Thalesは、以下によって、組織をサポートします:
- リスク評価のための、センシティブデータの特定と分類
- 静止時、使用時、移動中のデータ保護
- センシティブデータ、システム、アプリケーションへのアクセス保護
- 暗号鍵の保護と堅固な多要素認証の実装
- 異常なアクティビティの検知、およびユーザー活動の監視
デジタルオペレーションレジリエンス法(DORA)の遵守
欧州理事会は2022年11月、サイバー攻撃に対する金融機関のレジリエンスを強化するための、デジタルオペレーションレジリエンス法(DORA)を採択しました。DORAは、金融セクター、ならびにICT(情報通信技術)関連サービスを提供する重要なサードパーティプロバイダーの情報システムとネットワークのセキュリティに関する欧州連合(EU)内の要件を合理化かつ調和させることによって、これを実現するものです。
DORAの主な柱は以下の通りです:
- ICTリスク管理
- ICT関連インシデントの管理、分類、報告
- デジタル運用のレジリエンステスト
- ICTサードパーティのリスク管理
- 情報共有
DORAの対象となる企業
DORAは、銀行、信用機関、決済機関、電子マネー機関、投資会社、暗号資産サービスプロバイダーなどの幅広い金融サービスプロバイダーに適用されます。ただし重要な点として、金融機関に提供される重要なICTサービスを、DORAが定義しています。ある組織が金融機関にとって重要なICTサービスプロバイダーである場合、その組織は、DORAの枠組み下で、規制の直接的な監督対象となります。このような例には、クラウドプラットフォームやデータ分析サービスなどが挙げられます。
DORAが施行される時期
DORAは、2023年1月16日に発効し、導入期間は2年間とされています。金融機関、金融機関のICTサプライヤーとサービスプロバイダーは、2025年1月17日までにDORAに準拠することが求められています。
DORA違反に対する罰則
DORAの要件に違反した場合、企業は全世界の年間総売上高の最大2%の罰金、個人は最高100万ユーロの罰金を科される可能性があります。罰金の金額は、違反の重大性と、当局への金融機関による協力内容に応じて決まります。
Thalesは組織をどのようにサポートするか
ICTリスク管理
DORAは、成熟したリスク管理プログラムの構築とオペレーションレジリエンスの向上を目的とする、リスク管理のフレームワークとガイドラインを整えています。
DORAの要件:
第8.1条:
「...情報資産を特定、分類、適切な文書化を行う...」
Thalesのソリューション:
CipherTrust Data Discovery and Classification(データディスカバリーおよび分類)は、オンプレミスおよびクラウドにおいて、構造化および非構造化センシティブデータを特定します。内蔵テンプレートは、規制データの迅速な特定、セキュリティリスクの強調、コンプライアンスギャップの発見を可能にします。
第9.2:
「...保存、使用、送信中かどうかにかかわらず、データの可用性、真正性、完全性、機密性を高い水準で維持する」
保存データの保護:
CipherTrust Data Security Platform(データセキュリティプラットフォーム)は、ファイル、ボリューム、データベース内の保存データを保護する複数の機能を提供します。以下はその一例です:
- CipherTrust Transparent Encryption(透過的暗号化)は、一元化された鍵管理と特権ユーザーアクセス制御によって、保存データの暗号化を提供します。これにより、データ保存先がオンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれであっても、データが保護されます。
- CipherTrust Tokenization(トークン化)は、集計分析機能を維持しつつ、データベース内のセンシティブ情報の仮名化を可能にします。
移動中データの保護:
Thales High Speed Encryptors(HSE)は、ネットワークに依存しない移動中データの暗号化(レイヤー2、3,4)を提供し、サイト間の移動またはオンプレミスとクラウド間の移動においてデータを確実に保護します。Thalesのネットワーク暗号化ソリューションによって、パフォーマンスに妥協することなく、データ、動画、音声、メタデータを盗聴、監視、公然または秘密裏の傍受からより良く保護することが可能です。ThalesのHSEは、物理アプライアンスと仮想アプライアンスの両方で入手可能であり、10 Mbpsから100 Gbpsまで、幅広い領域のネットワーク速度に対応します。
第9.3条 b:
「...データの破損または損失リスクの軽減、不正アクセスおよび技術的欠陥の...」
Thales OneWelcome Identity & Access Management:これらの製品とソリューションは、役割とコンテキストに基づき、組織内外のユーザーによるアクセスを制限します。強力な多要素認証に支えられたきめ細かなアクセスポリシーと承認ポリシーによって、適切なユーザーが適切なリソースに適切なタイミングでアクセスできることを確実にする一方、不正アクセスリスクを最小限に抑えます。
第 9.4条 c:
「...ICTシステムリソースおよびデータへの物理的および仮想的なアクセスを、合法で承認済みの機能と活動に必要なもののみに制限するポリシーを実施...」
Thales OneWelcome Identity Platformは、(耐フィッシング認証を含む)多要素認証ときめ細かなアクセスポリシーによって、機密リソースへのアクセスを仮想的(または論理的)に制限することを可能にします。スマートカードのSafeNet IDPrimeは、センシティブな施設への物理的アクセスを実装するために活用できます。
