デジタル・オペレーション・レジリエンス法(DORA)アクション・ガイド
2025年1月17日より、EUの金融機関および関連するICTサービス・プロバイダーへのDORAの施行が開始されます。
セキュリティー・シールドとエンタープライズ・エンドポイントのアイソメ図
DORAの目的はEUリスク規制の調和

欧州委員会は、欧州連合(EU)圏内で金融サービス部門に対する情報通信技術(ICT)規制を調和させるためにDORA制定に着手しました。DORA施行後は次の分野でEUの全加盟国に共通の要件が課されることになります。


1. ICTのリスク管理とガバナンス
2. インシデントの報告と管理
3. オペレーション・レジリエンスのテスト
4. ICTサード・パーティー・リスクの管理


情報共有は推奨されますが、必須ではありません。
ICTリスク管理とガバナンス
IBM Consulting™ は、金融機関がリスクを定量化し、ガバナンスと管理を適用できるように支援する幅広いサービスを提供しています。IBM ソフトウェア・ソリューションは、データ検出とガバナンスの自動化にかかる時間を最大 90% 短縮し、コンプライアンスとレポート作成に役立ちます¹。IBM Data Security は、データを保護し、コンプライアンス監査を自動化するのに役立ちます。
ガバナンスとリスク管理

経験豊富なセキュリティー・コンサルタントと協力することで、リスク、コンプライアンス、ガバナンスの管理を向上します。

 詳細はこちら データ・ガバナンス

自動制御でコンプライアンスを強化します。IBM® Watson Knowledge Catalogをご参照ください。

 詳細はこちら データ・セキュリティー

コンプライアンス監査と報告書作成の自動化、およびデータとソースの検出、分類にIBM Guardiumをご活用ください。

 詳細はこちら
ICTインシデントを報告、管理
金融機関はセキュリティー・インシデントに関して、利害関係者への伝達および対応計画など、検知、分類、管理、対応を目的とするプロセスを準備しておく必要があります。IBM® Securityは、インシデントの報告と管理に役立つ、EDR、ログ管理、XDR、SIEM、SOAR用ソリューションを備えています。IBM® Security X-Forceは、インシデントの検知と回復、およびマネージド型の検知と対応用サービスを提供します。IBM Control Desk with Maximoは、組織が重要資産を管理および報告するのに役立ちます。
AIで脅威検知を迅速化

セキュリティー・インシデントを検出し、効率的に対応します。可視性を確保しながら迅速に調査します。

 QRadar SIEMの実演をご希望の場合はこちら 重要なOT資産とIT資産を特定

IBM Control Desk with Maximoは、OTリスクとITリスクを軽減し、インシデント管理を改善します。

 IBM Maximoの詳細はこちら インシデント対応サービス

IBM® Security X-Forceの専門知識とスキルを活用して、セキュリティーの脅威を管理し、対応します。

 詳細はこちら
オペレーションのレジリエンスをテスト
DORAでは、デジタル・オペレーションのレジリエンス・プログラムの確立、維持、レビューを義務付けています。この義務に伴い必要なテストには、ICTサード・パーティー、ペネトレーション、脆弱性評価、ソース・コードのレビュー、シナリオ・ベースのテストが含まれます。IBMではペネトレーションテストと脆弱性テストを手掛けており、セキュリティー上の不備の特定、優先順位付け、修正を支援しています。IBM Security QRadar SOARは、チームの対応、自動化、コラボレーションを支援します。IBMインフラストラクチャー・ソリューションは、対応と復旧に備えて柔軟に容量を変更できるうえ、自動的に予防と復旧を行う能力を備え、IBMストレージを用いて保護されたコピーを再確立できます。
自動化により対応が迅速に

自動化とプロセスの標準化により、インシデント対応を迅速化します。

 QRadar SOARのデモの予約はこちら 各種インフラストラクチャー・ソリューション

レジリエンス・テスト用に柔軟なソリューションをご用意しています。

 ソリューションはこちら ペネトレーション・テスト・サービス

X-Force Redのペネトレーション・テストでは、資産が攻撃を受ける原因となる脆弱性を発見します。

 詳細はこちら
ICTサード・パーティー・リスクを管理
DORAではICTサード・パーティー・リスクをリスク管理フレームワークに組み入れることを義務付けています。金融機関はサード・パーティーとの契約を監視し、欧州監督当局が必要不可欠なプロバイダーを監督できるようにする必要があります。組織はICTのサード・パーティー・リスクに関して戦略を設ける必要があります。IBMコンサルティングは、サード・パーティー・リスクの管理、セキュリティー意識向上、トレーニングといったサービスを提供します。IBMマネージド・セキュリティー・サービスはリスクの評価、監視、文書化を支援し、Randori Reconは、実世界に潜むリスクに関する多彩な評価サービスを提供しています。
統合された、よりスマートなGRC環境

AIを活用したIBM OpenPages with Watsonで、リスク管理と規制順守プロセスを簡素化できます。

 IBM OpenPagesの詳細はこちら 攻撃対象となる領域を縮小

外部リスクの軽減に必要なコンテキストと情報を入手できます。

 Randoriの詳細はこちら IBM Security Services

ビジネスの保護とセキュリティー確保には、サプライチェーン・サイバー・リスク管理サービスを利用できます。

 ソリューションの概要を読む
IBM Cloud for Financial Services
IBM® Cloud for Financial Servicesは、金融規制の対象となる企業に特化したソリューションとして、2019年に導入されました。金融サービス組織はこの製品を使用することで、サイバー・セキュリティー、規制、オペレーションに関する業界固有の要件に対処しやすくなると同時に、セキュアな環境でクラウドの利点と柔軟性を享受できます。
おさえておくべき5つのポイント

IBM Cloud for Financial Servicesをリスク軽減に役立てる方法がわかります。

 詳細を読む IBM Cloud for Financial Services

クラウドのアウトソーシングとセキュリティー・リスク管理に関するガイドラインを説明しています。

 ガイドを読む
ITインフラストラクチャー・ソリューション
IBMインフラストラクチャー・ソリューションを使用すると、ハイブリッドクラウド環境でサイバー・レジリエンス能力の開発と管理が可能になり、DORAをはじめとする規制の主要要件を順守するのに役立ちます。 詳細はこちら
ストレージ・インフラストラクチャーを保護

IBM Storage Defenderは、サプライチェーンのデータをサイバー攻撃やハードウェア障害から保護します。

 詳細はこちら ゼロトラスト・アプローチを採用

脅威の先を行く:一貫性に優れたIBM Powerプラットフォームで、ランサムウェアのリスクを軽減できます。

 詳細はこちら 高可用性インフラストラクチャー

IBM zSystemsは最大エイトナイン(99.999999%)と桁違いの可用性を備え、データを失うことなく復旧し、ランサムウェアを撃退します。

 詳細はこちら
その他の参考情報

IBM® Securityソフトウェアとサービスを脅威状況の理解と対処に役立てる方法がわかります。

 X-Force Threat Intelligenceインデックス 攻撃対象領域管理の現状 クラウド脅威ランドスケープレポート ランサムウェア対策決定版ガイド DORA:デジタル・トランスフォーメーションを有意義なものに データ侵害のコストに関する調査