著者:Passwork システムアナリスト、Eirik Salmi
脅威アクターが正当なユーザー名とパスワードを使用してネットワークに侵入した場合、それを止めるコントロールはどれですか?
ほとんどの金融機関の正直な答えは次のとおりです:何もそれを即座には検出できません。攻撃者は認可されたユーザーのように見えます。IBMのデータ侵害コスト報告書(2025年)によると、彼らは横展開し、特権をエスカレーションし、侵害が特定されるまで平均186日間、その後、抑制するまでにさらに55日間、重要なシステムをマッピングします。
その時点で、運用上の損害は既に発生しており、規制上の時計は既に開始しています。
2025年1月17日、デジタル運用レジリエンス法(DORA)がEU全域で適用され始めました。規制の第9条により、認証情報のセキュリティは金融リスク管理を拘束するコントロールとなり、基準に満たない機関には監督上の結果をもたらします。
問題は、あなたの認証体制がベストプラクティスを満たしているかどうかではなくなりました。それは法律を満たしているかどうか、そしてそれを証明できるかどうかです。
この記事は、認証情報管理を統治する特定の第9条要件を追跡し、侵害されたパスワードがDORAの枠組みの下での運用レジリエンス障害である理由を説明し、ギャップを塞ぐ実用的なコントロールについて説明しています。
DORAが対抗するために構築された脅威
盗まれた認証情報は2025年における単一最大の初期アクセスベクトルであり、Verizonのデータ侵害調査報告書によればすべてのデータ侵害の22%を占めています。金融機関の場合、IBMのデータ侵害コスト報告書によると、その露出のセクター固有のコストは平均して事件ごとに556万ドルで、2024年の608万ドルから減少していますが、それでも世界的にあらゆる業界の中で2番目に高いものです。
認証情報盗難の供給側は完全に産業化されています。初期アクセスブローカーは平均2,700ドルで検証済みの企業ネットワークアクセスを販売し、リストの71%が特権認証情報を含んでいます。これは技術的スキルなしに悪用できるプリパッケージされたアクセスです。Rapid7の調査によれば。
Lumma、RisePro、StealC、Vidar、RedLineなどのインフォスティーラーは規模での認証情報収集を自動化しています。IBM X-Forceのデータは、2024年のフィッシング経由の配信が前年比84%増加したことを示しており、2025年のデータはさらに急な軌跡を指しています。
DORAの第9条はまさにこの連鎖を遮断するために存在しています。規制はヨーロッパの金融市場の運用上の継続性への文書化された、継続的な脅威を反映しています。
DORA第9条が実際に要求するもの
DORAの第9条は「保護と予防」と題されており、第6条によって委任されたICTリスク管理枠組み内にあります。金融機関が実装する必要のある具体的な技術および手続き的義務を設定しています。
2つの規定は認証情報管理に直接関連しています。
-
第9条(4)(c)は金融機関に「正当で承認された機能および活動のみに必要な情報資産およびICT資産への物理的または論理的アクセスを制限するポリシーを実装する」ことを要求しています。これは最小権限の原則であり、法的義務として述べられています。
-
第9条(4)(d)はさらに進んで、機関に「強力な認証メカニズム用のポリシーおよびプロトコルを実装する。関連する基準およびデディケートされたコントロールシステムに基づき、承認されたデータ分類およびICTリスク評価プロセスの結果に基づいて暗号化されるデータの暗号化キーの保護措置。」を要求しています。
その言語を運用上の観点から解きほぐすと:MFAは必須です。「関連する基準」への参照はFIDO2/WebAuthに直接指しており、これは現在、リアルタイムでSMSおよびTOTPベースのMFAをバイパスできる中間者攻撃(AiTM)フィッシングキットに対して耐性がある最も広く展開されている認証標準です。暗号化キー管理は規制要件です。
特権アクセス管理(PAM)ツールは規制では明示的に名付けられていません。しかし、それらが提供するコントロールは第9条の要件に直接マップします。セッション記録、ジャストインタイム(JIT)アクセス プロビジョニング、および特権認証情報ボルトは、規制が説明する「デディケートされたコントロールシステム」です。
