デジタル運用レジリエンス法のためのFortanixチェックリスト
FortanixがICTリスク管理に関する規制技術基準にどのように対応しているか
セクション4:暗号化と暗号技術
第6条:暗号化および暗号制御
| 条文 | DORA要件 | Fortanixソリューション | Fortanixの支援内容 |
|---|---|---|---|
| 第6条第1項 |
暗号化および暗号制御に関する方針を策定、文書化、実施すること。 |
データセキュリティマネージャー (DSM) Key Insight |
DSM:暗号鍵、証明書、シークレットなどを一元管理します。 Key Insight:暗号資産を発見・マッピングし、脆弱性を特定し、文書化された方針との整合性を確保します。 |
| 第6条第2項(a) |
保存データおよび転送データの暗号化。 |
データセキュリティマネージャー (DSM) | DSMはFIPS 140-3レベル3認証の暗号化(AES-256、TLS 1.3)を保存データおよび転送データに提供します。クラウドワークロード向けにBYOK/HYOKをサポートし、暗号化基準を強制します。 |
| 第6条第2項(b) | 使用中のデータを暗号化するか、保護された環境を使用すること。 | データセキュリティマネージャー (DSM) Confidential Computing Manager |
Confidential Computing(Intel SGX)を基盤とし、Fortanixはクラウドアプリケーション、ストレージ、オンプレミス環境における使用中データを安全なエンクレーブ内で分離し保護します。 |
| 第6条第2項(c) |
内部および外部のネットワーク接続を暗号化すること。 |
データセキュリティマネージャー (DSM) | TLS 1.3を適用してネットワークトラフィックを暗号化します。外部パートナーとのAPI通信も暗号プロトコルで保護します。 |
| 第6条第2項(d) |
暗号鍵管理のルール(使用、保護、ライフサイクル)を確立すること。 |
ハイブリッドマルチクラウド向けに役割ベースアクセス制御を備えた単一画面で、暗号鍵の生成、ローテーション、失効、削除などのライフサイクル全体を管理します。FIPS認証済みHSMに鍵を保存し、オンプレミスおよびSaaSで安全に保護します。 | |
| 第6条第3項 |
主要な標準に準拠した暗号技術を選択すること。 |
データセキュリティマネージャー (DSM) Key Insight |
DSMはNIST承認のアルゴリズム(AES-256、RSA-4096など)を実装します。Key Insightは非準拠アルゴリズム(SHA-1など)を検出し、基準に合うようアップグレードを推奨します。逸脱を監視し、緩和措置を強制します。 |
| 第6条第4項 |
暗号技術を更新し、暗号解析の進展に対応すること。 |
DSMは月次製品リリースで暗号ライブラリを自動更新し、脆弱性(廃止されたプロトコルなど)に対応します。Key Insightは古いアルゴリズムや証明書をスキャンし、優先的に修正を促します。 | |
| 第6条第5項 |
緩和措置を記録し、説明を提供すること。 |
DSMは暗号操作の不変の監査ログを生成し、鍵のライフサイクルイベントや方針変更を含みます。Key Insightは自動化されたコンプライアンスレポートとダッシュボードを提供し、緩和措置を文書化します。 | |
| セクション4:暗号化と暗号技術 第7条:暗号鍵管理 |
|||
| 第7条第1項 | 暗号鍵の生成、更新、保存、バックアップ、アーカイブ、取得、送信、廃止、失効、破棄までのライフサイクルを管理すること。 | データセキュリティマネージャー (DSM) | 自動化により鍵の生成、ローテーション、バックアップ、失効、削除までのエンドツーエンドのライフサイクル管理を行います。FIPS 140-2レベル3準拠のHSMに安全に鍵をアーカイブし、オンプレミスまたはSaaSで利用可能です。マルチクラウドの鍵同期をサポートします。 |
| 第7条第2項 | 鍵の紛失、不正アクセス、漏洩、改ざんから保護すること。 | 改ざん防止かつスケーラブルなHSMに鍵を保存します。鍵アクセスにはRBACとMFAを適用し、鍵の転送および保存時に暗号化を行います。すべてのアクセス試行を監査します。 | |
| 第7条第3項 | 鍵が紛失、侵害、損傷した場合は交換すること。 | 鍵のローテーションと交換ワークフローを自動化します。迅速な復旧のために鍵を安全にバックアップします。クラウドサービスと連携し、新しい鍵でデータを再暗号化します。 | |
| 第7条第4項 | 重要なICT資産の証明書および証明書保管装置の登録簿を維持すること。 | 複数のCLMパートナーと連携し、証明書のプライベートキーを提供・保護します。CLMパートナーは証明書および保管装置の登録簿を管理します。 | |
| 第7条第5項 | 証明書の有効期限前の迅速な更新を確保すること。 | 複数のCLMパートナーと連携し、証明書のプライベートキーを提供・保護します。CLMパートナーは証明書の発見および更新を含む完全なライフサイクル管理を提供します。 | |
