FBIの最重要指名手配犯の一人として悪名高いアメリカの銀行強盗であったウィリー・サットンは、逮捕された後に「あなたはどうして銀行強盗をするか」と問われると、「そこにカネがあるから」と答えたと逸話があります。金融機関で働く情報セキュリティの専門家であれば、サイバー犯罪者が何故金融機関を狙うのかは、このサットンの「そこにカネがあるから」という感情的な動機と同じであることに同意するでしょうか。
サイバー犯罪者にとってみれば、金融機関を狙うのは理の当然です。事実、IBMが公開している2023年「データ侵害のコストに関する調査」によると、金融機関はデータ侵害のインシデント1件で590万米ドルの損失を被っており、全業界平均と比較した損失額は28%高くなっています。金融機関がサイバー犯罪者にとって魅力的な標的となっているのは、金銭的に大きな利益が見込まれ、攻撃対象領域が広大であるためです。
このような状況が世界的に続いている中で、欧州連合(EU)諸国に拠点を置く金融機関に対する新しい規制であるデジタルオペレーショナルレジリエンス法(DORA)が制定されました。このブログでは、この新しい規制とその目的について説明します。
DORAとは?
DORAはEU加盟国に対する規制であり、銀行、信用組合、暗号通貨サービスプロバイダーなどEU内に拠点を置くすべての金融機関に適用されます。また、クラウドストレージやデータ分析などの「情報通信技術」(略してICT)ツールを提供するサードパーティベンダーにも、本規制は適用されます。この規制は2023年1月に法制化され、2025年1月からこのコンプライアンス遵守が強制されます。
DORAの目的
この規制は、金融機関およびサードパーティプロバイダーに対して、インシデント報告、事業継続、ディザスターリカバリーなどの複数の領域にわたる技術的な要件を定めています。これらの金融機関やプロバイダーはサイバー攻撃を受けた場合、障害をどれほど迅速に復旧できるかを証明しなければなりません。ICTに関連するリスクを低減することが、DORAの全体的な目的です。銀行などの金融機関は、金融システム全体の安定性と安全性にとって重要であり、欧州連合(EU)はこれらの機関のリスクレジリエンス(耐性)をできる限り強化することを目指しています。
EUが公開したプレスリリースの内容を以下に紹介します。
「DORAは、デジタルオペレーショナルのレジリエンスに関する規制の枠組みを策定するものであり、すべての企業は、あらゆるタイプのICTの混乱や脅威に対抗および対応し、復旧できることを確認する必要があります。すべてのEU加盟国がこれらの要件に従う必要があります。DORAの中核的な目的は、サイバー脅威を防止し、その影響を軽減することです。」
EU域内に拠点を置く金融機関やサービスプロバイダーが主にDORAの適用を受けますが、一般データ保護規則(GDPR)と同じように、世界中の組織が影響を受ける可能性があります。銀行にICT関連のサービスを提供するサードパーティベンダーにもDORAは適用されます。つまり、Amazon、Microsoft、Google、およびIBMのようなICTプロバイダーも、DORAが定める技術的な要件を満たす必要があります。
DORAの第13条ではセキュリティアウェアネス(意識向上)トレーニングを企業に要求
DORAとGDPRにはもう1つの重要な共通点があります。それは、従業員に提供するトレーニングプログラムの重要性について明確に言及していることです。具体的には、DORAの第13条の第6項では、従業員が必ず受けるべきICTトレーニングモジュールとして、セキュリティアウェアネスのトレーニングプログラムを組み入れる必要があるとしています。この規定の内容を以下に記載します。
「金融機関は、ICTセキュリティのアウェアネス(意識向上)プログラムおよびデジタルオペレーションのレジリエンストレーニングを開発し、従業員のトレーニングスキームの必修モジュールとして取り入れなければなりません。これらのプログラムおよびトレーニングは、すべての従業員および上級管理職に適用しなければならず、その職務権限に合わせた複雑なプログラムおよびトレーニングを提供する必要があります。」
今後の展開
2024年には、EU全域の金融問題を管轄する3つの「欧州監督機構」が具体的な政策を打ち出し、共通の枠組みとしてEU加盟国に伝えられる予定です。
詳細が決定され、2025年にDORAが施行されると、各国の規制当局は、金融機関に対して新しい規制で求められる措置を取るように要請する権限を持つことになります。規制を遵守しなければ、各国が定める罰金やその他の罰則を受ける恐れがあります。
DORAと金融機関のリスク低減に関するKnowbe4の見解
EUが金融業界のリスクを低減するために強力な施策を打ち出し、その一環として従業員トレーニングの重要性についても強調していることを、KnowBe4は歓迎しています。KnowBe4のセキュリティアウェアネス・アドボケートである Jelle Wieringa は、DORAとリスク低減において人が果たすことができる重要な役割について以下のようにコメントしています。
「金融業界のサイバーレジリエンスについてEU全体で適用される規制と最小限の要件は、組織がセキュリティアーキテクチャを構築するときの重要な柱となるはずです。しかし、銀行やその顧客を標的とするフィッシング攻撃の規模が拡大し、複雑化していることから、この規制を遵守するだけではサイバー脅威を効果的に防ぐことはできません。
二要素認証を迂回する手法が使用されるケースが多くなっており、セキュリティが侵害されるリスクは非常に高まっています。このような攻撃を防ぐために、予防のための対策がより重要になっています。つまり、包括的なセキュリティアウェアネス(意識向上)トレーニングを今後のセキュリティ戦略の中核にしなければなりません。基本的な取り組みとして、模擬フィッシングメールによって、ユーザーのセキュリティに対する注意力と意識のレベルをテストします。このテストの目的は、フィッシング攻撃の危険性に関する認識を高め、フィッシングを実際に特定して適切な対応をとることができるようにすることです。これにより、フィッシング攻撃が成功する件数を大幅に削減できます。」
今後のブログでも、DORAの詳細や、EU域内の金融機関が効果的なセキュリティアウェアネストレーニングを取り入れるためにKnowBe4がどのように支援できるかについて取り上げていきます。
KnowBe4は、従業員のセキュリティアウェアネスを向上し、フィッシングなどの攻撃を受けたときに常にスマートな決断ができるようにサポートします。世界中の65,000以上の企業や組織が、KnowBe4プラットフォームを利用して、セキュリティカルチャー(セキュリティ文化)を強化し、人的リスクを軽減しています。
原典:Stu Sjouwerman著 2023年9月28日発信https://blog.knowbe4.com/exploring-dora-takeways-eu-financial-sector-regulation
