欧州連合(EU)域内で事業を行うすべての金融機関は、デジタル業務レジリエンス法(DORA)を遵守しなければならない。DORAは、システムが情報通信技術(ICT)関連の障害に耐え、対応し、復旧できるかどうか、そしてこれを証拠をもって実証できるかどうかに焦点を当てている。
エンジニアリング、セキュリティ、リスク管理チームにとって、これは実用的な要件をもたらす。運用レジリエンスは稼働システムで可視化され、継続的にテストされ、経時的に追跡可能でなければならない。
本記事では、DORAの技術的要件と、Aikido それらの実装をどのように支援するかを説明します。
TL;DR
DORAはEUの金融機関に対し、実務における業務継続性の実証を義務付けています。Aikido 、コード、クラウド、実行環境全体にわたる継続的な脆弱性可視化、悪用可能性検証、耐障害性テスト、コンプライアンス対応証拠の提供を通じて、DORAの技術的実行を支援します。
DORAとは何か
DORAは2025年1月17日より、EU内の銀行、保険会社、投資会社、決済事業者、その他の規制対象金融機関に対して適用されています。
ソフトウェアの脆弱性、サードパーティの障害、加盟国間のインシデント対応の不統一によって引き起こされる繰り返されるICT障害に対処するために導入された。DORAは測定可能な成果に焦点を当てた、単一のセクター固有の枠組みを確立する。
規制当局は、組織が以下のことを示せることを期待している:
- ICTインシデントを迅速に検知する
- 効果的に対応し、回復する
- 運用環境において制御が機能することを実証する
DORAの五つの柱
技術的な観点から、DORAは5つの柱を中心に構成されています:
- ICTリスク管理:運用しているシステムを把握し、リスクがどこにあるかを理解し、日常的にそれらをどのように管理するかを明確にすること。
- インシデント報告:インシデントを迅速に検知し、厳格な規制上の期限内に報告すること。
- デジタル業務継続性テスト:システムが障害に耐え、復旧する能力を定期的にテストすること。
- ICTサードパーティリスク管理:ベンダー、サプライヤー、および依存関係によってもたらされるリスクの理解と管理。
- 情報共有:金融エコシステム全体のレジリエンス強化に向けた脅威インテリジェンスの共有。
各柱は、システムが構築、監視、テストされる方法に直接的な影響を与えます。
DORAがエンジニアリングチームに意味するもの
セキュア開発プラクティス
第9条(4)(e)は、組織に対し、セキュリティ慣行の文書化、脆弱性の追跡、およびソフトウェア提供プロセスへのレジリエンスの組み込み方法を実証することを要求する。セキュリティ管理策は、開発ワークフローおよびCI/CDパイプラインに統合されなければならない。
依存関係の説明責任
第28条に基づき、サードパーティおよびオープンソースの依存関係は完全に適用範囲に含まれる。依存関係が混乱や情報漏洩を引き起こした場合、責任は金融機関に帰属する。チームは、どの依存関係が使用されているか、どこで実行されているか、そして問題がどの程度迅速に対処できるかを把握しなければならない。
トレーサビリティと証拠
エンジニアリングチームは、デプロイされた内容、本番環境への移行日時、実行されたセキュリティチェック、変更承認者を提示できる必要があります。ビルドログ、バージョン管理、セキュリティツールは監査可能な記録を生成しなければなりません。
DORAがセキュリティおよびリスク管理チームに意味するもの
継続的なリスク可視性
DORAは、本番環境で稼働中のシステム、存在する脆弱性、および特定時点において悪用可能なリスクについて、継続的な認識を要求する。定期的な評価では不十分である。
自動化された脆弱性処理
手動追跡は拡張性に欠ける。検知、優先順位付け、修復のタイムラインは、明確な責任体制を備えた自動化システムによって支えられなければならない。
現実に沿った文書化
インシデント発生時、組織は問題がいつ検知されたか、どのように評価されたか、誰が対応したか、そしてどれほど迅速に解決されたかを示す必要がある。証拠は実際のシステム動作を反映していなければならない。
DORAが他のフレームワークと異なる点
DORAはISO 27001、NIS2、またはSOC 2に取って代わるものではありません。運用成果に焦点を当てた、より厳格な業界固有の要件を導入します。
DORAは特別法 として機能するため、 例えばDORAとNIS2が抵触する場合、DORAが優先される。これらの規則は金融セクターのリスクに特化して設計されており、他の規制枠組みで見られるものよりも厳格である。
DORAコンプライアンスが実践で難しい理由
大規模で急速に変化するコードベースでは、すべての変更と承認を追跡することが困難です。現代のアプリケーションは数百もの依存関係に依存しており、デプロイや露出状況が明確に把握できないことが多々あります。セキュリティツールは断片化しており、監査時に相関分析が必要なデータを複数のシステムに分散して生成します。
Aikido DORAの技術要件をどのようにAikido
Aikido 、ソースコード、依存関係、クラウドインフラストラクチャ、コンテナ、実行環境全体にわたるセキュリティ可視性を一元化するAI搭載プラットフォームです。
Aikido ガバナンスの枠組み、インシデント対応手順、規制報告に取って代わるAikido 。それらは、それらのプロセスが依存する技術的なシグナルと証拠を提供する。
デジタル運用レジリエンステストとAikido
DORAは組織に対し、現実的な条件下での業務継続性のテストを義務付けています。脆弱性の特定だけでは不十分です。
Aikido 以下を通じてレジリエンステストをAikido :
- 稼働中のアプリケーションに対する継続的DAST
- コンテナおよびKubernetesのセキュリティテスト
- Aikido 、AI駆動型のペネトレーションテストを用いて現実的な攻撃経路をシミュレートし、悪用可能性を検証する
- 自動修復と自動トリアージによる修復時間の短縮と復旧効果の追跡
実践におけるDORAの支援
DORAは、証拠によって裏付けられた実証可能な運用レジリエンスを要求します。Aikido 、技術的な可視性、テスト機能、監査対応データを提供し、組織が稼働システム全体でこれらの要件を満たすことを支援します。
ガバナンス、インシデント対応、規制当局との連携は依然として不可欠である。Aikido 、これらのプロセスが正確かつ最新の技術データに基づいていることをAikido 。
こちらもおすすめ:
今すぐソフトウェアを保護しましょう
.avif)