| セクション5:ICT運用セキュリティ 第11条:データおよびシステムのセキュリティ |
|||
| 第11条第1項 | データおよびシステムのセキュリティ手順を策定、文書化、実施すること。 | データセキュリティマネージャー (DSM) Key Insight |
DSMは暗号化、アクセス制御、セキュアなデータワークフローを一元化し、セキュリティ手順の一部として管理します。 Key Insightは暗号資産を発見・マッピングし、文書化された手順との整合性を確保します。 |
| 第11条第2項(a) | アクセス制限を強制すること(第21条に準拠)。 | データセキュリティマネージャー (DSM) | IDプロバイダー(SAML、LDAP、OAuth)と連携しRBACを実施。暗号鍵、シークレット、機密データへのアクセスにMFAを強制します。 |
| 第11条第2項(b) | ICT資産の安全な構成基準を定義し、サイバーリスクを最小化すること。 | データセキュリティマネージャー (DSM) Key Insight |
Key Insightは誤設定された暗号プロトコル(例:弱いTLSバージョン)を検出します。DSMはFIPS 140-2/3などの先進的な基準に沿った暗号化ポリシーを強制します。 |
| 第11条第2項(c) | 認可されたソフトウェアのみをインストールすることを保証する。 | データセキュリティマネージャー (DSM) | 認可されたソフトウェアの操作に必要なシークレットや鍵へのアクセスを制限します。コード署名鍵によりソフトウェアの暗号的整合性を保証します。 |
| 第11条第2項(d) | 悪意のあるコードから保護すること。 | データセキュリティマネージャー (DSM) | Fortanixは直接的なアンチマルウェア機能は提供しませんが、DSMは暗号鍵やシークレットを保護し、コード署名によりコードの整合性を検証し、侵害されたシステムからのリスクを軽減します。 |
| 第11条第2項(e) | 認可されたデータ保存メディア/システムのみを使用すること。 | データセキュリティマネージャー (DSM) | データを暗号化・トークン化し、認可されていないメディアに移動しても安全を保ちます。復号は承認されたシステムに限定されます。 |
| 第11条第2項(f)(i) | エンドポイントデバイスのリモート管理およびデータ消去。 | エンドポイントデバイス上のシークレットや鍵を安全に管理します。デバイス紛失・盗難時には鍵へのアクセスを失効し、暗号化データへのアクセスを遮断します。 | |
| 第11条第2項(f)(ii) | デバイスに改ざん防止セキュリティ機構を使用すること。 | Intel SGXなどのセキュアエンクレーブに鍵を保存し、不正な改ざんを防止します。RBACとMFAを適用し暗号操作を保護します。 | |
| 第11条第2項(f)(iii) | リムーバブルストレージの使用をリスク許容度に制限すること。 | FIPS認証済みアルゴリズムでリムーバブルデバイス上のデータを暗号化します。復号鍵へのアクセスはRBACで制御し、リスクポリシーに準拠します。 | |
| 第11条第2項(g) | 不要なデータを安全に削除すること。 | 暗号的消去:暗号鍵を破棄し、データを永久にアクセス不能にします。削除イベントは監査ログに記録されます。 | |
| 第11条第2項(h) | ストレージデバイスの安全な廃棄・退役。 | 廃棄デバイス上のデータを暗号鍵の破壊により回復不能にします。削除は監査ログで検証されます。 | |
| 第11条第2項(i) | データの損失・漏洩を防止すること。 | 保存中、転送中、使用中の機密データを暗号化・トークン化します。デバイスが侵害されても生データへの不正アクセスを防ぎます。 | |
| 第11条第2項(j) | テレワークや私用デバイスのセキュリティを確保すること。 | リモートデータ処理に機密コンピューティング(セキュアエンクレーブ)を適用します。鍵やシークレットへのアクセスはRBAC/MFAで制限し、安全なテレワークを実現します。 | |
| 第11条第2項(k) | 第三者ICTプロバイダーのレジリエンスを確保すること。 | データセキュリティマネージャー (DSM) Key Insight |
DSM:BYOK/HYOKおよび暗号化APIにより第三者連携を保護します。 Key Insight:第三者の暗号資産(証明書、鍵など)を監視し、レジリエンス基準への準拠を確認します。 |
| 第11条第3項 | 基準を先進的な実践(例:標準)に合わせること。 | Key Insight | NISTなどの標準に対して設定を監査し、廃止されたプロトコルやアルゴリズムの更新を推奨します。 |
| 第11条第4項(a-d) | 第三者サービスプロバイダーのガバナンス(ベンダー設定、役割、能力)。 | データセキュリティマネージャー (DSM) | 鍵やシークレットの明確な所有権(金融機関が管理)を強制し、第三者のセキュリティ役割・責任の遵守をログで検証します。 |
