正式名称は「金融セクターのデジタル運用レジリエンスに関する規制 (EU) 2022/2554 および規制 (EC) No 1060/2009、(EU) No 648/2012、(EU) No 600/2014、(EU) No 909/2014、(EU) 2016/1011 の改正」であり、2022 年 12 月 14 日に発行されました。
DORA は規制であるため、欧州連合内の実質的にすべての金融機関に直接適用されます。つまり、金融機関は DORA に直接準拠する必要があるため、EU 加盟国は金融セクターのサイバーセキュリティに関する独自の規制を発行する必要はありません。
「DORA」の略語は「デジタル運用レジリエンス法」の略です。
1.2. DORAが重要な理由
DORAが重要な理由は、サイバーセキュリティとディジタルセキュリティを同等のレベルに導入するためです。
このレポートの目的は多岐にわたります。まず、このレポートでは、ジェネレーティブ AI の基礎とその機能について詳しく説明します。次に、ガバナンス フレームワークが確立されていない中でジェネレーティブ AI の採用が急増することで生じるプライバシーとセキュリティのリスクに対して、エンタープライズ コンテキストでジェネレーティブ AI が現在どのように使用されているかを調べます。最後に、特定されたプライバシーとセキュリティのリスクを軽減するのに役立つ可能性のある、組織のポリシー、ガバナンス フレームワーク、プロセスへの介入を提案します。このレポートの範囲は、エンタープライズによるジェネレーティブ AI の採用の急速な増加がプライバシーとセキュリティに与える影響を調べることに限られます。
評価と認証は、申請者の業務を遂行するために使用される IT インフラストラクチャ全体、または必要に応じて明確に定義され個別に管理されるサブセットを対象とする必要があります。いずれの場合も、管理するビジネス ユニット、ネットワーク境界、および物理的な場所の観点から、範囲の境界を明確に定義する必要があります。評価を開始する前に、申請者と認証機関の間で範囲について合意する必要があります。サブセットを使用して、申請者の業務の範囲内にあるものを定義できます。
「体系的なサイバーリスク」、つまりサイバー空間のどこかで起きた単一の障害が波紋を広げ、壊滅的な結果をもたらす可能性に対する懸念が高まっています。
ほとんどのサイバーイベントの被害者は限定されていますが、体系的なサイバーインシデントは国家規模、さらには世界規模で被害をもたらし、社会、経済、政府全体が機能するために依存しているデジタルインフラストラクチャを脅かす可能性があります。過去数か月だけでも、2つの非常に異なるイベントが、この問題の異なるバージョンを示しました。
2021年11月24日、中国のサイバーセキュリティ研究者は、世界中の何百万、あるいは何十億もの消費者向けデバイスや企業システムに組み込まれている目立たないソフトウェアユーティリティであるLog4jに重大な脆弱性があることを明らかにしました。1このセキュリティ上の欠陥により、ハッカーは脆弱なマシンを比較的簡単に完全に制御できる可能性があります。2Log4jを修正する作業は、Apacheのボランティアプログラマーのチームに委ねられ、セキュリティパッチをリリースするのに2週間かかりました。
その時点で、ハッキングはすでに始まっていました。最初のパッチに続いて、2 番目、3 番目のパッチがリリースされ、さらに多くのセキュリティ ギャップが明らかになりました。一方、Log4j は他のソフトウェア パッケージの層の下に隠れていることが多いため、組織はこれらのパッチの適用に苦労しました。3 専門家は、この問題が完全に解決されるまでには何年もかかると予測しています。それまでは、無数の被害者が、国家支援のハッカー、ランサムウェア ギャング、その他の悪質な行為者に対して無防備なままです。4
0 件のコメント:
コメントを投稿