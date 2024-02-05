タグ
デジタルの波を乗りこなす：DORAと機密コンピューティングの役割を理解する

デジタル・オペレーショナル・レジリエンス・アクト（DORA）は、デジタル時代に金融部門のオペレーショナル・レジリエンスを強化するための欧州連合（EU）の取り組みにおいて重要なマイルストーンです。金融サービスにおける情報通信テクノロジー（ICT）リスク管理に包括的に取り組むことを構想したDORAは、EU加盟国全体で既存の規制を調和させることを目指しています。同法は、その範囲内のすべての金融機関が、各組織に合わせたアプローチを重視し、必要なデジタル運用の回復力を構築することを義務付けています。

基礎的な機能に焦点を当てる

DORAを効果的に設置するために、金融機関は、データ、オペレーション、リスク管理、オートメーションとAIの4つの主要な領域の基本機能を習得することに集中することが推奨されます。これらの領域でテクノロジーを戦略的に組み合わせることで、組織はセキュリティーの組み込み、リスク軽減の推進、継続的な監視の実現、適応型事業継続性の確保、相互運用性の促進、ガバナンスの合理化に向けた能力を強化することができます。

デジタル・オペレーショナル・レジリエンスへの戦略的投資

金融機関にとって経済を取り巻く状況は困難ですが、DORAを遵守することは、単なるコストのかかる義務ではありません。その代わりに、コンプライアンス費用を、より高い性能を達成することを目的とした戦略的投資に変える機会を提供します。この考え方を採用することで、教育機関はデジタル・オペレーショナル・レジリエンスへの投資からコンプライアンスと長期的なデジタル・ビジネス価値の両方を追求できるようになります。

機密コンピューティングとデータ暗号化の役割

機密コンピューティングとデータ暗号化は、データ・プライバシーの完全な保証を実現する上で重要な役割を担っており、使用中やメモリ内のデータを保護し、データにアクセスすることなくインフラを管理し続けるシステムやクラウドの管理者にもこのような保護を拡大します。

これは、パブリックコンサルテーション（1、リンクはibm.com®外部にあります）向けに概要が示されたDORAのRTS（規制技術基準）の第6条（暗号化と暗号制御に重点）と、第7条（暗号キー管理に重点）でも強調されています。

RTSの第6条では、データの暗号化は、データのライフサイクル全体にわたって不可欠であるとみなされ、保存中、転送中、使用中のデータを対象としています。これは、DORAが義務付けている完全なデータ・プライバシーを実現するには、暗号化に対する包括的なアプローチが必要であり、機密情報が存在するあらゆる段階で確実に保護する必要があるという概念とシームレスに一致します。

さらに、RTS第6条では、内部と外部の両方のネットワークトラフィックをすべて暗号化する必要性が強調されています。この要件は、安全で暗号化された通信チャネルが最重要であるという考えを強調するものであり、原文で言及しているように、ハードウェアからソリューションまでの堅牢で相互にリンクされた信頼の鎖の必要性に共鳴します。

RTS第7条では、暗号鍵のキー管理について詳しく説明し、暗号鍵のライフサイクル管理の重要性を強調しています。これは、機密コンピューティングを可能にするテクノロジー・コンポーネントは相互にリンクする信頼の鎖を形成する必要があるという概念と一致しています。信頼できる実行環境の不変性と認証を確保することで、金融機関は第7条に記載されているDORA規制の期待に応えることができます。

結論として、原文に明確に記載されている機密コンピューティングと暗号化の原則は、RTSに記載されている特定の要件と共鳴します。これらの規制基準を遵守することで、DORAへの準拠が保証されるだけでなく、暗号化と効果的なキー管理手法を通じて機密の金融データを保護するための強固なフレームワークが確立されます。

エンドツーエンド保護の確保

完全なデータ・プライバシー保証を実現するために、重要なコンポーネントは機密コンピューティングと暗号化です。機密コンピューティングを可能にするテクノロジー・コンポーネントは、ハードウェアからソリューションまで相互にリンクする信頼のチェーンを形成し、変更不可能で認証された信頼できる実行環境を備えたソリューションとしての機密コンピューティングを提供する必要があります。

データ・プライバシー、主権、デジタル・レジリエンスを実現する総合的なデータ・セキュリティーには、データ・ライフサイクルとスタック全体にわたるエンドツーエンドの保護が必要です。機密コンピューティングは、クラウド・プロバイダーが信頼性・可視性・制御に基づいてデータにアクセスするのではなく、技術的証明やデータ暗号化、ランタイム分離に基づいてデータにアクセスすることを保証します。

データ・セキュリティーの技術保証

データへの不正アクセスを防止するには、技術的な保証が極めて重要です。これは、クラウド管理者、ベンダー、ソフトウェア・プロバイダー、サイト信頼性エンジニアが使用中のデータにアクセスできないことを意味します。技術的保証は、クラウド・サービス・プロバイダー（CSP）が法的要求があった場合でもデータを公開できないことを保証し、法律や法執行機関に関係なくデータ保護侵害を防ぎます。

データ主権とデジタル・レジリエンスの促進

技術的な保証によるデータ保護は、データ主権とデジタル・レジリエンスを促進します。これは、実際のデータに対する完全なコントロールは、クラウド・プロバイダーではなく、クラウド・ユーザーにあることを意味します。機密コンピューティングと暗号化を活用することで、金融機関は DORA の厳しい要件に対応し、最高レベルの技術保証を確保し、進化する状況の中でデジタル運用を保護することができます。

結論としては、DORAは単なるコンプライアンス・タスクではなく、金融機関がデジタル・オペレーショナル・レジリエンスに戦略的に投資する機会であると言えます。機密コンピューティングと暗号化をストラテジーに組み込むことで、組織は進化し続けるデジタルランドスケープでデータ・プライバシー、セキュリティー、制御を確保し、自信を持ってデジタルの波を乗り切ることができます。

データ・セキュリティーの強化とコンプライアンスの達成に向けた第一歩を踏み出し、IBM® 機密コンピューティング・ソリューションの詳細はこちら、例えば、Hyper Protect Virtual Serversが金融取引の保護にどのように役立つのか、IBMはアプリケーション・レベルのセキュリティに取り組んでいるところです。

 

執筆者

Louisa Muschal

Product Manager

Hyper Protect Services - GTM

Andrea Corbelli

Director

Infrastructure Technical Sales, IBM Technology, EMEA
