次の方法で共有

DORA の顧客に関する考慮事項をMicrosoft Entraする

  • [アーティクル]

注:

この情報は法的、財務的、専門的なアドバイスではなく、法律の要件を遵守するために必要な完全な声明や行動として見なすべきではありません。 これは情報提供のみを目的として提供されます。

デジタル運用回復法(DORA)は、急速に進化する情報通信技術(ICT)リスクの中で金融サービス部門の運用回復力を強化することを目的として、欧州連合によって設立された規制フレームワークです。 規制対象エンティティは、DORA の特定の要件に合わせてMicrosoft Entra機能をフレームワーク、ポリシー、計画に組み込むことを検討できます。

Microsoft Entra IDは、特定の DORA 要件を満たし、最新の ID とアクセス管理 (IAM) 機能を提供するコントロールを提供しますが、IAM プラットフォームのみに依存するだけでは、金融エンティティ データを保護するには不十分です。 包括的なデジタル運用回復性プログラムを確立するには、この記事とすべての DORA 要件を確認することが重要です。 DORAの公式リソースについては、 欧州保険労働年金局の公式ウェブサイトをご覧ください

Microsoft Entraと DORA

Microsoft Entra、Microsoft Entra ID (旧称 Azure Active Directory) とその他のMicrosoft Entra機能で構成されるエンタープライズ ID サービスは、DORA コンプライアンスの取り組みをサポートするアプリケーション、システム、リソースをセキュリティで保護するのに役立ちます。 Microsoft Entra IDは、Microsoft 365、Azure、Dynamics 365などの Microsoft エンタープライズ オファリングを支え、全体的なセキュリティと ID 保護を向上させ、DORA の広範な ICT リスク管理要件に合わせて重要な役割を果たすことができます。

規制対象エンティティは、DORA の特定の要件に合わせて、フレームワーク、ポリシー、計画にMicrosoft Entra機能を組み込むことを検討できます。

  • ICT リスク管理フレームワーク
  • ICT 事業継続ポリシー
  • ICT 対応と復旧計画

前述の各項目には、金融主体が実装するために必要なさまざまな戦略、ポリシー、手順、ICT プロトコル、ツールが含まれる場合があります。 上記の一覧は網羅的と見なすべきではありません。

さらに、DORAが取り組むリスクを軽減するには、ICT リスクの効果的かつ慎重な管理を確保する内部ガバナンスと制御フレームワークが不可欠です。 このようなフレームワークがMicrosoft Entraコントロールを使用してサポートされている場合は、サポートされているワークロードのコントロールとその他のリスク軽減策を定期的に評価する必要があります。特に、金融サービスの提供に不可欠なワークロードに注意してください。

DORAの範囲で顧客のためのMicrosoft Entraガイダンス

Microsoft Entraの地理的に分散されたアーキテクチャは、広範な監視、自動再ルーティング、フェールオーバー、復旧機能を組み合わせて、継続的な高可用性とパフォーマンスを実現します。 Microsoft は、セキュリティ インシデント管理、サプライヤー管理、脆弱性管理にも包括的なアプローチを採用しています。

Microsoft Entra ID機能は、財務主体が DORA コンプライアンス義務を果たすのに役立つ場合があります。 次の表は、包括的なデジタル運用回復性プログラムの一部として考慮すべき DORA 記事の例を示す、Microsoft の機能、サービス オファリング、および関連ガイダンスの概要を示しています。

次の表で参照されている記事は、DORA コンプライアンス義務の一環として効果的な ID とアクセス管理 (IAM) のベスト プラクティスを促進する方法で、Microsoft Entra IDを構成および運用化する方法に関するガイダンスを財務エンティティに提供します。

注:

簡潔にするために、ICTリスク管理フレームワークと簡素化されたICTリスク管理フレームワーク(参照JC 2023 86)に関するRTSを「ICTリスク管理フレームワークに関するRTS」と呼んでいます。

Microsoft の機能、機能、またはサービス オファリング お客様の検討に関するガイダンス 顧客の考慮事項に関する DORA 記事の例
複数のMicrosoft Entra ID機能を使用すると、組織は ID とアクセス管理に回復性を構築できます。 財務エンティティは、次の記事に含まれ、参照されている推奨事項に従うことで、Microsoft Entra IDによって保護されたシステムの回復性を高めることができます。
 DORA 法:

