デジタル・オペレーショナル・レジリエンス法(DORA)は、EU域内で事業を展開する金融サービス企業に対して、最も深刻な混乱にも耐えうる事業運営とサイバーセキュリティ防御を証明することを義務付けるものである。
CISOにとって、これは単なるテクノロジーのアップグレードではない。アイデンティティが中心的な役割を果たす新しいレジリエンスを構築することなのだ。このブログでは、2025年のDORA発効期限を前に、アイデンティティ戦略をDORAと整合させたいと考えるCISOやIAMリーダーのために、実践的なプレイブックを提供する。
可視化から始める。現在のアイデンティティ・システムとポリシーをDORAの中核分野にマッピングする:
- アクセス制御とガバナンス
- 認証とクレデンシャルのセキュリティ
- アイデンティティ・サービスの運用継続性
- インシデントの検知と対応
ギャップはどこか?手動のプロセスやレガシーなツールに頼っているところは?この監査を利用して、リスク領域と近代化の必要性に優先順位をつけましょう。
静的なポリシーは今日の脅威には鈍すぎる。DORAはコンテキストに適応したよりスマートなコントロールを期待している。アダプティブ・アクセスの導入
- ユーザー行動分析
- デバイスの姿勢評価
- ジオロケーションと時間帯信号
- 過去のアクセスパターン
RSAリスクAI これらの機能により、リアルタイムの意思決定が可能になり、誤検知を減らしながら実際の脅威を阻止することができる。
IAMシステムはミッションクリティカルです。しかし、停電に耐えられるでしょうか?
DORAは機関に対し、重要なICTシステムの継続性を証明するよう求めている。これにはアイデンティティ・プラットフォームも含まれる。
RSAのハイブリッドフェイルオーバー クラウド、データセンター、ネットワークが危険にさらされても認証が継続できることを保証します。
フィッシングに強いMFAはもはやオプションではありません。RSAは パスワードレス・ソリューション, を含む:
- FIDO2認定ハードウェアキー(iShield)
- 信頼できないデバイスのためのモバイルロック
- OTPおよびプッシュ型ソフトトークン
DORAの期待に応え、クレデンシャルの盗難を阻止するために、従業員と顧客のIDにこれらを展開する。
手作業による認証キャンペーンやエンタイトルメントのレビューでは、もはや規模を拡大することはできず、増え続けるユーザー、デバイス、エンタイトルメント、環境を適切に管理することもできない。DORA は継続的な監視を必要とする。
一方、 RSAガバナンスとライフサイクル, あなたはできる:
- ジョイナー/ムーバー/リーバープロセスの自動化
- ポリシーベースのプロビジョニングによる最小権限の強制
- 数回のクリックで監査対応レポートを提供
DORAは、準備型と反応型を分離する。IAMを導入するだけでは不十分で、インテリジェントで、弾力性があり、厳重に管理されていなければならない。
RSAを利用することで、CISOはDORAに準拠するだけでなく、長期的なオペレーショナル・エクセレンスをサポートするIDインフラストラクチャを構築するためのツールを得ることができます。
今こそ行動を起こすべき時です。2025年には強制捜査が現実のものとなり、コンプライアンスに準拠していなければ、多額の罰金を科される危険性があります。規制当局や攻撃者が貴社の回復力を試す前に、このプレイブックを活用して態勢を強化しよう。
RSAのウェビナー「DORA & Digital Risk: Strengthening Identity Security in Financial Services(DORAとデジタル・リスク:金融サービスにおけるアイデンティティ・セキュリティの強化)」では、アイデンティティ・セキュリティにおけるDORA準拠の本当の意味、DORA監査に備えるためのベスト・プラクティス、ユーザー承認、アクセス、認証、事業継続に関連する主なコンプライアンス義務について説明します。
