DORAの要件とCTEM(Continuous Threat and Exposure Management)
2025年1月17日にデジタルオペレーショナルレジリエンス法(Digital OperationalResilience Act:DORA)がEU加盟国で施行されます。この規制は関係する金融機関とサードパーティICTプロバイダにも適用されます。CTEM(Continuous Threat and ExposureManagement:継続的な脅威エクスポージャ管理)はその要件の多くに対応しているため重要な役割を果たすことができます。
金融サービス業界ではデジタルトランスフォーメーションとテクノロジーイノベーションが進んでおり、悪意のあるアクターにとっては最大の標的の1つになっています。増加し続けるサイバー攻撃と侵害は関係する企業や組織に影響するだけでなく、金融システム全体の安定性と完全性にとっても脅威となります。DORAはEUの金融機関や組織、重要なサードパーティICTプロバイダに対するオペレーショナルレジリエンスとサイバーセキュリティ規制を取りまとめることで、あらゆる種類のICT関連障害や脅威に耐えられるようにします。
詳細
この法令はICTリスク管理、ICTインシデントの報告、レジリエンステスト、情報共有など広範な内容を定めており、外部攻撃サーフェスアセットに対する脅威やエクスポージャの管理について定めたDORA条文もいくつか含まれています。こうした条文についてここで簡単に紹介したいと思います。
第8条(識別)
- 第6(1)条で述べたICTリスク管理フレームワークの一環として、金融機関はICTでサポートされたあらゆる業務、役割、責任、情報アセットとこれらの機能をサポートしているICTアセットおよびその役割、ICTリスクに関連する依存性を特定、分類し、適切に文書化しなければならない。金融機関は少なくとも年に1度、こうした分類の正当性と、関連する文書についての確認を適宜行う必要がある。
- 金融機関は継続的にICTリスクのあらゆる原因、特に他の金融機関との間のリスクエクスポージャを特定し、ICTでサポートしている業務、情報アセット、ICTアセットに関連するサイバー脅威とICT脆弱性を分析しなければならない。金融機関は少なくとも年に1度、定期的に影響のあるリスクシナリオを確認する必要がある。
- 金融機関は継続的にICTリスクのあらゆる原因、特に他の金融機関との間のリスクエクスポージャを特定し、ICTでサポートしている業務、情報アセット、ICTアセットに関連するサイバー脅威とICT脆弱性を分析しなければならない。金融機関は少なくとも年に1度、定期的に影響のあるリスクシナリオを確認する必要がある。
この条項では企業や組織が業務とそれをサポートしているICTアセットについて文書化することを定めています。また企業や組織はすべてのICTアセットを特定し、重要性が高いと判断したものを照合することも定めています。企業や組織は重要なアセットのインベントリを維持し、定期的に更新する必要があります。すべてのICTアセットが対象です。
多くの企業や組織は自社ネットワーク内にあるアセットを把握していますが、インターネット接続されたアセットについては必ずしもそうではありません。シャドーITの導入、クラウド導入、企業合併/買収によって生じるブラインドスポットは、サイバーセキュリティ/コンプライアンス部門の知らないところで、自社の持つ膨大なアセットプールを作り上げます。
ULTRAREDは企業や組織の外部攻撃サーフェスを記録するシステムとして機能することができます。ULTRA REDは自社のホスト、ドメイン、IPアドレスを自動的に検出することができます。これにはシャドーITの作業やクラウド導入によって作成されたアセットも含まれます。反復手法と独自のテクノロジーを使用して有効性を何度も繰り返し検査することで、ULTRA REDは誤検出率が驚くほど低く正確なインターネットエクスポージャアセットレジストリを作成します。ULTRA REDのアセットディスカバリは継続的なプロセスなので、定期的な更新は不要です。そのため手作業で情報を収集、更新する手間も不要になります。新しいアセットやサービスは導入と同時に自動的に検出されます。また既存のアセットの変更も把握して文書化されます。廃棄した全アセットに関する情報も保存されます。
第9条(保護と防止)
- ICTシステムの適切な保護と対応策の調整という観点から、金融機関はICTシステムとツールのセキュリティと機能を継続的に監視、制御し、適切なICTセキュリティツール、ポリシー、手順を導入してICTシステムに対するICTリスクの影響を最小化しなければならない。
この条項は適切なツール、ポリシー、手順の導入によってICTリスクの影響を最小化することを定めた内容です。
ULTRAREDはGartnerのCTEM(Continuous Threat and ExposureManagement)フレームワークをサポートしており、企業や組織が外部攻撃サーフェスに関する脅威の識別と修復を行うための反復可能で標準化されたプロセスを提供しています。ULTRA REDの自動アセットディスカバリ、脆弱性検出、確認および優先度設定機能により、サイバーセキュリティ部門は企業や組織にとって重大な脅威の修復に専念し、ICTリスクを削減することができます。企業や組織は一定期間内に修復した重大なエクスポージャ数や攻撃サーフェスエクスポージャの削減数を提示することによって、このプロセスの効果を確認することができます。