  • 第7条 ICTシステム、プロトコル、ツール
Microsoft Entraバックアップ認証システム 財務エンティティは、Microsoft Entraバックアップ認証システムを検討できます。これにより、障害が発生した場合の認証の回復性が向上します。 金融エンティティは、次のような障害が発生した場合に、バックアップ認証システムを使用してユーザーが認証できるようにするための手順を実行できます。
 DORA 法:
  • 第7条 ICTシステム、プロトコル及びツール
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。
Microsoft Entra継続的アクセス評価 財務エンティティは、継続的アクセス評価 (CAE) の使用を検討できます。これにより、アプリケーションがアクセスを取り消し、必要な場合にのみ再認証を強制しながら、Microsoft Entra IDが有効期間の長いトークンを発行できるようになります。 このパターンの最終的な結果は、トークンを取得するための呼び出しが少なくなります。つまり、エンドツーエンド フローの回復性が高くなります。

CAE を使用するには、サービスとクライアントの両方が CAE 対応である必要があります。 したがって、財務エンティティは、CAE 対応 API を使用するようにコードを更新し、互換性のあるバージョンの Microsoft Office ネイティブ アプリケーションが使用されていることを確認し、再認証プロンプトを最適化するために、 これらの実装手順 を検討できます。		 DORA 法:
  • 第7条 ICTシステム、プロトコル及びツール
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。
Microsoft ハイブリッド認証アーキテクチャ オプション ハイブリッド認証アーキテクチャを必要とする財務エンティティは、オンプレミスの依存関係や潜在的な障害点など、ハイブリッド認証のメカニズムの回復性を考慮できます。
  • Microsoft では 、パスワード ハッシュ同期 (PHS) が最も回復性の高いハイブリッド アーキテクチャ オプションであると考えています。これは、認証ではなく、同期に対してのみオンプレミスの依存関係があるためです。 つまり、PHS が停止した場合でも、ユーザーは引き続きMicrosoft Entra IDで認証できます。
  • パススルー認証 (PTA) には、Microsoft Entra PTA エージェントの形式でオンプレミスのフットプリントがあります。 これらのエージェントは、ユーザーがMicrosoft Entra IDで認証するために使用できる必要があります。
  • フェデレーションには、Active Directory フェデレーション サービス (AD FS) (ADFS) などのフェデレーション サービスの使用が必要です。 フェデレーションは、オンプレミスインフラストラクチャに対する最も高い依存関係を持ち、したがって、より多くの認証障害ポイントを持ちます。
  • PTA またはフェデレーションを使用している組織では、 漏洩した資格情報レポートの PHS を有効にすることも検討できます。また、オンプレミスの停止 (ランサムウェア攻撃など) が発生した場合にクラウド認証を使用するように切り替える機能も検討できます。
 DORA 法:
  • 第7条 ICTシステム、プロトコル及びツール
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。
複数のMicrosoft Entra ID機能により、組織はテナントのセキュリティ体制を強化できます。 財務エンティティは、 重要な推奨アクションをデプロイできます。

  • 資格情報を強化する
  • 攻撃面領域を縮小する
  • 脅威対応を自動化する
  • クラウド インテリジェンスを利用する
  • エンド ユーザーのセルフサービスを有効にする
 DORA 法:

  • 第9条 金融主体の業務の回復性とセキュリティを確保しながらICTリスクの保護と防止
Microsoft Entra IDのエンタープライズ アプリケーションのシングル サインオン (SSO) は、資格情報ポリシー、脅威検出、監査、ログ記録などの機能がこれらのアプリケーションに追加される利点を保証するのに役立ちます。 財務エンティティは、資格情報ポリシー、脅威の検出、監査、ログ記録、およびアプリケーションを適切に保護および監視するのに役立つその他の機能の恩恵を受けるために、Microsoft Entra IDを ID プロバイダーとして使用するようにアプリケーションを構成できます。

アプリケーション管理に関する推奨事項に従って、アプリケーションのセキュリティ保護、管理、監視、クリーンアップを確実に行います。		 DORA 法:

  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。
  • 記事 18: ICT 関連のインシデントとサイバー脅威の分類。


ICT リスク管理フレームワークに関する RTS:
  • 記事 20: ID 管理
Microsoft Entra IDの多要素認証では、セキュリティを強化するために 2 つ以上の認証方法が必要です。 金融エンティティは、不正アクセスのリスクを大幅に軽減し、ICT システムのセキュリティを確保するために、Microsoft Entra IDで多要素認証 (MFA) を実装できます。

  • Microsoft Entra IDの認証方法には、Windows Hello、Passkeys (FiDO2 セキュリティ キー、Microsoft Authenticator のデバイス バインド パスキーを含む)、証明書ベースの認証などの強力なフィッシング耐性 MFA メソッドが含まれます。
  • Microsoft では、パスワードレス認証方法を使用するオプションなど、 資格情報管理を使用して回復性を構築するためのオプションを提供します。
  • Microsoft Entra テナントのセキュリティの既定値を使用すると、すべてのユーザーに対して Microsoft Authenticator をすばやく有効にすることができます。
  • 条件付きアクセス の概要ポリシーは、MFA を必要とするイベントまたはアプリケーションをより詳細に制御するために使用できます。
 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながらICTリスクの保護と防止
  • 第15条 ICTリスク管理ツール、方法、プロセス、ポリシーの更なる調和

ICT リスク管理フレームワークに関する RTS:
  • 第11条 データとシステムのセキュリティ
  • 第21条 Access Control
  • 第33条 Access Control(簡略化されたフレームワーク)
Microsoft Entra IDの条件付きアクセスは、ポリシーの決定を実施するときに、さまざまなソースからのシグナルを考慮に入れた Microsoft のゼロ トラスト ポリシー エンジンです。 財務エンティティは、すべてのユーザーに対して、条件付きアクセス内で次の制御を実装できます。

また、財務エンティティは、条件付きアクセス展開ガイダンスで 推奨されるポリシーを 確認し、検討することをお勧めします。

特権アカウントに対して上記の制御を実装することは、重要な要件と見なすことができます。これらのアカウントは、Microsoft Entra IDのセキュリティと機能に重大な影響を与える可能性があります。		 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながらICTリスクの保護と防止
  • 第15条 ICTリスク管理ツール、方法、プロセス、ポリシーの更なる調和

ICT リスク管理フレームワークに関する RTS:
  • 第11条 データとシステムのセキュリティ
  • 第21条 Access Control
  • 第22条 ICT関連インシデント管理方針
  • 第23条 異常活動の検出とICT関連インシデントの検出・対応基準
  • 第33条 Access Control(簡略化されたフレームワーク)
Privileged Identity Management (PIM) は、organization内の重要なリソースへのアクセスを管理、制御、監視できる、Microsoft Entra IDのサービスです。 特権ロールに対して堅牢なセキュリティ制御を実装して、偶発的または悪意のあるMicrosoft Entra IDの可用性、構成の誤り、データの損失を防ぐことができます。
 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。

ICT リスク管理フレームワークに関する RTS:
  • 第11条 データとシステムのセキュリティ
  • 第21条 Access Control
  • 第33条 Access Control(簡略化されたフレームワーク)
Microsoft Entra IDは、組み込みのロールとカスタム ロールの両方を含む、ロールベースのアクセス制御 (RBAC) を提供します 財務エンティティは、最小限の特権の原則に従って、正当で承認された機能とアクティビティに必要なものにアクセスを制限し、セキュリティ侵害の潜在的な影響を最小限に抑えることができます。

最小特権戦略の一環として、財務エンティティは、Microsoft Entraロールのベスト プラクティスに従うことをお勧めします。		 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。

ICT リスク管理フレームワークに関する RTS:
  • 第11条 データとシステムのセキュリティ
  • 第21条 Access Control
  • 第33条 Access Control(簡略化されたフレームワーク)
Microsoft Entra IDの保護されたアクションは、条件付きアクセス ポリシーが割り当てられているアクセス許可です。 ユーザーが保護されたアクションを実行しようとすると、まず、必要なアクセス許可に割り当てられた 条件付きアクセス ポリシー を満たす必要があります。 保護されたアクションの範囲内にある管理アクションの数を増やし、テナントロックアウトのリスクを軽減するには、Microsoft Entra IDで保護されたアクションのベスト プラクティスに従ってください。

