企業組織は増え続けるサイバーセキュリティ脅威への対応を求められており、最新の規制について理解し準拠することが重要です。
以前、 暗号化ストレージに対する取り組みの変化 について、経験豊富なサイバーセキュリティエキスパートであるデビッド・クラークにインタビューを行いました。今回、NIS2 指令とデジタル・オペレーショナル・レジリエンス法(DORA)、およびそれらが持つ意味について、デビッドに伺います。
クラークは、世界最大の民間取引ネットワークのセキュリティ管理、ヨーロッパ最大級のセキュリティオペレーションセンターの運営など、豊富な経験があります。重要な知見、ならびに動画のフルバージョンはこちらからご覧ください。
NIS2 指令 は、EU 全域の重要なインフラでサイバーセキュリティを強化することを目的としています。この指令は、データ侵害が生じた場合、人口の大多数に影響を与えかねないセクターを対象としている、とクラークは説明しています。航空、運輸、農業、主要小売チェーンや、その他の業界が含まれます。加えて、侵害により多くの顧客への影響が想定されることから、現在の NIS2 ではマネージド IT サービスプロバイダーが含まれるようになりました。
NIS2 は、重要なサプライチェーンを保護し、第三者を管理することの重要性を強調しています。企業は、自社の IT サプライヤーが要求されるサイバーセキュリティ基準を満たせるよう、サプライヤー管理を効果的に実施していることも証明しなくてはなりません。もし準拠していないようであれば、全世界の売り上げの 2%、または 1,000 万ユーロのうち、高額な方の罰金を科される場合があります。違反が見られなかったとしても、企業は準拠の証明にあたり十分な証拠を提供しなかったとして罰金を科される場合もあります。
一方で、DORA(デジタル・オペレーショナル・レジリエンス法)は金融業界に重点を置いています。2025年の1月に適用開始となる DORA は、金融機関のオペレーショナルレジリエンスを確実にするべく厳格なサイバーセキュリティ基準を要求しています。
クラークによると、 DORA の罰金は全世界利益の 1% におよび、早急に修正されなければ、毎日継続的に科せられる可能性すらあるとのことです。DORA は、金融機関に対し脅威ベースの侵入テストを実施し、システムに単一障害点がないことを確実にするよう要求しています。
NIS2 と DORA は、いずれも関連する規制機関への詳細なインシデント報告を要求しています。クラークによると、DORA は影響を受けた顧客の人数や危険性の性質など、報告書の記入に必要な情報を明確に指示した上で、72時間以内での報告を指定しているとのことです。
国際データ転送について、クラークは安全な方法で行う必要があると強調します。例えば DORA では、企業へ事業継続計画テストの実施を依頼し、その効果の証拠の提出を求めています。こうすることで、その企業がインシデントに対処でき、準備する能力が備わっていることが確認できます。
クラークは、規制への準拠が大きなビジネス機会の創出につながると信じています。サイバーセキュリティとデータ保護の基準を遵守すれば、政府との契約や大手企業との提携の可能性が生まれます。これらの事業体は、責任リスクを最小化するため、規模の小さい企業に対してサイバーセキュリティ対策の証拠を頻繁に要求します。
NIS2 および DORA に準拠するためには、USBドライブに堅牢なセキュリティ機能が備わっている必要があります。クラークは、ハードウェアベースの暗号化の重要性と、それがソフトウェアベースのソリューション より多くの利点がある点を指摘しています。ハードウェアベースの暗号化は、攻撃者に対抗する強固なセキュリティと保護機能を提供する、閉鎖されたエコシステムです。
一方で、モバイルストレージのソフトウェアの暗号化は、 再フォーマットすることで簡単に解除できるため、コンプライアンスの侵害とデータ侵害リスクを増大させかねません。加えて、パスワード保護やソフトウェアで暗号化されたファイルは、オンラインで簡単に手に入るパスワード解読ツールを使ってハッキングすることができます。
組織は、最高基準として アメリカの国立標準技術研究所(NIST)のFIPS(連邦情報処理規格)証明証 に目を向けるべきか、と聞かれて彼はこう答えました。「もちろんです。」クラークは「よくあるケースとして、企業独自の優れたセキュリティと暗号化を運用していると主張する企業は概して不十分であり、セキュリティを突破されることがある」と力説しています。
Kingston IronKey D500S および Keypad 200 ドライブ は、FIPS 140-3 レベル 3 (継続中) 証明を提供しているため、組織は現在市販される中でも有数の強固なミリタリーグレードの暗号化による保護機能を活用し、機密データを保護することができます。 より高容量のストレージとして、 FIPS 197-認証 IronKey Vault Privacy 80 外付け SSD ドライブ は最大 8TB までのラインアップがあり、機密データをエアギャップでバックアップできます。
サイバーセキュリティ脅威が恐ろしさを増し拡大し続ける昨今では、重要インフラや金融機関が確実に適応できるよう、NIS2 や DORA などの指令や規制が重要な役割を果たしています。クラークの知見は、コンプライアンス、効果的なインシデント報告、堅牢なセキュリティ対策、ハードウェアで暗号化されたストレージの重要性を再認識させてくれます。これらの規制を取り入れることで、組織はセキュリティ体制を強化できるだけではなく、競合他社よりコンプライアンスをうまく活用し優位に立つことができます。
#KingstonIronKey
正しいソリューションの設定計画を行うには、顧客のプロジェクトのセキュリティ目標を理解する必要があります。そのためにキングストンの専門家がご案内します。
専門家に照会する
国家安全保障機関が Kingston IronKey を信頼してデータ保護に使用する理由について、ご説明します。
Kingston IronKey によって知的財産を保護し、カスタマイズする方法をご説明します。
Kingston IronKey が金融サービスデータの保護に最適なソリューションである理由をご確認ください。
Kingston IronKey がどのように軍事作戦のデータを保護するかをご説明します。
Kingston IronKey を活用して、暗号化によって電気通信業界のデータを保護する事例をご紹介します。
Kingston IronKey 暗号化USB:小さいながらも、組織のセキュリティ戦略において、重要な役割を担っています。
Kingston IronKey を用いて、金融セクターの機密データを保護する方法をご説明します。
本記事では、Kingston IronKey がエネルギー業界の機密データの保護にどのように役立ったかを紹介します。
Kingston IronKey のソリューションが EgoMind のデータセキュリティ保護の強化にどのように役立ったかをご覧ください。
SSD クラスの違いは、プロセッサと NAND メモリという 2 つのコンポーネントにあります。
組織が機密データを保存し、暗号化する方法の大規模な変化について議論します。
Kingston は、電子メールの脆弱性が増している今、機密ファイルを保護する方法を紹介します。
Kingston IronKey ハードウェア暗号化ソリューションが、どう NIS2 指令準拠をサポートしているかをご覧ください。
Kingston IronKey は、中小企業をサイバー犯罪から守るハードウェアオプションを用意しています。
FIPS 140-3 レベル 3 は、暗号化の権威として世界をリードする機関、NIST によって認定されています。
御社のデータセンターに適切な SSD を選択する際に自問すべき内容。