これらのコントロールを展開していない機関は、監督者が行動を起こすことができるコンプライアンスギャップに直面しています。
欧州銀行局(EBA)とESMAによるDORA下の規制技術基準は、ICTリスク管理要件に関する追加の特異性を提供し、セクター固有の実装ガイダンスで第9条のベースラインを強化しています。
認証情報侵害を運用レジリエンス障害として
DORAの明記された目的は、金融機関がICT障害に耐え、対応し、回復できることを確保することです。認証情報の侵害は、セキュリティインシデントの観点とは全く異なる方法でそのレンズを通して見えます。
平均滞在時間186日で、侵害された認証情報は離散的なセキュリティイベントを生成しません。それは運用上の継続性への持続的で見えない脅威を生成します。攻撃者は正当なユーザーのように見えながら、横展開し、特権をエスカレーションし、重要なシステムをマッピングしています。それはDORAが保護するように設計されている運用上の継続性への直接的な脅威です。
フランスの全国銀行レジストリの2026年1月の侵害は、メカニクスを具体的にしました。脅威アクターがフィコバにアクセスできる単一の公務員の認証情報を取得しました。これはフランスで開設されたあらゆる銀行口座の記録を保有する省間データベースです。
その1つのアカウントだけを使用して、攻撃者はIBAN、口座所有者名および住所、税務識別番号を含む1,200万の銀行口座のデータにアクセスして抽出しました。
影響を受けたシステムはオフラインにされ、レジストリでの操作は中断され、インシデントはフランスのデータ保護機関CNILに報告されました。攻撃は技術的な洗練を必要としませんでした。
DORAの下では、金融機関でのその規模のインシデントは第19条の下での強制報告義務をトリガーします。分類から4時間以内(および検出後24時間以降)の初期通知、72時間以内の中間報告、および1ヶ月以内の最終報告。
第三者の側面:ベンダー認証情報はあなたの認証情報です
DORAの第V章は、ICT第三者リスクに関する金融機関の明示的な義務を置きます。コンプライアンスの周囲は機関自体のシステムで停止しません。
2024年5月のSantander侵害はヨーロッパの参照点です。攻撃者はSnowflakeの従業員から盗まれた認証情報を使用して、スペイン、チリ、およびウルグアイ全体の顧客および従業員データを含むデータベースにアクセスしました。
認証情報は数ヶ月前に請負業者のワークステーションに感染するインフォスティーラーマルウェアによって収集されていました。侵害されたSnowflakeアカウントの中に多要素認証が有効にされていたものはありませんでした。
エントリーポイントはSantander内ではありませんでした。それはベンダーの弱い認証体制でした。そして、それは単一のエクスプロイトが作成されることなく、ヨーロッパの最大の銀行の1つに属するデータを露出させました。
DORAの下では、重要なICTプロバイダーが認証情報ベースの侵害を受ける金融機関は直接的な規制上の露出に直面しています。機関はベンダーから同等の認証基準を契約で要求し、これらの要件に対するコンプライアンスを監査する必要があります。
ベンダーのパスワードポリシーギャップはベンダーだけの問題ではありません。それは金融機関の規制上の責任です。
DORA準拠の認証情報管理の構築
第9条の要件を満たすには、4つの領域にわたって構造化されたプログラムが必要です。
-
フィッシング耐性のあるMFAを最初に展開してください。FIDO2/WebAuthnベースの認証 — ハードウェアセキュリティキー、パスキー、プラットフォーム認証器。SMSおよびTOTPベースのワンタイムパスワードは現在の攻撃技術に対して十分ではありません。すべてのユーザーについてフィッシング耐性のあるMFAを実装し、特に特権アカウントとリモートアクセスパスに厳密に実装してください。
-
最小権限アクセスを実装してください。JITプロビジョニング — 特定のタスクの期間のみ昇格されたアクセスを付与 — 認証情報盗難をそれほど損傷的にする永続的特権を排除します。オフボーディング時にアカウントを即座に無効化してください。休止中のアカウントは最も一般的で最も回避可能な攻撃ベクトルの中にあります。
-