ごみ箱から一部の論理的に削除されたディレクトリ オブジェクトの 偶発的または悪意のあるハード削除 や永続的なデータ損失から保護するために、次のアクセス許可に対して保護されたアクションを追加できます: Microsoft.directory/deletedItems/delete

この削除は、ユーザー、Microsoft 365 グループ、アプリケーションに適用されます。		 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。

ICT リスク管理フレームワークに関する RTS:
  • 第11条 データとシステムのセキュリティ
  • 第21条 Access Control
  • 第33条 Access Control(簡略化されたフレームワーク)
Microsoft Entra IDでは、トラブルシューティング、長期的なストレージまたは監視の目標を達成するために、ストレージまたは分析に関する多数のアクティビティ ログ統合オプションがサポートされています。 財務エンティティは、継続的な分析と監視、および十分なデータ保持期間を可能にするアクティビティ ログ統合アプローチを選択して実装できます。
 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。
  • 第18条 ICT関連インシデントとサイバー脅威の分類
  • 第19条 主要なICT関連インシデントの報告と重大なサイバー脅威の任意通知

ICT リスク管理フレームワークに関する RTS:
  • 記事 12: ログ記録
  • 第21条 Access Control
  • 第22条 ICT関連インシデント管理方針
  • 第23条 異常活動の検出とICT関連インシデントの検出・対応基準
  • 第33条 Access Control(簡略化されたフレームワーク)
Microsoft Identity Secure Score は、organizationがセキュリティに関する特定の Microsoft の推奨事項にどのように対応しているかを示します。 金融エンティティは、Microsoft Identity Secure Score を定期的に確認して、ID セキュリティ体制を測定および追跡し、ID セキュリティの強化を計画できます。

Microsoft では、この表の他の場所で詳しく説明されているように、組織がMicrosoft Entraテナントのセキュリティ体制を評価するのに役立つ Microsoft ゼロ トラスト Workshop など、さまざまなサービスも提供しています。		 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。

ICT リスク管理フレームワークに関する RTS:
  • 第34条 ICT運用セキュリティ
Microsoft Entraの推奨事項機能は、監視と電子メール アラートを使用してテナントのセキュリティと正常性を確保するのに役立ちます。 財務エンティティは、推奨事項を定期的にチェック Microsoft Entraして、新しい推奨事項を確実に認識できるため、ベスト プラクティスを実装し、Microsoft Entra ID関連機能の構成を最適化する機会を特定するのに役立ちます。 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。

ICT リスク管理フレームワークに関する RTS:
  • 第34条 ICT運用セキュリティ
Azure Workbooks for Microsoft Entra IDでは、テナント データを視覚的に表現できるため、さまざまな ID 管理シナリオのクエリと視覚化が可能になります。 財務エンティティは、関連するMicrosoft Entra IDユース ケースのセキュリティと機能を監視するのに役立つ、Microsoft Entra IDのブック テンプレートを選択して定期的に確認できます。

現在のMicrosoft Entraパブリック ブック テンプレートの例として、次のことが役立ちます。
  • 条件付きアクセス ギャップ アナライザーは、Microsoft Entra IDの条件付きアクセスによってリソースが適切に保護されるようにするのに役立ちます
  • 機密性の高い操作レポート ブックは、環境内の侵害を示す可能性がある疑わしいアプリケーションとサービス プリンシパルのアクティビティを特定するのに役立ちます
 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながらICTリスクの保護と防止
  • 第17条 ICT関連インシデント管理プロセス
Microsoft Graph は、Microsoft Entra IDと多数の Microsoft 365 サービスへの API ベースのアクセスを提供します。 アプリケーションの攻撃対象領域とセキュリティ侵害の影響を軽減するために、金融エンティティは、Microsoft ID プラットフォーム統合アプリケーションの構築、アクセスの割り当て、監査を行うときに最小限の特権の原則に従うことができます。 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながらICTリスクの保護と防止

ICT リスク管理フレームワークに関する RTS:
  • 記事 12: ログ記録記事 21: Access Control
  • 第33条 Access Control(簡略化されたフレームワーク)
Microsoft365DSC では、自動テナント構成管理を有効にします。 Microsoft365DSC では、特定のMicrosoft Entra ID構成がサポートされています。 特定のMicrosoft Entra ID構成設定を記録し、変更を追跡するために、財務エンティティは、Microsoft365DSC などの自動構成管理ツールを検討できます。

API で使用できない構成設定には、手動のドキュメントが必要になる場合があります。		 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながらICTリスクの保護と防止
Microsoft Entra ID 保護は、組織が ID ベースのリスクを検出、調査、修復するのに役立ちます。 ID ベースのリスク (異常なアクティビティを含む) の検出、調査、修復を支援するために、金融エンティティは、Microsoft Entra ID 保護などのサービスを検討できます。

Microsoft Entra ID 保護をデプロイする財務エンティティは、自動修復のためにMicrosoft Entra IDの条件付きアクセスとサービスを統合できます。また、アーカイブ、詳細な調査、相関のMicrosoft Sentinelなどのセキュリティ情報とイベント管理 (SIEM) ツールを使用できます。 人間と ワークロードの両方の ID は、これらの保護の範囲内にすることができます。

検出、防止、調査、対応の調整には、エンタープライズ防御ツールを使用することをお勧めします。 たとえば、Microsoft Defender XDRは、Microsoft Entra ID 保護を含む他の Microsoft セキュリティ製品の情報を使用して、セキュリティ チームが組織を保護および検出するのに役立ちます。		 DORA 法:
  • 記事 10: 検出
  • 第15条 ICTリスク管理ツール、方法、プロセス、ポリシーの更なる調和
  • 第17条 ICT関連インシデント管理プロセス

ICT リスク管理フレームワークに関する RTS:
  • 第22条 ICT関連インシデント管理方針
  • 第23条 異常活動の検出とICT関連インシデントの検出・対応基準
Microsoft Entra IDさまざまなリソースの種類 (例: 条件付きアクセス グラフ API) の論理的な削除と Microsoft Graph API を含む回復機能 財務エンティティは、復旧手順と ICT ビジネス継続性テスト (または同様のアクティビティ) に 回復可能性のベスト プラクティス を組み込むことができます。これには、以下が含まれますが、これらに限定されません。
  • Microsoft Graph API を使用すると、サポートされているMicrosoft Entra ID構成の現在の状態を定期的にエクスポートできます。 M365DSC は、これを実現するのに役立つフレームワークを提供します。
  • 監査ログと Azure ブックを使用して、テナント 構成の構成ミスを監視できます。
  • Microsoft Entra IDの削除から回復する手順は、対応する通信プロセスと共に、特定のオブジェクトの種類のテスト テナントでリハーサルできます。
  • 条件付きアクセス グラフ API を 使用して、コードなどのポリシーを管理できます。
  • 回復手順は、最小限の特権アプローチと PIM Just-In-Time の特権エスカレーションを使用して実行して、ハード オブジェクトの削除などのタスクに関連するリスクを軽減できます。
  • インシデント対応プレイブックの書籍と回復シナリオの場合、金融エンティティは Microsoft インシデント対応プレイブックをレビューして採用できます

上記の手順の頻度は、DORA によって指定された期間を考慮して、Microsoft Entra ID内で保持される情報の重要度に基づいて財務主体によって決定できます。		 DORA 法:
  • 記事 11: 応答と回復
  • 第12条 バックアップの方針と手順、復元、復旧の手順と方法

ICT リスク管理フレームワークに関する RTS:
  • 第25条 ICT事業継続計画のテスト
  • 第26条 ICT対応・復旧計画
脆弱性、サイバー脅威、ICT 関連のインシデント、セキュリティ関連の製品機能に関連する情報とトレーニング リソースを提供する Microsoft リソース。 金融主体は、以下を含む可能性のある脆弱性とサイバー脅威に関連して、Microsoft によって提供されるこれらのリソースを定期的に確認、追跡、対処できます。

金融主体は、次のような関連スタッフに対するMicrosoft Entra IDトレーニングを組み込んだ ICT セキュリティ認識プログラムを開発できます。

上記のリソースの一部は、Microsoft セキュリティの製品とテクノロジの範囲をカバーしています。 これらはMicrosoft Entraに限定されません。		 DORA 法:
  • 記事 13: 学習と進化
  • 第25条 ICTツール・システムのテスト