第18条(ICTの脅威とインシデントの分類)
- 金融機関はリスクのあるサービスの重大性に基づき、サイバー脅威のレベルを分類しなければならない。たとえば金融機関の取引や業務、クライアントや標的になっている財務関係者の数および重要性、リスクのあるエリアの地理的分散状況などを考慮する。
この条項で定められているように、ICTの脅威分類は影響を受けるサービスおよび潜在的なクライアントの重要性に基づきます。
アセットをVPN、開発環境、管理および機密情報などの論理グループに分類するだけでなく、ULTRA REDレポジトリ内のアセットには業種、サービスの重要性といった複数の方法でラベル付けをすることができます。アセットの分類とラベル付けによって、レジリエンステストなど他のDORA条項で定められた要件に対応しやすくなります。
アセットに関連する検証済みのベクターは企業や組織に固有の攻撃サーフェスに基づき優先度を設定されます。攻撃サーフェスはいずれも異なるので、CVSSスコアや他の外部インジケータを基に脆弱性の優先順位付けをしても限界があります。リスクの高い脆弱性の中には回避策を講じているものもあれば、エクスプロイト成功のための前提条件を満たしていないものもあります。ULTRA REDのベクタースコアはCVSSの重大度とエクスプロイト可能性に基づいています。
第25条– (ITツールとICTサービスのテスト)
- 第24条で定められたデジタルオペレーショナルレジリエンステストプログラムでは、適切なテストを実行するために第4(2)条の基準に従って脆弱性査定およびスキャン、オープンソース分析、ネットワークセキュリティ査定、ギャップ分析、物理的なセキュリティレビュー、アンケートおよびソフトウェアソリューションのスキャニング、可能な場合はソースコードレビュー、シナリオベースのテスト、互換性テスト、パフォーマンステスト、エンドツーエンドのテスト、ペネトレーションテストなどを実施しなければならない。
この条項ではレジリエンステストプログラムを定義しています。
ULTRAREDはインターネット接続されたアセットやサービスに目を向けることでサポートを提供することができます。 ある時点での脆弱性スキャニングとは異なり、ULTRA REDはAsset Inventory内のアセットを継続的にスキャニングして新たな脆弱性と弱点を検出します。公開されている既知の脆弱性の識別だけでなく、多種多様な独自のスキャニング結果や文書化されたダークネットでの情報との相互参照も可能です。検出したすべての弱点はスキャン対象システム、セキュリティインフラストラクチャやコントロールに影響を及ぼすことなく検証することができるので、稼働中の本番システムを継続的に運用できます。
第26条- TLPTに基づくICTツール、システム、プロセスの高度なテスト
- 第16(1)条の最初のサブパラグラフに記載された以外の金融機関および本条項の第8パラグラフ、3番目のサブパラグラフに記載された小規模事業者以外については、TLPTによって少なくとも3年に1度は高度なテストを実施しなけばならない。金融機関のリスクプロファイルに基づき、運用状況を考慮した上で、関係機関は適宜当該金融機関に対してテストの頻度変更を求めることができる。
この条項では脅威ベースのペネトレーションテストを少なくとも3年に1回以上実施することを定めています。
TLPTを実施する際、レッドチームが攻撃者となり、攻撃者の技法と手順を使って攻撃サーフェス内でエクスプロイト可能な弱点を識別します。放置されたアセット、設定ミスのあるアセット、脆弱性が判明しているパッチレベルのままのアセットはいずれもネットワークへの不正侵入を許してしまう可能性があります。
ULTRAREDのアセットインベントリはCVSS重大性とエクスプロイト可能性を組み合わせた候補ベクターを提示することで、レッドチームによるエクスプロイト可能なエクスポージャ特定のための時間を大幅に削減できます。たとえばハイリスクのCVEがあるアセットに回避策を講じることで、エクスプロイトを防止することができます。ULTRA REDのベクタースコアではこうした点を考慮します。各ベクターの参照情報とPOCは、レッドチームによる脆弱性理解に役立ちます。
サマリー
脅威およびエクスポージャ管理の観点でDORAの実装要件を検討する場合、ULTRA REDのCTEM(Continuous Threat ExposureManagement)によって企業や組織は識別、保護と防止、脅威分類、脆弱性テスト、脅威ベースのペネトレーションテストにおける要件に対応することができます。インターネット接続されたアセットやサービスのための記録システムとして、サイバーコンプライアンス規制や要件への対応にも役立ちます。ULTRA REDについての詳細は、ultrared.aiにアクセスしてデモをご依頼ください。