※本ブログは米国時間2024年10月8日に公開されたA10本社ブログの日本語訳です。原文はこちらからご覧ください。

NIS2指令へのカウントダウン

NIS2指令(The second Network and Information Systems Directive)は、2024年10月17日より施行されます。これは、すべてのEU加盟国が指令を国内法に導入しなければならない日付です。そのすぐ後には、2023年1月16日に発効され2025年1月17日より適用されるEU規制であるDORA(Digital Operational Resilience Act)があります。一般データ保護規則(GDPR)によって勢いを増したサイバーセキュリティ規制の時代が到来する中、組織は重要なデジタル システムにおけるシステミックリスクへの取り組みについて、これまで以上に責任を負うようになりました。これらの規制はクリティカルで重要なEU組織全体でサイバーリスク管理基準を引き上げ、運用耐性を高めることを目指しています。

GDPRがグローバルスタンダードに

GDPRが施行されてから6年が経ちました。この法律は、組織による個人データの取り扱い方を変え、世界中の企業に永続的な影響を及ぼし、他の多くの国もこれに倣ってプライバシー法や規制を導入しました。同様に、NIS2とDORAも、その影響が欧州の国境を越えて広がるため、大きな影響を及ぼすでしょう。これは、海外の企業がEUの金融機関と取引する場合や、EUでサービスを提供したい場合に当てはまります。

あまり知られていないかもしれませんが、NIS2では、銀行や金融市場インフラプロバイダを含む18のセクタにわたる対象事業者に対し、ネットワークとシステムを保護するための最低限のサイバーセキュリティリスク管理対策を実施することが義務付けられています。この規制では、サプライヤがEUに拠点を置いているかどうかに関係なく、事業体はサプライチェーンにおけるサイバーセキュリティリスクの管理も担当することになります。この規制では、高いレベルの可視性、制御、監視、報告が求められます。

DORA は、EUの22,000の金融機関全体で運用のレジリエンス向上を推進し、調和を図ることを目的としています。これは、情報技術システムに起因する混乱に対する金融セクタの回復力を高めるということです。金融セクタの組織は、NIS2とDORAの両方の対象範囲です。ただし、DORAはNIS2よりも高いレベルのリスク管理と技術関連のインシデント報告を求めています。

クラウドネイティブ開発への移行

NIS2指令とDORAは、最新のクラウドネイティブアプリケーション開発へのシフトという大きな流れから切り離して実装することはできません。新しいアプリケーションやサービスを提供するスピードは劇的に加速しており、これに伴い俊敏で適応性の高いアプリケーションセキュリティの必要性も高まっています。さらに、レガシーアプリケーションの存続や複雑なハイブリッドクラウド環境への展開、攻撃対象領域の拡大、より高度な攻撃の進化などにより、ガバナンス、リスク、コンプライアンス環境は、極めて複雑になっています。

金融サービスを提供している組織は、NIS2指令およびDORAの要件を満たすために、様々な問題に対処する必要があります。たとえば、組織は暗号化戦略を検証して改良する必要があります。NIS2指令では、セキュリティと回復力を確保するために、適切な場所で暗号化を使用することが義務付けられており、両規制では、悪意のある攻撃に対する強力な防御態勢を実現するツールの採用が規定されています。つまり、暗号化攻撃によるリスクを軽減するために、ネットワーク・トラフィックを分析し、死角をなくすことができるSSL/TLS可視化を実現する強力なソリューションが必要なのです。

同様に、効果的な事業継続、インシデント処理および対応は、両規制で明示的に要求されています。組織は、テクノロジ関連のインシデントを検出、管理し、当局に通知するための堅牢なツールと手順を実装する必要があります。これには、必要なレベルの詳細度と頻度での対応と報告を可能にする早期警告インジケータ、インシデント追跡、およびログの記録が含まれます。

DORAは、金融機関に対し、ITシステムの復元力、継続性、可用性を確保することを目的とした、技術関連のセキュリティポリシー、手順、プロトコル、およびツールの設計、調達、実装を義務付けています。このようなコンプライアンスに準拠するには、アプリケーションがどこにあっても安全かつ一貫して利用できることを保証する必要があります。Webアプリケーションファイアウォール(WAF)は、この目標を達成する上で中心的な役割を果たしますが、その管理と維持は困難であることが知られています。

コンプライアンスには協調的なアプローチが必要

個々の部門がこれらの規制に単独で対処することはできません。コンプライアンスに準拠するには、開発チームやネットワーク運用チーム、セキュリティチームから、リスク管理チームやコンプライアンスチームまで、全ての関係者による協調的な取り組みが必要です。割り当てられたタスクを達成し、他の関係者と連携するには、アプリケーションとネットワークセキュリティのパフォーマンスを完全なかたちで正確に把握する必要があります。しかし、各チームが異なるツールや監視方法、レポーティングシステムを使用している場合、アプリケーションのセキュリティやマネージメント、稼働状況を統一して確認するのは困難です。組織が複数の環境に展開されたレガシーアプリとクラウドネイティブアプリの両方を考慮する必要がある場合、課題はさらに深刻になります。

可視性とレポートに重点を置いたこれらの新しい規制の出現により、組織は現在のセキュリティツールと管理方法を見直し、イノベーションを損なうことなく、アプローチを統合、簡素化する機会を得ることになります。ここで、すべてのアプリケーションを一つのプラットフォームとするアプローチをとることにより、単一の画面でより優れた可視化、管理、レポート機能を実現します。一貫性とガバナンスを強化する取り組みは、効果的なコンプライアンス確保にとって重要です。

業務レジリエンスの構築とリスク管理はA10のDNAに組み込まれています

A10ネットワークスは、金融分野における規制遵守をスムーズに進めるために設計された強力な製品とソリューションのポートフォリオを長年にわたって提供しています。レジリエンスの構築、リスク管理、リアルタイムのシンプルで正確なレポーティングは、A10のDNAに組み込まれています。A10の製品とサービスのポートフォリオは、金融分野の企業がセキュリティ スタックを簡素化、統合し、必要なレベルの可視性を実現しながら、増大する規制要件を満たすことができるように設計されています。さらに、これはイノベーション、スピード、効率性を損なうことなく実現されます。

A10の完全に統合されたプラットフォームによるアプローチは、ハードウェアやベアメタル、クラウドなどの提供形態に関係なく、すべてのアプリケーションで同じオペレーティングシステムを使用することによって、一元化されたセキュリティの回復力を実現します。これにより、すべてのプロジェクトにインサイトとコンテキストが提供され、開発とレポーティングが合理化されます。

金融サービスを提供している企業は、差し迫ったこれらの新しい規制への準拠が迫られ、増大する規制遵守の課題に取り組んでいます。そのためには、安全で規制に準拠したアプリケーションの提供を支援できるプロバイダに注目する必要があります。A10ネットワークスがどのようにお役に立てるかにご興味のある場合は、一元化されたアプリケーションセキュリティ、レジリエンス、インサイトの実現に関する最新のeBookをダウンロードしてください。