ICT リスク管理フレームワークに関する RTS:
  • 第3条 ICTリスク管理
  • 記事 10: 脆弱性とパッチ管理
Microsoft Entra ID ガバナンスは、組織が生産性を向上させ、セキュリティを強化し、コンプライアンスと規制の要件をより簡単に満たできるようにする ID ガバナンス ソリューションです。 金融エンティティは、アクセス管理権限を制御するための ID ガバナンス ソリューションのデプロイを検討できます。 Microsoft Entra ID ガバナンスには、最小限の特権の原則をMicrosoft Entra ID保護されたリソースに適用するのに役立つ次の機能が含まれています。
  • エンタイトルメント管理 を使用すると、アクセス要求ワークフロー、アクセス割り当て、レビュー、有効期限を自動化できます。 また、職務の分離チェックは、バイパスによる制御を可能にする可能性のあるアクセス権の組み合わせの割り当てを防ぐためにもサポートされています。
  • Microsoft Entra IDのアクセス レビューにより、リソース アクセス ライフサイクルの定期的な管理が可能になります。
  • ライフサイクル ワークフロー を使用すると、joiner、mover、leaver の各シナリオでライフサイクル プロセスを自動化できます。 これには、アクセス権の失効が含まれます。
  • Privileged Identity Management (PIM) は、organization内の重要なリソースへのアクセスを管理、制御、監視できる、Microsoft Entra IDのサービスです。
  • ID ガバナンス機能で管理するための最小特権ロール
 DORA 法:
  • 第9条 金融主体の業務の回復性とセキュリティを確保しながら、ICTリスクの保護と防止。
  • 第15条 ICTリスク管理ツール、方法、プロセス、ポリシーの更なる調和

ICT リスク管理フレームワークに関する RTS:
  • 記事 20: ID 管理
  • 第21条 Access Control
  • 第33条 Access Control(簡略化されたフレームワーク)
Microsoft Entra IDセキュリティ運用とインシデント対応に関連するガイダンスを提供する Microsoft リソース。 財務エンティティは、セキュリティ運用とインシデント対応ガイダンスMicrosoft Entra ID運用化を検討できます。これには、次が含まれますが、これらに限定されません。
 DORA 法:
  • 第17条 ICT関連インシデント管理プロセス
可用性に関連する (および関連する可能性がある) 情報を提供するリソースMicrosoft Entra ID 財務エンティティは、これらの記事やサイトに含まれる情報を定期的に確認、追跡、検討できます。

上記のリソースの一部は、Microsoft セキュリティの製品とテクノロジの範囲をカバーしています。 これらはMicrosoft Entraに限定されません。		 DORA 法:
  • 第18条 ICT関連インシデントとサイバー脅威の分類
  • 第19条 主要なICT関連インシデントの報告と重大なサイバー脅威の任意通知

ICT リスク管理フレームワークに関する RTS:
  • 記事 10: 脆弱性とパッチ管理
組織がデジタル運用の回復性テストの一環としてMicrosoft Entraテナントのセキュリティ体制を評価するのに役立つ Microsoft サービス オファリング 財務エンティティによって展開されるデジタル運用回復性テスト プログラムは、以下を含むがこれに限定されないさまざまな評価、ツール、手法で構成される場合があります。
  • Microsoft Entra IDおよび関連コンポーネントの ID とアクセス管理 (IAM) ガイダンスを分析して提供する、Microsoft Entra IDオンデマンド評価
  • Microsoft ゼロ トラスト Workshop は、お客様とパートナーがゼロ トラスト戦略を採用し、セキュリティ ソリューションをエンドツーエンドで展開して組織をセキュリティで保護するのに役立つ包括的なテクニカル ガイドです。

金融機関は、現在の DORA 要件に沿った頻度で、このような評価を定期的に実行できます。		 DORA 法:
  • 記事 24: デジタル運用回復性テストのパフォーマンスに関する一般的な要件
  • 第25条 ICTツール・システムのテスト
Microsoft Entra変更に関連する情報を提供するリソース 財務エンティティは、以下の記事やサイトに含まれる情報を定期的に追跡および検討できます。 財務エンティティによって実行されるアクションには、回帰テストや、デジタル運用の回復性関連のプロセスとテストの更新などが含まれます。
 DORA 法:
  • 第25条 ICTツール・システムのテスト

