御社のSalesforceはDORAに準拠していますか？

DORAとは？

デジタルオペレーショナルレジリエンス法（DORA）は、金融機関の業務継続性を強化するために策定された欧州連合（EU）の規制です。この規制は、サイバー攻撃を含むICT関連の障害に対して、金融機関が耐え抜き、対応し、復旧できることを保証するものです。ICTリスク管理、インシデント報告、レジリエンス・テスト、およびサードパーティ・リスク管理（TPRM）に関する規則を義務付けています。この規制は2025年1月17日より適用されます。

DORAの目的は何ですか？

DORAは、EUの金融機関がICTリスクを効果的に管理・軽減し、サイバー脅威の影響を最小限に抑え、障害発生時にも事業継続を維持できるようにすることを目的としています。

DORAは誰に適用されますか？

DORAは、EU内で事業を行う金融機関の大部分に適用されます。その対象は、銀行、投資会社、決済サービスプロバイダー、保険会社といった幅広い金融機関に加え、金融機関を支援するクラウドサービスなどのICTサードパーティプロバイダーにも及びます。

DORAのICTリスク管理フレームワークでは、企業の経営陣がICTリスクの管理、デジタル業務レジリエンス戦略の策定および承認、ICTサードパーティプロバイダー（TPP）の利用に関する方針の承認など、最終的な責任を負うことが義務付けられています。

DORAは現在の規制遵守にどのような変化をもたらすのでしょうか？

DORAに類似したガイドラインは以前から存在しており、例えば2019年のEBA（欧州銀行監督局）による「ICTセキュリティおよびリスク管理に関するガイドライン」や、2020年のEIOPA（欧州保険・職業年金監督局）による「ICTセキュリティおよびガバナンスに関するガイドライン」などが挙げられます。しかし、DORAは一次法であるため、企業が受ける監督当局の精査のレベルは現在、大幅に高まっています。

金融機関に対する主な要件：

• ICTリスク管理： 金融機関は、ICTリスクを管理するための強固なガバナンスおよび統制フレームワークを構築しなければなりません。これには、リスクの特定、保護措置、システム監視、およびインシデント復旧が含まれます。
• インシデント報告： 監督を強化し、業界全体の協調的な対応を促進するため、金融機関は重大なICT関連インシデントを当局に報告することが義務付けられています。
• テストおよび監査： 脆弱性を特定し対処するために、ペネトレーションテストやセキュリティ監査を含む定期的なテストが義務付けられています。
• サードパーティのリスク管理： 金融機関は、重要な機能のアウトソーシングにおいて徹底したデューデリジェンスを実施することを含め、サードパーティのICTプロバイダーが同等の基準を遵守していることを確保しなければなりません。

DORAコンプライアンスとSalesforceのセキュリティ

DORAは、重要な事業領域全体にわたる包括的な監督を義務付けており、ICTリスクに対する経営陣の説明責任に重点を置いています。これには、デジタル・オペレーショナル・レジリエンス戦略の策定や、ICTサードパーティプロバイダー（TPP）の管理が含まれます。違反があった場合、所管当局による罰則が科される可能性があります。

Salesforceは、多くの金融機関とその業務にとって不可欠なクラウドベースのプラットフォームです。金融機関は、Salesforceの利用が、ICTリスク管理、第三者監督、インシデント報告、およびテストに関するDORAの要件に準拠していることを確認する必要があります。

主要なCRMプロバイダーであるSalesforceは、他のデータ保護規制と同様に、プラットフォームのデータガバナンスがDORAに準拠するよう、すでに措置を講じています。Salesforceのリード・ソリューション・エンジニアであるナタリー・ポープ氏によると、WithSecure™のようなパートナーとの連携は、信頼とセキュリティに対するSalesforceの取り組みの一環です：「DORAは、金融サービスのお客様への提供価値を高めるための重要な一歩であり、データと業務のレジリエンスが、お客様のビジネス目標や企業理念の最優先事項となることを保証します。WithSecure™のようなパートナーとの連携は、Salesforceの最優先の価値観である『信頼』へのコミットメントを示すものであり、信頼できるデジタルインフラの一部として、堅牢かつコンプライアンスに準拠したソリューションを提供することを可能にします。」

