2024/08/12

DORA とは:欧州における新しい規制

2024 年 8 月 12 日 Iratxe Vazquez 著

昨今のサイバー攻撃の増加に伴って、攻撃対象領域を減らし、脅威に迅速に対応するための強固な対策が不可欠となっています。重大な罰則を受けないよう、また事業継続性を確保するためには、デジタル・オペレーショナル・レジリエンス法(DORA)のような規制への準拠が不可欠です。この記事では、DORA の詳細を見ていきます。

DORA とは?

デジタル・オペレーショナル・レジリエンス法(DORA)規則(EU)2022/2554 は、すべての EU 加盟国に対して 2025 年 1 月 17 日に発効します。これは、EU 域内の金融機関やデジタル商品のサイバーセキュリティの枠組みを強化し、ICT 関連のインシデントや業務の混乱に対処できるようにすることを目的としています。DORA は、銀行、投資会社、信用機関、保険会社、クラウドファンディングプラットフォーム、クラウドサービスベンダやデータセンターなどの重要な第三者サービスプロバイダなど、さまざまな金融事業体を対象としています。

コンプライアンスの重要性

DORA を遵守しなかった場合、最大 6 ヶ月間、1 日当たりの平均売上高の 1% 以下の罰金、営業停止命令、公告など、厳しい罰則が課される可能性があります。こうした厳しい罰則は、DORA の要件を遵守することの重要性を強調しています。

必須要件とウォッチガードのサポート方法について

  1. ICT リスク管理:金融機関は、包括的な ICT(情報通信技術)リスク管理フレームワークを確立し、サイバーインシデント時の業務継続性を確保することが求められます。ウォッチガードは、ファイアウォール、エンドポイントセキュリティ(EPP、EDR、EPDR、Advanced EPDR)、パッチ管理、完全暗号化などのソリューションを提供し、これらの要件をサポートしています。
  2. インシデント管理:企業は、ICT 関連のインシデントを監視、管理、フォローアップし、根本原因を特定し、予防策を講じることが求められます。ウォッチガードのThreatSync (XDR)、ThreatSync+ NDR、MDR サービスは、継続的な監視、自動化されたインシデント対応、詳細なインシデントデータ管理を提供します。
  3. レジリエンステスト:DORA は、脆弱性評価、侵入テスト、シナリオベースのテストなど、厳格なレジリエンステストを義務付けています。ウォッチガードの ThreatSync+ NDR、エンドポイントセキュリティソリューション、セキュア Wi-Fi テスト機能を利用することで、レジリエンステストが容易になります。
  4. サードパーティのリスク管理:DORA では、セキュリティ、データ保護、サービスの可用性に関わる契約を通じて、サードパーティの ICT サービスプロバイダを管理することを義務付けています。ウォッチガードの Firebox ネットワークアクセスコントロール、ThreatSync+ NDR、エンドポイントセキュリティソリューション、MDR サービスは、サードパーティのリスクの軽減に役立ちます。
  5. 情報共有: DORA は金融機関同士が脅威インテリジェンスを共有し、集団的にサイバー攻撃へのレジリエンスを強化することを奨励しています。ウォッチガードの EPDR、Advanced EPDR、Orion、WatchGuard MDR レポートは、脅威インテリジェンスを共有するための、詳細なインシデント情報とレポートを提供します。

結論

ウォッチガードの統合型セキュリティプラットフォームは、業界標準を超えて、変化していく規制に企業が準拠できるように設計されています。クラウドネイティブな統合型セキュリティプラットフォームと SaaS 製品は、コンプライアンスを維持し、デジタルインフラストラクチャを保護するために不可欠な、定期的なアップデートとセキュリティ強化にも対応しています。主な機能として、包括的なセキュリティ、簡素化された管理、プロアクティブな脅威管理、攻撃対象の監視と削減などがあります。