現在、英国のサイトにアクセスしていることに気づきました。代わりにメインサイトにアクセスしますか?

鍵アイコンとインターネットネットワークアイコンが HUD として前面に表示されたノートパソコンを使用するビジネスマン

NIS2 、 DORA および暗号化ストレージの重要な役割 - 専門家の知見

企業組織は増え続けるサイバーセキュリティ脅威への対応を求められており、最新の規制について理解し準拠することが重要です。

以前、 暗号化ストレージに対する取り組みの変化 について、経験豊富なサイバーセキュリティエキスパートであるデビッド・クラークにインタビューを行いました。今回、NIS2 指令とデジタル・オペレーショナル・レジリエンス法(DORA)、およびそれらが持つ意味について、デビッドに伺います。

クラークは、世界最大の民間取引ネットワークのセキュリティ管理、ヨーロッパ最大級のセキュリティオペレーションセンターの運営など、豊富な経験があります。重要な知見、ならびに動画のフルバージョンはこちらからご覧ください。

NIS2 規制の概要について

NIS2 指令 は、EU 全域の重要なインフラでサイバーセキュリティを強化することを目的としています。この指令は、データ侵害が生じた場合、人口の大多数に影響を与えかねないセクターを対象としている、とクラークは説明しています。航空、運輸、農業、主要小売チェーンや、その他の業界が含まれます。加えて、侵害により多くの顧客への影響が想定されることから、現在の NIS2 ではマネージド IT サービスプロバイダーが含まれるようになりました。

NIS2 は、重要なサプライチェーンを保護し、第三者を管理することの重要性を強調しています。企業は、自社の IT サプライヤーが要求されるサイバーセキュリティ基準を満たせるよう、サプライヤー管理を効果的に実施していることも証明しなくてはなりません。もし準拠していないようであれば、全世界の売り上げの 2%、または 1,000 万ユーロのうち、高額な方の罰金を科される場合があります。違反が見られなかったとしても、企業は準拠の証明にあたり十分な証拠を提供しなかったとして罰金を科される場合もあります。

DORA 規制への理解

一方で、DORA(デジタル・オペレーショナル・レジリエンス法)は金融業界に重点を置いています。2025年の1月に適用開始となる DORA は、金融機関のオペレーショナルレジリエンスを確実にするべく厳格なサイバーセキュリティ基準を要求しています。

クラークによると、 DORA の罰金は全世界利益の 1% におよび、早急に修正されなければ、毎日継続的に科せられる可能性すらあるとのことです。DORA は、金融機関に対し脅威ベースの侵入テストを実施し、システムに単一障害点がないことを確実にするよう要求しています。

インシデント報告と国際データ転送

NIS2 と DORA は、いずれも関連する規制機関への詳細なインシデント報告を要求しています。クラークによると、DORA は影響を受けた顧客の人数や危険性の性質など、報告書の記入に必要な情報を明確に指示した上で、72時間以内での報告を指定しているとのことです。

国際データ転送について、クラークは安全な方法で行う必要があると強調します。例えば DORA では、企業へ事業継続計画テストの実施を依頼し、その効果の証拠の提出を求めています。こうすることで、その企業がインシデントに対処でき、準備する能力が備わっていることが確認できます。

コンプライアンスをビジネス機会に転換する

クラークは、規制への準拠が大きなビジネス機会の創出につながると信じています。サイバーセキュリティとデータ保護の基準を遵守すれば、政府との契約や大手企業との提携の可能性が生まれます。これらの事業体は、責任リスクを最小化するため、規模の小さい企業に対してサイバーセキュリティ対策の証拠を頻繁に要求します。

ハードウェアベースの暗号化の利点

NIS2 および DORA に準拠するためには、USBドライブに堅牢なセキュリティ機能が備わっている必要があります。クラークは、ハードウェアベースの暗号化の重要性と、それがソフトウェアベースのソリューション より多くの利点がある点を指摘しています。ハードウェアベースの暗号化は、攻撃者に対抗する強固なセキュリティと保護機能を提供する、閉鎖されたエコシステムです。

一方で、モバイルストレージのソフトウェアの暗号化は、 再フォーマットすることで簡単に解除できるため、コンプライアンスの侵害とデータ侵害リスクを増大させかねません。加えて、パスワード保護やソフトウェアで暗号化されたファイルは、オンラインで簡単に手に入るパスワード解読ツールを使ってハッキングすることができます。

組織は、最高基準として アメリカの国立標準技術研究所(NIST)のFIPS(連邦情報処理規格)証明証 に目を向けるべきか、と聞かれて彼はこう答えました。「もちろんです。」クラークは「よくあるケースとして、企業独自の優れたセキュリティと暗号化を運用していると主張する企業は概して不十分であり、セキュリティを突破されることがある」と力説しています。

Kingston IronKey D500S および Keypad 200 ドライブ は、FIPS 140-3 レベル 3 (継続中) 証明を提供しているため、組織は現在市販される中でも有数の強固なミリタリーグレードの暗号化による保護機能を活用し、機密データを保護することができます。  より高容量のストレージとして、 FIPS 197-認証 IronKey Vault Privacy 80 外付け SSD ドライブ は最大 8TB までのラインアップがあり、機密データをエアギャップでバックアップできます。

まとめ

サイバーセキュリティ脅威が恐ろしさを増し拡大し続ける昨今では、重要インフラや金融機関が確実に適応できるよう、NIS2 や DORA などの指令や規制が重要な役割を果たしています。クラークの知見は、コンプライアンス、効果的なインシデント報告、堅牢なセキュリティ対策、ハードウェアで暗号化されたストレージの重要性を再認識させてくれます。これらの規制を取り入れることで、組織はセキュリティ体制を強化できるだけではなく、競合他社よりコンプライアンスをうまく活用し優位に立つことができます。

フルバージョンのビデオを見る

#KingstonIronKey

回路基板のチップセット上にある Kingston の Ask an Expert (専門家に照会)アイコン

専門家に照会する

正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。

専門家に照会する

Kingston IronKey 関連の記事

関連記事