Salesforceのセキュリティ確保とDORAへの準拠に向けた主な対策

新たなDORA規制は、Salesforceを含むすべてのSaaS製品に影響を及ぼします。Salesforceのセキュリティとリスク管理に関して、金融機関は以下の分野で対策を講じる必要があります：

• Salesforceおよびそれに接続された他のサービスに関連するセキュリティリスクを継続的に評価するための、継続的な監査体制を構築します。ギャップを是正するための適切なセキュリティ対策を実施します。
• 問題の迅速な検出、報告、解決を確実にするため、インシデント管理戦略を策定・改善します。戦略を支援するセキュリティ対策をSalesforceに対して直接実施します。
• DORA基準を満たすよう、ICTプロバイダーとの契約を見直し、更新する。

WithSecure™ Cloud Protection for SalesforceがSalesforceにおけるDORAの義務の履行をどのように支援するか

WithSecure™ Cloud Protection for Salesforceは、Salesforce上のマルウェアやフィッシングの脅威をリアルタイムで阻止します。本ソリューションは、金融機関がSalesforceにおける以下の分野でのDORA義務を履行するのを支援します：

インシデント報告に関するDORAの義務： 「金融機関は、重大なICT関連インシデントを所管当局に報告しなければならない」、「金融機関は、関連するすべての情報を収集・分析した後、第20条に規定するテンプレートを使用して、本条第4項に規定する初期通知および報告書を作成し、所管当局に提出しなければならない。技術的な理由によりテンプレートを使用した初期通知の提出が不可能な場合、金融機関は代替手段を通じてその旨を所管当局に通知しなければならない。」 (第19章 第1条)

DORAによる検知能力に関する義務： 「金融機関は、ユーザーの活動、ICTの異常の発生、およびICT関連インシデント（特にサイバー攻撃）を監視するために、十分なリソースと能力を投入しなければならない。」 (第2章 第10条)

DORAによるインシデント管理の義務：「金融機関は、ICT関連のインシデントを検知、管理、および通知するためのICT関連インシデント管理プロセスを定義、確立、および実施しなければならない。」 (第17章、第1条)

WithSecure™ Cloud Protection for Salesforceが、金融機関のDORA義務の遵守をどのように支援するか

WithSecure™ Cloud Protection for Salesforceは、金融機関がSalesforce上のマルウェアやフィッシング脅威などの異常を検知するのを支援します。本ソリューションは、Salesforce環境全体におけるサイバー脅威やインシデントをリアルタイムで監視する機能を提供します。金融機関に対し、迅速なアラートに加え、自動化された脅威の是正機能を提供します。

WithSecure™ Cloud Protection for Salesforceのネイティブレポート機能は、DORAで義務付けられている当局へのインシデント報告をサポートします。レポートには、脅威の詳細、誰がいつそれに関与したかといった広範な情報が含まれます。これにより、当局への十分な報告が可能になるだけでなく、インシデント管理プロセスを大幅に迅速化します。完全なイベントログとフォレンジックトレイルを備えたレポートツールがなければ、マルウェアの感染拡大の調査には多大なコストと時間がかかります。

マルウェアの差し迫った脅威を是正する一方で、Cloud Security Access Brokers（CASB）のようなソリューションは、脆弱な統合やデータフローを追加することで、さらなるリスクをもたらす可能性があります。このため、当社はネイティブに統合され、脆弱性を最小限に抑え、シンプル化されたアンチウイルスおよびアンチフィッシングソリューションWithSecure™ Cloud Protection for Salesforceを開発しました。このシンプルでシームレスなアプローチにより、金融機関は、その過程でかえってリスクを増大させることなく、リスクを軽減することができます。ネイティブなセキュリティレイヤーを数分で導入し、コンプライアンスを即座に強化することが可能です。

WithSecure™ Cloud Protection for Salesforceは、30年以上にわたるサイバーセキュリティの経験に基づき、Salesforceとの緊密な連携のもとで構築されています。本ソリューションはISAE 3000 Type 2認証（SOC 2 Type 2に相当する国際規格）を取得しており、WithSecure™はISO 27001認証も取得しています。これにより、DORAのサードパーティリスク管理要件に準拠した運用の堅牢性が証明されています。