DORAとは

欧州連合のDORA（デジタルオペレーショナルレジリエンス法）は2023年1月16日に施行されましたが、組織がコンプライアンスを満たすための期限は2025年1月17日までとされていました。銀行、保険会社、投資会社などの金融機関は、サイバーセキュリティの保護、検知、封じ込め、復旧、および修復能力に関する同法の厳格な規則を遵守する必要があり、従わない場合は罰則の対象となります。

SaaSセキュリティにおけるDORAの位置付け

DORAは、金融機関の運用上のレジリエンスを強化するためにEUによって作成されました。EUは、金融サービス業界で進むデジタル変革によって、これまでにないほどテクノロジーへの依存度が高まっていることを認識していました。そのテクノロジーがサイバー攻撃によって侵害された場合、金融サービスは大きな影響を受ける可能性があります。DORAはICT（情報通信技術）を対象としており、これにはクラウドベースのSaaSアプリケーションも含まれます。

DORAが金融サービス企業に課している要件

DORAは、金融サービスにおけるデジタル運用を強固に機能させるために重要な、5つの主要分野で構成されています。

• ICTリスク管理：ICT（情報通信技術）システムに関連するリスクを特定、評価し、軽減するための戦略や手順。
• 報告：運用のレジリエンスおよびリスク管理活動に関する包括的な報告を行うための手順と基準。
• デジタル運用のレジリエンステスト：さまざまなストレス状況下で、デジタル運用のレジリエンスと信頼性を評価するためのテスト手法やフレームワーク。
• サードパーティのリスク管理：デジタルエコシステムにおけるサードパーティのサービスプロバイダー、ベンダー、パートナーがもたらすリスクを管理するための実務や手順。
• 情報およびインテリジェンスの共有：サイバー脅威、脆弱性、インシデントに関する重要な情報やインテリジェンスを、関係するステークホルダー間で共有するための仕組み。

金融サービスプロバイダーは、DORAへのコンプライアンスを確保し、運用上のレジリエンスを維持するために、次の主要分野における能力を備えていることを示す必要があります。

• 識別：アプリケーション内のすべてのユーザー、その役割、および責任を文書化できる能力。
• 保護と防御：アプリケーションのレジリエンスと継続的な可用性を確保するために、設定をモニタリングするポリシーを策定し、ツールを導入する必要があります。
• 検知：アプリケーションにおけるIOC（侵害の痕跡）を検知するため、ユーザーの振る舞いを迅速にモニタリングします。
• 学習と進化：サイバーセキュリティインシデント発生後の侵害分析のために、監査証跡を構築します。
• サードパーティリスクの管理：統合されているすべてのアプリケーションが、ハブとなるSaaSアプリケーションに適用されているのと同等のセキュリティ基準を維持していることを確認します。

DORAがSaaSセキュリティに与える影響

SaaSセキュリティは、金融サービス業務で利用されるSaaSアプリケーションやプラットフォームを保護することに特化した、ICTリスク管理の一分野です。DORAコンプライアンスを目指す組織は、これらのアプリケーションを既知のすべての攻撃ベクトルから保護する必要があります。

設定ミス

組織は、データ漏洩やサービス停止につながる可能性のある不適切な設定を特定するための対策を講じる必要があります。

アイデンティティセキュリティ

セキュリティチームは、すべてのユーザーをモニタリング、管理し、権限が最小特権の原則に従っていることを確認する必要があります。さらに、組織は、退職後もアクセス権を保持しているユーザー、休眠中のユーザーアカウント、外部ユーザー用アカウントを特定できる必要があります。

デバイス

各ユーザーデバイスは、SaaSアプリケーションに対して一定のリスクをもたらします。セキュリティチームは、リスクの高いデバイスを特定し、それを特定のユーザーに紐付けることで、このリスクを排除する必要があります。

サードパーティアプリケーションのセキュリティ

多くのアプリケーションは、その機能に必要な範囲を超えて過剰なスコープを要求します。これにより、組織は潜在的な悪意のあるアプリや、脅威アクターに乗っ取られた正規のアプリによるリスクにさらされることになります。

データ管理

組織は、アクセス制御や共有権限を通じて、ドキュメントやその他のデジタルアセットを保護する必要があります。例えば、リンクを知っている人なら誰でもアクセスできる形で共有されたドキュメントは、共有設定を変更しない限り保護することはできません。

さらに、DORAは金融機関に対して、異常な活動を検知し、重大な単一障害点を特定するための仕組みを整備することを求めています。これらの仕組みは、複数層のコントロールを可能にし、インシデント対応活動につながるものでなければなりません。

SaaSスタックを保護し、DORAに準拠するためのツールとは

DORAへのコンプライアンスを目指す組織は、SSPM（SaaSセキュリティポスチャ管理）とASPM（アプリケーションセキュリティポスチャ管理）のプラットフォームを展開する必要があります。SSPMはアプリケーション設定を自動的にレビューし、設定のドリフトが生じた場合に関係者へアラートを送信します。アプリケーションの状況をダッシュボードで可視化することで、アプリ管理者やセキュリティチームがアプリケーションを保護できるようになります。

SSPMはユーザーログの確認も行います。これにより、過剰な権限を持つユーザーの特定、休眠アカウントの発見、外部ユーザーのモニタリング、そして退職した従業員の企業アプリケーションからの完全なデプロビジョニングの確認が可能になります。また、デバイスをユーザーに関連付けるともできるため、高い権限を持つアカウントで使用されている高リスクデバイスを容易に特定できます。 

サードパーティアプリの検知とモニタリングも、SSPMの重要な機能です。SSPMは接続されているアプリを確認し、異常な動作をしているものや過剰なスコープを持つアプリを特定し、ユーザーがそれらのアプリとの連携を解除できるようにします。 

SSPMは脅威を検知できるか？

ITDR（アイデンティティ脅威検知・対応）の機能を備えたSSPMは、SaaSスタック全体から収集したデータを活用して脅威を検出し、セキュリティチームにアラートを送信します。ITDRはユーザー行動の異常を検出し、監査ログをスキャンして侵害の痕跡 (IOC) や脅威を特定します。

脅威は、IP情報からユーザーの振る舞いまで、さまざまな要素に基づいて検知されます。データはSaaSスタック全体から収集されるため、より豊富なデータセットと、脅威に関するより詳細なコンテキストを得ることができます。このような脅威の検知は、通常、DORAの要件にも準拠しています。

SaaSプロバイダーのベストプラクティス

SaaSプロバイダーのベストプラクティスには、次のようなものがあります。

• セキュリティプラットフォームの活用：金融分野におけるSaaSアプリケーションの特有のニーズに対応した、包括的なセキュリティおよびコンプライアンスプラットフォームを活用します。これらのプラットフォームは、アイデンティティ管理、設定ミスの管理、脅威の検知、データ管理を可能にし、DORA要件への適合を確保します。
• 定期的なレジリエンステスト：クラウドサービスプロバイダーの障害が発生した場合のシナリオを含め、デジタル運用のレジリエンスの定期的なテストを実施します。これにより、事前の備えを確実にし、顧客への影響を最小限に抑えながら円滑に移行を実行することができます。
• 堅牢なバックアップと復旧：人的ミスを含むデータ管理に起因するリスクからデータを保護できるよう、バックアップポリシーと手順を導入します。また、ICT関連の障害発生後に迅速に復旧できるように、これらの手順を定期的にテストします。