DORA遵守のための5つの重要なステップ

金融機関がデジタル運用回復法（DORA）の実施に備えるにあたり、コンプライアンスのための明確なロードマップを持つことは極めて重要です。以前の記事「DORAの導入：CTOからの教訓」と「デジタル運用回復力法（DORA）とは何か？

1.リスクと要件を評価する

DORAの導入：CTOからの教訓」と「デジタル・オペレーショナル・レジリエンス法（DORA）とは何か？リスクと要件を評価する

DORAの基礎は、組織の現在のリスク状態と満たすべき具体的な要件を徹底的に理解することにあります。

包括的なリスク評価の実施

• すべての重要なICTシステムとインフラストラクチャを特定し、カタログ化する
• これらのシステムに対する潜在的な脆弱性と脅威を評価する
• ICT関連の混乱が事業運営に与える潜在的な影響を評価する
• 内部および外部のリスク要因を考慮する
• 、サイバー脅威、システム障害、サードパーティのリスクなど

DORAの要件を理解する

• DORAの法律を見直します、
• 現在の慣行とDORA要件とのギャップを特定する
• リスクレベルとコンプライアンスの期限に基づいて、早急に注意を払う必要がある分野を優先する

既存のフレームワークを活用する

• のような確立されたフレームワークと評価を整合させます。entity-type="node" data-entity-uuid="3878d5fd-88ee-433f-997e-7efeb9902374" data-entity-substitution="canonical">NISTサイバーセキュリティフレームワークやISO 27001
• DORAの要件を既存のコンプライアンスへの取り組み（例.g.,

2.包括的な戦略を策定する

リスクと要件を明確に理解した上で、次のステップはDORAコンプライアンスと運用回復力のための強固な戦略を策定することです。

運用レジリエンス戦略を構築する

• ICTリスク管理と運用レジリエンスの明確な目標を定義する
• 進捗を測定するための主要業績評価指標と測定基準を作成する
• コンプライアンスを達成し、維持するための短期および長期の目標を示したロードマップを作成する

事故対応計画を策定します。

• DORAの要件に対応した事業継続計画を作成し、定期的に更新する
• インシデント発生時に社内外の利害関係者のための明確なコミュニケーションプロトコルを確立する
• 重要なシステムの復旧時間目標 (RTO) および復旧時点目標 (RPO) を定義する

3.強固なセキュリティ対策を実施する

DORAのコンプライアンスでは、ICTリスクから保護し、運用の回復力を確保するために、強固なセキュリティ管理と実践が求められます：

• 強固なアクセス管理と認証（例．
• 強固なアクセス管理および認証（多要素認証など）
• 機密情報の静止時および転送時のデータ暗号化
• 次世代ファイアウォールおよび侵入検知
•  
• など、多層的なセキュリティ管理を実施します。entity-type="node" data-entity-uuid="3689eb31-6751-432a-bf83-c145c3b18779" data-entity-substitution="canonical">3-2-1ルール（3つのコピー、2つの異なるメディア、1オフサイト）
• バックアップとリカバリの手順を定期的にテストし、データの完全性とシステムの復元機能を確保する
• ランサムウェア攻撃から保護するために、不変のバックアップを導入する

サードパーティのリスクに対処する

• 包括的なサードパーティ
• すべての重要なICTサービスプロバイダーについてデューデリジェンスを実施する
• サードパーティプロバイダーとの契約にDORAコンプライアンス要件を含める
• サードパーティのセキュリティ対策と運用回復力を定期的に評価および監査する

4.定期的なテストと監査の実施

継続的なテストと監査は、DORAコンプライアンスを維持し、運用の回復力を長期にわたって向上させるために非常に重要です。

包括的なテストプログラムを実施する

• システムやネットワークの脆弱性を特定するために、定期的に侵入テストを実施する
• 復旧計画の有効性を確認するために、頻繁に災害復旧（DR）テストを実施する
• さまざまなICT関連のシナリオに対する組織の対応をテストするために、事業継続演習を実施する

•  

  • 。
  • DORAコンプライアンスとICTリスク管理戦略の有効性を評価するために、定期的な内部監査を実施する
  • DORAコンプライアンスへの取り組みについて独立した評価を提供するために、外部監査人を雇用する
  • 監査結果および推奨事項を追跡し、実施するプロセスを開発する

  5.訓練と協力

  DORAコンプライアンスを成功させるには、組織全体の意識と協力の文化が必要です。

  包括的な従業員トレーニングを提供する

  • DORAの要件とコンプライアンス手順に関する役割別のトレーニングプログラムを開発する
  • 全従業員に対して定期的にサイバーセキュリティ意識向上トレーニングを実施する
  • 従業員の準備態勢をテストし、向上させるために、フィッシング攻撃やソーシャルエンジニアリング攻撃をシミュレートする

  部門横断的なコラボレーションを促進する

  • IT、法務、リスク管理、および事業部門間の定期的なミーティングを確立する
    • 、
    • 異なるチームや部署間で情報やベストプラクティスを共有するためのチャンネルを作る

  外部の利害関係者と関わる

  • 規制機関と協力し、DORAの解釈や期待について常に情報を得る
    • 。li>
    • 脅威インテリジェンスと対応能力を強化するために、サイバーセキュリティパートナーやベンダーとの関係を構築する

  DORAコンプライアンスを達成し、維持することは、複雑ですが、EUで活動する金融機関にとって不可欠なタスクです。リスクと要件の評価、包括的な戦略の策定、強固なセキュリティ対策の実施、定期的なテストと監査の実施、トレーニングと協力の文化の醸成という5つの重要なステップに従うことで、組織は規制要件を満たすだけでなく、運用の回復力を大幅に高めることができます。

  DORAへの準拠は、1回限りの取り組みではなく、継続的なプロセスであることを忘れないでください。

  DORAへの準拠は、一度限りの取り組みではなく、継続的なプロセスであることを忘れないでください。

  定期的にアプローチを見直し、改善することで、組織が進化するICTリスクや規制上の期待に直面している場合でも、回復力を維持できるようにします。