欧州連合で事業を行うすべての金融機関は、Digital Operational Resilience Act (DORA)を遵守する必要があります。DORAは、システムがICT関連の障害に耐え、対応し、復旧できるか、そしてそれが証拠をもって実証できるかに焦点を当てています。
エンジニアリング、セキュリティ、およびリスクチームにとって、これは実用的な要件となります。運用レジリエンスは、稼働中のシステムで観測可能であり、継続的にテストされ、長期にわたって追跡可能である必要があります。
この記事では、DORAの技術的な要件と、Aikido Securityがその実装をどのようにサポートするかを説明します。
要約
DORAは、EUの金融機関に対し、運用上のレジリエンスを実際に実証することを義務付けています。Aikido Securityは、コード、クラウド、ランタイム環境全体にわたる継続的な脆弱性可視化、エクスプロイト可能性の検証、レジリエンス(回復力)テスト、およびコンプライアンス対応の証拠を提供することで、DORAの技術的な実行をサポートします。
DORAとは
DORAは2025年1月17日より、EU内の銀行、保険会社、投資会社、決済プロバイダー、その他規制対象の金融機関に適用されています。
ソフトウェアの脆弱性、サードパーティの障害、加盟国間での一貫性のないインシデント対応によって引き起こされる度重なるICTの中断に対処するために導入されました。DORAは、測定可能な成果に焦点を当てた、単一のセクター固有のフレームワークを確立します。
規制当局は、組織が以下のことを示せることを期待しています。
- ICTインシデントを迅速に検出する
- 効果的に対応し、復旧します。
- コントロールが運用条件下で機能することの証拠を提供します。
DORAの5つの柱
技術的な観点から見ると、DORAは5つの柱を中心に構成されています。
- ICTリスク管理: 稼働しているシステム、リスクの所在、およびそれらを日々どのように管理しているかを把握することです。
- インシデント報告: インシデントを迅速に検出し、厳格な規制の期限内に報告します。
- デジタル運用レジリエンス試験: システムが混乱に耐え、そこから回復する能力を定期的にテストします。
- ICTサードパーティリスク管理:ベンダー、サプライヤー、および依存関係によってもたらされるリスクを理解し、管理すること。
- 情報共有: 金融エコシステム全体のレジリエンスを強化するための脅威インテリジェンスの共有。
各柱は、システムがどのように構築され、監視され、テストされるかについて直接的な影響を及ぼします。
エンジニアリングチームにとってのDORAの意味
セキュアな開発プラクティス
第9条第4項(e)は、組織に対し、セキュリティプラクティスを文書化し、脆弱性を追跡し、ソフトウェアデリバリーにレジリエンス(回復力)がどのように組み込まれているかを示すことを義務付けています。セキュリティコントロールは、開発ワークフローとCI/CDパイプラインに統合される必要があります。
依存関係の責任追跡
第28条に基づき、サードパーティおよびオープンソースの依存関係は完全に適用範囲内です。依存関係が中断や露出を引き起こした場合でも、責任は金融機関にあります。チームは、どの依存関係が使用されているか、どこで実行されているか、そして問題がどれだけ迅速に対処できるかを知る必要があります。
トレーサビリティと証拠
エンジニアリングチームは、何がデプロイされ、いつ稼働し、どのセキュリティチェックが実行され、誰が変更を承認したかを示すことができる必要があります。ビルドログ、バージョン管理、およびセキュリティツールは、監査可能な証跡を生成しなければなりません。
セキュリティおよびリスクチームにとってのDORAの意味
継続的なリスク可視性
DORAは、本番環境で何が稼働しているか、どのような脆弱性が存在するか、そしてどのリスクがいつでもエクスプロイト可能であるかについて、継続的な認識を求めています。定期的な評価では不十分です。
自動脆弱性対応
手動での追跡はスケールしません。検出、優先順位付け、および修正のタイムラインは、明確な責任を持つ自動化されたシステムによってサポートされる必要があります。
現実と一致したドキュメント
インシデントが発生した場合、組織は、問題がいつ検出され、どのように評価され、誰が対処し、どれだけ迅速に解決されたかを示す必要があります。証拠は実際のシステム動作を反映している必要があります。
DORAが他のフレームワークとどのように異なるか
DORAはISO 27001、NIS2、またはSOC 2に取って代わるものではありません。運用成果に焦点を当てた、より厳格なセクター固有の要件を導入します。
DORAは特別法(lex specialis)として機能します。つまり、DORAとNIS2が衝突した場合、例えばDORAが優先されます。この規則は金融セクターのリスクに特化して調整されており、他の規制フレームワークに見られるものよりも厳格です。
DORAコンプライアンスの実践が難しい理由
大規模で変化の速いコードベースでは、すべての変更と承認を追跡することが困難です。最新のアプリケーションは数百もの依存関係に依存しており、デプロイメントと露出に関する明確な可視性がないことがよくあります。セキュリティツールは断片化しており、複数のシステムにわたってデータを生成するため、監査中にそれらを関連付ける必要があります。
AikidoがDORAの技術要件をどのようにサポートするか
Aikido Securityは、ソースコード、依存関係、クラウドインフラストラクチャ、コンテナ、およびランタイム環境全体にわたるセキュリティの可視性を一元化するAIを活用したプラットフォームです。
Aikidoは、ガバナンスフレームワーク、インシデント対応手順、または規制報告を置き換えるものではありません。それらのプロセスが依拠する技術的なシグナルと証拠を提供します。
デジタル運用レジリエンス(回復力)テストとAikido Security
DORAは、組織が現実的な条件下で運用レジリエンスをテストすることを要求しています。脆弱性を特定するだけでは不十分です。
Aikidoは、レジリエンス(回復力)テストを以下を通じてサポートします。
- 稼働中のアプリケーションに対する継続的なDAST
- コンテナおよびKubernetesセキュリティテスト
- Aikido Attackは、AI駆動型ペネトレーションテストを使用して現実的な攻撃経路をシミュレートし、エクスプロイト可能性を検証します。
- AutoFixとAuto Triageにより、修復時間を短縮し、回復効果を追跡します。
実践におけるDORAのサポート
DORAは、証拠に裏付けられた実証可能な運用レジリエンス(回復力)を要求します。Aikido Securityは、組織が稼働中のシステム全体でこれらの期待に応えるのに役立つ技術的な可視性、テスト機能、および監査対応データを提供します。
ガバナンス、インシデント対応、および規制当局との連携は引き続き不可欠です。Aikidoは、これらのプロセスが正確で最新の技術データに基づいていることを保証します。
こちらもおすすめです:
