コンテンツへスキップ
RSAクラウドセキュリティを無料でお試しください

今すぐID Plusのトライアルを始めてください。

開始する
2025年のDORA期限に備える

デジタル・オペレーショナル・レジリエンス法(DORA)がEUで採択されたとき、金融機関がサイバーセキュリティ、リスク管理、業務継続にどのように取り組まなければならないかという根本的な転換が示された。規制当局は初めて、単にIDセキュリティについて言及しただけでなく、コンプライアンスに直接組み込んだのである。

この進化は、多くのセキュリティ専門家が長年にわたって認識してきた現実、すなわちアイデンティティがデジタル・セキュリティの基盤であり、業務回復力の要であるということを認識させるものです。何が変わったのか、DORAがアイデンティティ・セキュリティに与える影響、金融機関が直面する課題、2025年の期限までに組織がDORAの要件を満たすためにCISOがどのように準備しなければならないのかを見てみよう。

アイデンティティ・セキュリティはもはやIT部門だけの仕事ではない

DORAの下では、金融機関内のすべてのデジタル業務(決済から顧客オンボーディング、取引システムに至るまで)は、安全で弾力性があり、継続的に利用可能でなければならない。そして、アイデンティティのセキュリティが最重要課題となっている。なぜなら、誰が、いつ、どこから、何にアクセスしているかを検証できなければ、アイデンティティ戦略は崩壊してしまうからだ。

新たな DORA 規制の現実において、ID はもはやバックオフィスの IT 機能ではない。リスク・リーダー、コンプライアンス・オフィサー、および経営幹部が同様に所有する戦略的必須事項となっている。

DORAがIDセキュリティに与える影響

DORAのいくつかの条項では、強固なIDおよびアクセス管理(IAM)機能を直接的または暗黙的に要求している。例えば

  • アクセス制御とガバナンス:DORAは、機関に対し、ユーザーのアクセス権をリアルタイムで管理し、特権のクリープや不正アクセスを防止するために、定期的なアクセスレビューを実施することを義務付けている。
  • 認証要件:多要素認証(MFA)のような強力な認証方法は、不正アクセスからシステムを保護することが期待されている。
  • 事業継続性:機関は、サイバーインシデント、停電、または混乱が発生しても、重要な機能が利用可能で あることを保証しなければならない。これには、強迫下での ID サービスの維持も含まれる。
  • 監視と異常検知:組織はサイバーインシデントを迅速に検出し、対応し、回復しなければならない。異常なアクセスパターンなど、アイデンティティに関連する異常は極めて重要な指標である。

これらの要件は、リスクを認識した最新の ID セキュリティ・プログラムの必要性を強調し ている。

つまり、DORAを遵守しない組織には、全世界の平均売上高の2%、または1日の平均売上高の1%の罰金が課され、さらに遵守を達成するまで毎日罰金が課されることになる。 今や賭け金は高い。

金融機関が直面するアイデンティティの課題

セキュリティへの投資が増加しているにもかかわらず、多くの金融機関は、セキュリティと 業務機能における ID 関連のギャップに苦慮している:

  • レガシーIAMシステム 適応性と視認性に欠ける
  • サイロ化されたIDツール オンプレミス環境とクラウド環境にまたがる
  • 脆弱な認証方法 フィッシングに弱い
  • 手作業によるガバナンス・プロセス コンプライアンス報告に時間がかかり、ミスが起こりやすい

このような課題により、組織は攻撃者だけでなく、規制当局の監視やコンプライアンスの罰金にもさらされることになる。

CISOにとっての意味

金融部門の CISO は、ID 戦略を DORA と整合させるために主導権を握らなければならない。つまり

  • 採用 リスク・ベース・アクセス コンテキストと行動に基づいてコントロールを調整するモデル
  • 確保 事業継続 認証とアクセスのハイブリッドフェイルオーバー
  • 強化 ガバナンス 自動化されたプロビジョニング、レビュー、アクセス認証
  • 抱擁 パスワードレス認証 一般的な攻撃ベクトルを排除する
DORA準拠のアイデンティティ・セキュリティに対するRSAのアプローチ

RSAでは、金融機関がレジリエンスの柱としてIDを運用できるよう支援しています。セキュリティ・ファーストのアイデンティティ・プラットフォームです、 RSA ID Plus, これは、金融のような規制された環境向けに構築されている。

これらのソリューションは、DORAに適合するために必要な統制を提供し、コンプライアンスを超えて組織を強化します。

DORA は金融サービスにおけるアイデンティティの転換点となる。DORA は、IAM を技術的な関心事から規制上の義務付けに格上げし、運用の弾力性を戦略的に実現するものである。

IDファーストのセキュリティ戦略を採用する金融機関は、DORAの要件を満たすだけでなく、セキュリティ、敏捷性、顧客の信頼において競争上の優位性を得ることができる。DORAの施行が始まる前の今こそ、アイデンティティ態勢を見直す時です。

ご興味のある方は

デモをリクエスト

デモのお問い合わせ