| セクション6:ネットワークセキュリティ 第13条:ネットワークセキュリティ管理 |
|||
| 第13条第1項 | ネットワークセキュリティの方針、手順、ツールを策定、文書化、実施すること。 | データセキュリティマネージャー (DSM) Key Insight |
DSM:ネットワークトラフィックの暗号化とアクセス制御を強制します。 Key Insight:TLS証明書などの暗号資産を発見し、ネットワークセキュリティを方針に合わせます。 |
| 第13条(a) | 重要度、分類、リスクに基づきネットワークを分離・セグメント化すること。 | データセキュリティマネージャー (DSM) | 分離されたネットワーク間の機密データフローを暗号化(TLS 1.3など)し、ネットワークセグメントポリシーに基づき復号鍵へのアクセスを制限します。 |
| 第13条(b) | ネットワーク接続およびデータフローを文書化すること。 | Key Insight | ネットワーク接続に関わる証明書や鍵などの暗号資産を発見・マッピングし、暗号化データフローの可視化を提供します。 |
| 第13条(c) | ICT資産管理のため専用ネットワークを使用すること。 | データセキュリティマネージャー (DSM) | RBACおよびMFAにより暗号鍵・シークレットへの管理アクセスを保護し、管理ネットワークと他のセグメント間のトラフィックを暗号化します。 |
| 第13条(d) | 不正なデバイスのネットワーク接続を防止すること。 | 証明書ベース認証(相互TLSなど)を適用し、デバイスのネットワークリソースアクセスを制限します。 | |
| 第13条(e) | ネットワーク接続を暗号化すること(企業、公共、無線)。 | TLS 1.3を適用し、転送データにFIPS 140-2/3認証済み暗号化を提供します。 | |
| 第13条(f) | 機密性、完全性、可用性を確保するネットワーク設計。 | 暗号化と整合性チェック(HMACなど)でネットワークトラフィックを保護し、FIPS認証HSMでネットワークセキュリティ用鍵を保護します。 | |
| 第13条(g) | 内部ネットワークと外部接続間のトラフィックを保護すること。 | TLSやAES-GCMなどの暗号プロトコルで外部パートナーとのAPIトラフィックを暗号化し、クラウドゲートウェイ向けにBYOKをサポートします。 | |
| 第13条(j) | 必要に応じてサブネットワークやコンポーネントを分離すること。 | 独自の鍵で分離されたセグメント内のデータを暗号化し、鍵アクセスを認可されたサブネットワークコンポーネントに限定します。 | |
| 第13条(k) | ネットワーク機器のセキュアベースラインと強化を実施すること。 | 暗号基準(NISTなど)に基づきネットワーク機器の設定を検証します。 | |
| 第13条(l) | 非アクティブセッションを終了すること。 | 暗号鍵・シークレットへのアクセスにセッションタイムアウトを適用し、SIEMツールと連携してセッション活動をログに記録します。 | |
| 第13条(m) | ネットワークサービス契約にセキュリティ対策を定義すること。 | データセキュリティマネージャー (DSM) | 第三者ネットワークプロバイダーと共有するデータを暗号化し、TLS 1.3などの暗号化基準への準拠を監視します。 |
| セクション6:ネットワークセキュリティ 第14条:転送中の情報の保護 |
|||
| 第14条第1項(a) | 転送中のデータの可用性、真正性、完全性、機密性を確保すること。 | データセキュリティマネージャー (DSM) | 転送中のデータに対し、FIPS 140-2/3認証済み暗号化(TLS 1.3、AES-256など)を適用。HMACで完全性を保証し、証明書ベースの相互TLSで真正性を確保します。 |
| 第14条第1項(a) | データ保護要件の遵守状況を評価する手順を確立すること。 | Key Insight | システムをスキャンし、NISTやGDPRなどの暗号化基準への準拠を検証するレポートを生成します。 |
| 第14条第1項(b) | データ漏洩を防止・検知し、外部との安全な転送を確保すること。 | データセキュリティマネージャー (DSM) Key Insight |
TLSやAESを用いて外部共有される機密データを暗号化し、PIIの露出を防ぐためにデータをトークン化します。復号はRBACにより認可されたシステムに限定されます。 |
| 第14条第1項(c) | 機密保持契約を実施、文書化、見直すこと。 | DSMでRBAC/MFAによるアクセス制御を強制し、すべてのアクセス試行やデータ転送を監査ログに記録します。Key Insightで機密保持ポリシーの遵守を自動レポートで監視します。 | |
| 第14条第2項 | データ分類およびICTリスク評価に基づく方針を策定すること。 | DSMはデータ分類に応じた暗号化・トークン化ポリシーを適用します(例:機密データには高レベルの暗号化)。 Key Insightは暗号資産をリスクレベルにマッピングします。 |
|
