規則(EU)2022/2554-デジタル・オペレーショナル・レジリエンス法(DORA)-が2025年1月から施行されている。規制対象の金融機関のCISO、ITリスク管理責任者、コンプライアンス・アーキテクトであれば、すでに情報を得ているはずだ。ほとんどの企業がまだ答えていない質問は、欺瞞的なほど具体的です: 何をする 検証可能なデータ完全性の要求 ICTスタックの? ある調査によると EMEA全体の96%の企業が、現在のデジタル耐障害性のレベルは不十分であると考えている。.
ここで補強し、学ぶことができる:
- DORAのインテグリティ・スタンダードは、独自の言葉でこう述べている;;
- 標準的なシステムでは不十分なところだ;;
- 技術的に防御可能な完全性管理とはどのようなものか;;
- そして、どの運用ツールがそれに付随する可用性と継続性の義務に対処するのか。.
データインテグリティについてDORAが実際に述べていること
DORA は、一般原則ではなく、具体的かつ反復的な義務として完全性を用いている。第9条2項は、基本原則を定めている:
"「金融機関は、ICTセキュリティ方針、手順、プロトコル及びツールを設計、調達及び実施しなければならない。 高水準のデータの可用性、信頼性、完全性、機密性を維持する。, 静止中、使用中、輸送中を問わず。"
第12条7項が上限を定めている:
"「ICT関連インシデントから回復する際、金融機関は、複数のチェックや照合を含め、以下のために必要なチェックを行わなければならない。 最高レベルのデータ完全性が維持されるようにする。."
その照合義務には、固定された基準点、つまり、回収されたデータを照合できる独立に検証可能な完全性の基準点が必要である。第18条(1)(d)は、完全性をインシデントの分類と結びつけている。第30条(2)(c)は、この義務を第三者のICT契約にも拡大している。. データの完全性は、業務およびサプライチェーン全体にわたるシステム要件です。.
ほとんどの企業が名前を挙げていないギャップ
ほとんどの規制対象企業は、すでにSharePoint、Salesforce、Dynamics 365、Google Workspace、Microsoft 365、または同等のプラットフォームで、アクセスログ、バージョン履歴、タイムスタンプを作成している。. これが十分なインテグリティ・コントロールであるという前提である。そうではない。.
ENISA'EUサイバーレジリエンス法の枠組みに基づく技術標準マッピングでは、データの完全性は「最新の非推奨技術を使用して確保されるべきである」とし、システムは「証拠保全」を念頭に設計されなければならないとされている。 ログへのアクセスが侵害された場合、攻撃者は痕跡を消すことができる。.
同じシステム内に保存された内部ログは改ざんされる可能性がある。改ざんは不可能です。規制当局が、あるファイルが特定の時刻に特定の状態で存在し、それ以降改ざんされていないことを証明するよう求めてきた場合、内部タイムスタンプはその質問に単独で答えることはできない。. GDPR第5条2項 つまり、コンプライアンスを主張するのではなく、コンプライアンスを証明するのである。.
検証可能な完全性とはどのようなものか
DORAは技術的な方法を規定するものではない。DORAが規定するのは、ライフサイクル全体にわたって、真正で、追跡可能で、改ざんが明白で、独立に検証可能なデータという結果である。.
技術的に防御可能なパスのひとつは、暗号ハッシュのアンカーリングである。ファイルのフィンガープリントは、作成時または最後に承認された変更時に生成され、不変の公開台帳にアンカーされる。ドキュメントのコンテンツがチェーンに入ることはない。その後の変更はすべて異なるハッシュを生成します。. ダイバージェンスは数学的に確実であり、機密コンテンツにアクセスすることなく独自に検証可能である。.
仝 イングランド銀行の2024年金融安定化ペーパー オペレーショナル・レジリエンスについて、金融会社は「金融プロセスや取引に効率性をもたらす分散型台帳技術の可能性を探っている。"
Truth Enforcer パブリック・ブロックチェーンへのハッシュ・アンカリング、瞬時の改ざん検知、コンテンツが公開されない独立した検証、そして以下のような統合だ。 SharePoint, Salesforce, グーグルワークスペース その他. これは、DORAの誠実さに関する義務を、ポリシー・ステートメントから、証明可能で監査可能な事実に変えるものである。.
オペレーショナル・レジリエンスとリスク・ガバナンスにおける誠実さ
DORA第5条2項は、ICTリスクガバナンスを取締役会レベルに置いている。経営機関は、事業継続方針と復旧計画を承認、監督、レビューしなければならない。. デロイトはマンデートを直接的に表現している。企業は、「あらゆる種類のICT関連の混乱や脅威に耐え、対応し、回復できる」ことを証明しなければならない。"
ハッシュアンカーされた完全性記録とリアルタイムの同期継続ログは、技術の嗜好ではない。それらは コンプライアンスの文書化された証拠 取締役会が法的に監督する義務のあるものです。GDPRのアカウンタビリティ原則が議論を終結させます:立証責任は組織にあり、精査に耐えなければなりません。.
DORAの完全性基準は直接的であり、すでに施行されている。. ほとんどの金融機関はアクセスログを持っている。. ほとんどの場合、独立に検証可能で、改ざんが明白な完全性の記録を持っていない。. それがギャップだ。.
ICTリスクフレームワークは、特定の時点における特定のファイルについて、独立に検証可能な完全性の記録を作成できるものでなければならない。.
.
DORAの完全性基準に関するお問い合わせ: https://www.connecting-software.com/truth-enforcer-sign-up/
または
無料でお試しください:
IPクリエイターのための真実検証機: https://truth-verifier.com/landing
ジャーナリストのための真実検証者: https://truthverifier.news/landing
.
ビジネス継続性と可用性のためのMicrosoft Synchronizationについて説明します: https://www.connecting-software.com/microsoft-synchronization/
記入例 フランシスコ・ロドリゲスプロダクト・マネージャー
「私は、ソフトウェア統合がどのようにビジネス環境に適応し、業界特有の需要に対応できるかについて書いています。適切なツールを使ってチームや経営幹部に権限を与えることで、プロセスを合理化し、ボトルネックを解消し、コンプライアンスを確保する道を企業に示したいと思っています。"