ICT リスク管理フレームワークに関する RTS:
  • 第16条 ICTシステムの取得・開発・保守
  • 第17条 ICTの変更管理
  • 第34条 ICT運用セキュリティ
侵入テストとMicrosoft Entra IDに関連する情報を提供するリソース Microsoft Cloud に対して侵入テストを実行する財務組織は、この記事に記載されている契約規則を検討できます。

金融主体は、この欧州監督当局(ESA)報告書のコンテキスト内で上記の契約規則を考慮することができる:
  • JC 2024 29: DORAの記事に基づく脅威主導侵入テスト(TLPT)に関するドラRTSに関する最終レポート。
 DORA 法:
  • 第25条 ICTツール・システムのテスト
  • 記事 26: TLPT に基づく ICT ツール、システム、プロセスの高度なテスト
  • 第27条 TLPTの実施に関するテスターの要件

ICT リスク管理フレームワークに関する RTS:
  • 第25条 ICT事業継続計画のテスト
  • 第26条 ICT対応・復旧計画
Microsoft Entra IDとの間でデータを送信するときの暗号化と暗号化の制御の有効化、適用、管理に関連するリソース。 セキュリティ上の理由から、Microsoft Entra IDは間もなく TLS 1.2 より前にトランスポート層セキュリティ (TLS) プロトコルと暗号のサポートを停止し、TLS 1.3 のサポートをロールアウトします。

財務エンティティは、適切な暗号化と暗号化制御の使用と管理を確保するために、次の手順を検討できます。
  • クライアントとMicrosoft Entra IDと通信する一般的なサーバー ロールでの TLS 1.2 の有効化
  • 該当するアプリケーションやアプリケーションの登録に対する SAML トークン暗号化をMicrosoft Entraします。
  • Microsoft Entra推奨事項を使用して、未使用の資格情報をアプリケーションから削除し、期限切れのアプリケーション資格情報 (証明書を含む) を更新できます。
 ICT リスク管理フレームワークに関する RTS:
  • 第6条 暗号化と暗号化の制御
  • 第 7 条 暗号化キーの管理
  • 第14条 転送中の情報の保護

ICT リスク管理フレームワークに関する RTS:
  • 第6条 暗号化と暗号化の制御
  • 第 7 条 暗号化キーの管理
  • 第14条 転送中の情報の保護
  • 第35条 データ、システム、ネットワークのセキュリティ
Microsoft Entra ID容量とパフォーマンス特性に関連するリソース 財務エンティティは、特定のMicrosoft Entra ID容量とパフォーマンスの特性を理解するために、次のドキュメントの確認と追跡を検討する場合があります。
 ICT リスク管理フレームワークに関する RTS:
  • 記事 9: 容量とパフォーマンスの管理

ICT リスク管理フレームワークに関する RTS:
  • 第34条 ICT運用セキュリティ
グローバル セキュリティ アクセスは Microsoft Security Service Microsoft Edge (SSE) ソリューションです 金融サービスは、グローバル セキュリティで保護されたアクセスを使用してパブリック インターネットとプライベート ネットワークへのアクセスを保護するための制御を実装できます ICT リスク管理フレームワークに関する RTS:
  • 記事 13: ネットワーク セキュリティ管理
  • 第14条 転送中の情報の保護
  • 第35条 データ、システム、ネットワークのセキュリティ
アプリケーションの取得、開発、メンテナンスに関連するリソース 金融サービスには、新しいアプリケーションの取得または構築の一環として、次の側面が含まれる場合があります。
  • 多要素認証条件付きアクセス ポリシーなどの最新の制御を許可する認証プロトコル
  • アクセス レビュー、ID プロビジョニング、エンタイトルメント プロビジョニングなどのアクセス管理制御を実装する機能
 ICT リスク管理フレームワークに関する RTS:
  • 第16条 ICTシステムの取得・開発・保守
  • 記事 37: ICT システムの取得、開発、メンテナンス (簡略化されたフレームワーク)

リソース