すべての認証情報をボルトに保管してください。サービスアカウントパスワード、APIキー、および特権認証情報は、暗号化された、アクセス制御されたクレデンシャルボルトに保存される必要があります。手動認証情報管理は大規模では運用上実行不可能であり、監査証跡を生成しません。Passworkなどのビジネスパスワードマネージャー — 機関独自のインフラストラクチャ内にオンプレミスで展開 — 第9条が要求する暗号化ボルトサービス、粒度の細かいアクセスコントロール、および完全なアクティビティ履歴を提供します。
-
継続的に監視してください。異常なログイン動作 — 通常ではない地理的位置、営業時間外のアクセス、横展開パターン — は自動アラートをトリガーする必要があります。その186日間の平均滞在時間を削減することは、金融露出とDORA事件報告義務の両方を削減するための単一の最も効果的なテコです。
すべての4つのコントロールは同じ基盤に依存しています:認証情報がどのように保存、共有、アクセス、監視されるかです。その層で構造なしには、たとえ十分に設計されたポリシーであっても、実行で失敗します。
Passworkが実際にDORAコンプライアンスをどのようにサポートするか
PassworkはISO/IEC 27001認定のコーポレートパスワードマネージャーであり、自己ホスト型展開として利用可能です。これはあなたの認証情報データがあなた自身のインフラストラクチャを離れることがないことを意味します。
DORAの第V章サプライチェーン義務をナビゲートする金融機関にとって、その区別は重要です:第三者SaaS認証情報ストアは、規制があなたを統治することを要求する正確な種類のICT依存性を導入します。
上記の4つのコントロールを通じて取り組んでいる機関にとって、Passworkは各々の認証情報管理の次元に対応しています。
-
認証情報層全体へのMFA実装。Passworkは生物認証、パスキー、およびセキュリティキーMFAをネイティブにサポートしており、エンタープライズ環境向けのSAML SSOおよびLDAP統合があります。
-
役割ベースのアクセス制御と最小権限。権限はボルトおよびフォルダレベルで割り当てられ、ADまたはLDAPグループから継承され、ディレクトリ変更で自動的に更新されます。オフボーディングは単一の操作で共有認証情報へのアクセスを無効化します — ログされ、タイムスタンプされており、調査官が第9条(4)(c)の下で要求する証拠を生成しています。
-
特権アカウント資産目録と安全な共有。Passworkは、共有管理者アカウントを含む、すべての組織の認証情報の構造化、検索可能なリポジトリを提供しています。暗号化されたボルト共有は、監査証跡を残さず、無効化できない非公式チャネルを置き換えています。
-
コンプライアンス文書化のための監査ログ。すべての認証情報アクセス、権限変更、パスワードリセット、および共有イベントは、改ざん防止ログに記録され、コンプライアンス報告のためにエクスポート可能であり、SIEMシステムと統合可能です。構造化されたアクティビティ履歴は、ポリシードキュメントだけより、規制当局への実質的により強い対応です。
DORAコンプライアンスは技術的な問題と同じくらい証拠の問題です。実施を最も効果的にナビゲートする機関は、要求に応じてドキュメンテーションを生成できるものです。
監査前に行動してください
DORAは認証情報管理をセキュリティベストプラクティスから拘束する金融リスク管理に変換しました。第9条(4)(c)および9(4)(d)は明確です:最小権限アクセス、強力な認証、および暗号化キー保護は、EUで運用するあらゆる金融機関の法的義務です。
運用レジリエンスはアイデンティティで始まります。そしてアイデンティティはキーを保有している者を制御することから始まります。
第9条に対して認証情報コントロールを監査し、調査結果をドキュメント化し、規制当局が尋ねる前に証拠を準備してください。DORAの下では、ドキュメンテーションの欠如はそれ自体が調査です。
Passworkは正確にこの状況のために設計されています。認証情報データをあなた自身のインフラストラクチャ内に保つ自己ホスト型パスワードマネージャーであり、あらゆるアクセスポイント全体でMFAを実装し、コンプライアンス対話を責任から実証に変える改ざん防止監査ログを生成しています。ISO/IEC 27001認定、エンタープライズ環境向けのLDAPおよびSAML SSO統合。
