デジタル・オペレーショナル・レジリエンス法:第三者リスクと世界的混乱への対応。
ザ・ホワット
DORAは、EUの金融機関をサイバー脅威から守り、回復力を高め、ITの混乱からの迅速な回復を確保することを目的としている。加盟国間で統一されたデジタル・セキュリティ基準を確立し、ICT関連の課題に耐える金融部門の能力を強化し、EU全体で高レベルの業務回復力を育成する。
その理由
金融部門は、ハッカーが第三者プロバイダーやサプライチェーンの脆弱性を悪用する、巧妙なサイバー攻撃の急増に直面している。このため、組織は侵害や混乱のリスクにさらされている。EUは金融機関に対し、サイバー耐性を優先するよう義務付けている。
コンプライアンス違反の結果は?
DORAは、欧州監督機関(ESA)によって執行される重大な罰則を定めている。これらの罰則には以下が含まれる:
全世界の年間総売上高の最大2
個人罰金および刑事罰
消費者の信頼失墜と風評被害
DORAの影響を受けた団体
DORAは、EU加盟国内で活動する金融サービス機関と、彼らが利用する第三者サービス・プロバイダーに影響を与える。米国を拠点とする企業であっても、EU域内で金融サービスやICTサービスを提供する場合は、これに準拠する必要がある。
銀行、投資会社
信用機関、信用格付けサービス
クラウドファンディング・プラットフォーム
データ分析、ICTサードパーティ・サービス、暗号資産プロバイダー
DORAに該当するアプリケーションは?
DORAが提供する情報通信技術サービス(ICT)には以下のものが含まれるが、これらに限定されるものではない:
仮想マシン、インスタンス、データベースなど
オンプレミスのデータストレージ
クラウドデータストレージ
コア・バンキング・アプリケーションとシステムのバックアップ
As-a-serviceアプリケーション(CRM、ERP、アナリティクスなど)
部門別SaaSアプリケーション
DORAの6つの柱
ICT関連リスクを特定し、防御し、検知し、対応し、回復するための戦略、方針、ツールなど、強固なICTリスク管理の枠組みを導入する。
重要なICT関連インシデントを監視、記録し、指定された期間内に関係当局に報告する管理プロセスを確立し、実施する。
脆弱性評価、侵入テスト、シナリオに基づくテストなど、ICTシステムと統制の定期的なテストを実施する。
重要なプロバイダーを含むICTサードパーティサービスプロバイダーに関連するリスクを、堅固な契約取り決めと継続的なモニタリングを通じて管理する。
金融セクター全体のレジリエンスを強化するため、金融機関間でサイバー脅威のインテリジェンスと情報を共有する。
金融機関にとって重要なICTサードパーティ・サービス・プロバイダーは、デジタル運用の回復力について一定の基準を満たしていることを確認するための監視枠組みの対象となる。
新着情報DORAバックアップとリカバリーのチェックリスト
- すべてのICTサービスを特定し、評価するための枠組みを開発する。
- アセスメントを確立されたフレームワークと整合させる
- データ保護業務を管理する利害関係者を任命し、ICTを継続的に監視する、
- 定期的なバックアップのスケジュール
- 3-2-1ルール」に従い、バックアップがソースシステムから論理的に分離されていることを確認する。
- 停電やサイバー脅威が発生してもバックアップにアクセスできるようにする。
- ランサムウェアから保護するために不変性を有効にする。
- 多要素認証、暗号化、ネットワークセグメンテーションの導入
- アプリケーションのクリティカルな性質に比例して、リカバリSLAを割り当てる。
- 災害復旧計画を策定し、定期的に更新する
- 定期的な訓練とシミュレーションを実施し、インシデント対応に対するスタッフの備えを強化する。
- コンプライアンスを証明するための文書と記録の管理
- バックアップとリカバリ活動の継続的なモニタリングとリアルタイムのレポーティングのための高度なツールの活用
HYCU R-Cloud™:データ保護における最も広範なICTカバレッジ
HYCUは、サードパーティのサービスやアプリケーションのリスクを長年認識しており、どこにいてもICTを保護するパイオニアです。HYCU R-Cloud™は、組織全体で重要なアプリケーションとデータを確認、管理、保護するための統一プラットフォームを提供します。
ICTを可視化し、保護されていないサービスを明らかにする
- 組織全体のアプリケーションやサービスなど、データ資産全体を可視化します。
- ICTに触れることなく
- バックアップ・ポリシー
- オフサイト・ストレージ
- UIベースのリカバリー
- アプリケーションの保護を直ちに開始し、保護とコンプライアンスを視覚的に監視する。
DORAに準拠した自動バックアップ
HYCUは他のどのエンタープライズバックアップソリューションよりも10倍以上のカバレッジを提供します。オペレーションを自動化し、バックアップを保証するために設計されています:
- ワンクリックでバックアップを割り当て
- 24時間365日稼働する「セット・アンド・ゲット」バックアップで安心
- 比例に応じてバックアップ頻度を変更する
- すべてのバックアップ活動とイベントの通知を受け取る
お客様が管理するバックアップ:オフサイトとランサムウェア対策
- 論理的に分離されたオフサイトの場所にバックアップを自動的に保存します。
- Amazon S3、Azure Blob、Google Cloud、その他のS3互換ストレージターゲットにデータを保存
- WORM対応のイミュータブル・バックアップを有効にする
- 日数から年数までのデータを保存
実証可能なリカバリーとレジリエンス・テスト
- VM、インスタンス、クラウドアプリケーションのリカバリ操作をワンクリックで実行
- クラウドへのフェイルオーバーとクラウドでの地域間リカバリーを備えた内蔵ディザスタリカバリ
- as-a-serviceアプリケーション全体のファイルと構成レベルのリストア
- すべてのバックアップおよびリカバリ操作の完全なイベント追跡と監査ログ