliance
<
主なポイント
- DORAは、オペレーショナル・リスク管理の枠組みを確立することにより、サイバー攻撃に対する金融機関の耐性を強化することを目的としている。
- すべての金融機関は、定期的な評価とインシデント対応計画を含むサイバーセキュリティ・プログラムを実施しなければならない。
- DORAを遵守するためには、暗号化や監視システムなど、デジタルインフラに対する厳格なセキュリティ管理を維持する必要がある。
- 組織は、脆弱性の評価を促進し、セキュリティ対策を改善するために、サイバーインシデントを規制当局に報告することが義務付けられている。
- 強固なリスク管理計画は、DORAのコンプライアンスを達成し、金融部門において信頼されるサービスを確保するために不可欠である。
h2>デジタル・オペレーショナル・レジリエンス法(DORA)はあなたのビジネスに何をもたらすのか?
デジタル・オペレーショナル・レジリエンス法(DORA)は、金融サービス会社のデータ・セキュリティの取り扱い方法を大きく変えることになる。DORAの下では、すべての金融機関は、方針、手続き、リスク管理活動を含むサイバーセキュリティ・プログラムを実施しなければならない。これらの方針は毎年、第三者である金融規制当局によって見直され、業界標準に基づいて適切かどうかの評価が行われる。
金融機関は、サイバー侵害が発生した場合、または近い将来に発生する可能性が示唆された場合にどのように対応するかを記述したインシデント対応計画も実施しなければならない。この計画には、様々なタイプの攻撃(例:フィッシング詐欺)に対処するための戦略や、攻撃から回復するための手順が含まれていなければならない。
PowerDMARCでドラをシンプルに!
DORAは、適用される可能性のある特定のシナリオを概説しています。
例えば、サービス・プロバイダーとして金融機関や企業と直接取引しているすべての組織は、強制としてDORAの対象となり、金融規制当局から直接監督を受けることになる。この監督により、DORA規制の遵守が保証され、機密性の高い金融データを取り扱う上でリスクのない環境が維持される。
これは、サプライヤーのセキュリティプロトコルや実務がDORAが指定した基準に準拠しているかどうか、また、機密性の高い財務データを扱うのにリスクのない環境を提供できるかを判断するために行われます。
金融機関と直接取引をしていない組織は、独立した監査人を介してDORA法の遵守を達成することを自主的に選択することができます。
DORAのコンプライアンスを達成するためには、組織としてきちんと定義されたセキュリティおよびリスク管理計画を持つことが重要である。この計画には、定期的な脆弱性評価、インシデント対応計画、従業員教育プログラムなどの対策が含まれる必要があります。これらの対策とその実施方法をまとめた包括的な提案書を作成することで、DORAへの準拠を達成し、金融業界において信頼されるサービスプロバイダーとしての地位を確立することができます。
DORA法主な条件と目標
デジタル・オペレーショナル・レジリエンス法(DORA)は、金融セクターが安全で弾力的な運用ができることを保証するものです。この法律には、主に次のような要件があります。
- 企業は、サイバー攻撃の構成要素、従業員の対応方法、侵害があった場合の業務復旧方法などを詳細に記述したインシデント対応計画を策定する必要があります。
- 企業は、サイバー攻撃によってもたらされるリスクの評価と、そのリスクを軽減するための行動計画を含むサイバーセキュリティプログラムを維持する必要があります。
- 企業は、デジタルインフラに対して適切なセキュリティ管理を行う必要があります。これらの管理には、暗号化、認証、アクセス制御、監査証跡、監視システム、イベント管理システム、インシデント対応計画などが含まれる。
- 企業は、規制当局が自社の脆弱性を評価し、セキュリティ態勢を改善するための勧告を行うために、インシデントが発生した場合には報告しなければなりません。
- 企業は、発生しうる障害時にサービスの継続性を確保するための計画を立てておく必要があります。
PowerDMARCでDORA準拠に一歩近づく
DORA法では、デジタル、ネットワーク、クラウドのセキュリティに加え、電子メールのセキュリティが求められているため、企業はセキュリティ体制を強化しています。電子メールは今日のコミュニケーションの基礎であり、ほとんどの企業にとって中心的なコミュニケーション・プラットフォームを形成しているため、電子メール・インフラのセキュリティ確保はDORAコンプライアンスを達成する上で極めて重要です。
PowerDMARCは、フルスタックのメール認証スイートを活用し、お客様のメールチャネルを保護するマルチテナントのSaaSプラットフォームです。ISO 27001、SOC Type 2、GDPRに準拠しており、さまざまな金融機関と連携して、メールデータやドメインをセキュリティリスクから保護することに成功しています。
私たちは、あなたをサポートします。
- スプーフィングやなりすましからメールを保護する DMARC
- サイバー盗聴・中間者攻撃から身を守る MTA-STS
- メールの認証結果を監視し、フォレンジックインシデントのトラブルシューティングを行うことができます。 DMARCレポート
- SPFのルックアップ上限を下回ることで、以下のようなパーミラーを避けることができる。 SPFフラット化
電子メールのコンプライアンスを達成するために、今すぐお問い合わせください!
ドメインとメールセキュリティのエキスパートPowerDMARC
ユネスはPowerDMARCのオペレーションチームリーダーで、メール認証とセキュリティの専門知識を持つ。マイクロソフト認定のAzureアドミニストレーターアソシエイトであり、CompTIA A+やその他多くの資格を持っています。
最新記事 by Yunes Tarada(全て見る)
- 電子メールによるソルティング攻撃:隠されたテキストはどのようにセキュリティをバイパスするか- 2025年2月26日
- SPFフラット化:SPFフラット化とは何か?- 2025年2月26日
- DMARCとDKIM:主な違いと両者の連携方法- 2025年2月16日