Thales OneWelcome Consent & Preference Managementモジュールによって、金融機関が同意されたデータを明確に可視化できるように、企業が最終消費者の同意を収集したり、利用許可を得ているデータへのアクセスを管理したりすることが可能になります。
第9.4条 d:
「…堅固な認証メカニズム…」
「...データを暗号化する暗号鍵の保護対策」
SafeNet Trusted Accessは、クラウドベースのアクセス管理ソリューションです。シングルサインオン、多要素認証(MFA)、シナリオベースのアクセスポリシーを組み合わせた統合プラットフォームによって、クラウドサービスとエンタープライズアプリケーションの両方のアクセス管理を容易にします。
Thales Key Managementは、さまざまなユースケースにおいて、クラウド環境やエンタープライズ環境の主要な管理を合理化かつ強化します。
ハードウェアセキュリティモジュール(HSM)は、暗号鍵を保護するとともに、FIPS 140-2のレベル3に強化された耐タンパー性の環境を提供し、安全な暗号処理、鍵の生成と保護、暗号化などを実現します。
第10.1条:
「...異常なアクティビティを検知する...ユーザーの活動を監視する...」
CipherTrust Transparent Encryptionセキュリティインテリジェンスログおよびレポートは、トップレベルのセキュリティ情報と外部のSIEMシステムを使用して、コンプライアンスレポーティングの合理化と脅威検知の迅速化を実現します。
CipherTrust Transparent Encryption Ransomware Protection拡張機能は、ランサムウェアを検出し、アクティビティ(過剰なデータアクセス、流出、不正な暗号化、または悪意ある行動を伴うなりすまし)を特定します。
SafeNet Trusted Accessは、すべてのシステムに対するあらゆるアクセスイベントを対象に即時かつ最新の監査証跡を提供することによって、組織がデータ侵害リスクに対応し、これを軽減することを可能にします。
ICTサードパーティのリスク管理
DORAは、ICTサードパーティサービスプロバイダーのリスクを管理する必要性と、金融機関が「出口戦略」を持つ必要性を強調しています。
Thalesは、鍵管理と暗号化を活用して金融機関とサードパーティプロバイダーの厳格な職務分離を実施するとともに、必要に応じてワークロードの他のプロバイダーへのポータビリティを維持することによって、企業がサードパーティリスクを軽減するサポートを提供します。
第28.8条:
「クリティカルまたは重要な機能をサポートするICT[サードパーティ]サービスについて、金融機関は出口戦略を整備するものとする。」
「...データを暗号化する暗号鍵の保護対策」
CipherTrust Cloud Key Managerでは、「BYOK(Bring Your Own Key)」システム下でサードパーティのクラウドプロバイダーがホストするセンシティブデータを保護する鍵を、金融機関の完全な管理下のオンプレミスに維持することによって、サードパーティのリスクを軽減することができます。
CipherTrust Transparent Encryptionは、管理ロールの完全な分離を提供し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。
Thales Data Security solutionsは、最も総合的なデータ保護を提供します。これには、内蔵された高度な可用性を提供するThales Data Protection on Demand(DPoD)、クラウドベースのLuna Cloud HSMおよびCipherTrust Key Managementサービスへのバックアップ、ゼロ化オプションを提供するHSEネットワーク暗号化アプライアンスなどがあります。
関連リソース
Data Security Compliance with the Digital Operational Resilience Act (DORA) - Solution Brief
Thales helps organizations comply with DORA by addressing essential requirements for risk management and managing third party risk. Thales helps organizations by: Identifying and classifying sensitive data for risk assessment Protecting data at rest, in use, and in motion...
Data Security Compliance and Regulations - eBook
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
その他の主要なデータ保護とセキュリティ規制
GDPR
規制
アクティブ ナウ
これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。
PCI DSS
必須
アクティブ ナウ
クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。
データ漏えい通知法
規制
アクティブ ナウ
個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。
