NIS2とDORAは、重要インフラおよび金融セクター組織にサイバーセキュリティとオペレーショナルレジリエンス要件を課すEU規制です。両方とも2025年に発効し、EU産業全体に広く適用されます。 ## NIS2指令 ネットワーク情報セキュリティ指令2(NIS2)は、エネルギー、交通、医療、デジタルインフラ、行政を含むセクターの「必須」および「重要」エンティティに対するサイバーセキュリティ要件を定めています。 全文: [指令 (EU) 2022/2555](https://eur-lex.europa.eu/eli/dir/2022/2555/oj) ### NIS2要件マッピング | NIS2要件 | Rediaccの機能 | |---------|--------------| | リスク管理措置(第21条) | LUKS2保存時暗号化、リポジトリごとのネットワーク分離、SSHのみのアクセス、アカウントレベル監査ログ(40以上のイベントタイプ) | | インシデント対応(第21条(2)(b)) | 40以上のアカウントレベルイベントタイプ(認証、トークン、設定、ライセンス)がフォレンジック証跡を提供。リポジトリごとの分離が被害範囲を制限。 | | 事業継続(第21条(2)(c)) | `rdc repo backup push/pull`による複数宛先暗号化バックアップ。CoWスナップショットによる即時ロールバック。 | | サプライチェーンセキュリティ(第21条(2)(d)) | セルフホストがSaaSサプライチェーンリスクを排除。サードパーティクラウドプロバイダーがお客様のデータを処理することはありません。 | | ネットワークセキュリティ(第21条(2)(e)) | リポジトリごとのDocker daemon、iptablesルール、ループバックIP分離(/26サブネット)。 | | 暗号化(第21条(2)(h)) | 必須LUKS2 AES-256暗号化。AES-256-GCMによるゼロ知識設定ストア。 | | アクセス制御(第21条(2)(i)) | SSH鍵認証、IPバインド付きスコープAPIトークン、二要素認証(TOTP)。 | | インシデント報告、24時間早期警告(第23条) | 監査ログが迅速なインシデント検出とスコーピングを可能に。 | ### サプライチェーンリスク サプライチェーンセキュリティはNIS2の中心的な懸念事項です(第21条(2)(d))。組織はICTサービスプロバイダーおよびサプライヤーからのリスクを評価・管理する必要があります。 セルフホスト型Rediaccは最大のサプライチェーン攻撃面を除去します:サードパーティSaaSがお客様のデータを扱わず、クラウドプロバイダーがお客様のインフラへの論理アクセスを持たず、マルチテナント環境が他の顧客のセキュリティ態勢への露出を生みません。[Blackbaudの2020年ランサムウェア攻撃は13,000以上の顧客組織のデータを露出し、和解金は4950万ドルに上りました。](https://www.sec.gov/newsroom/press-releases/2023-48) --- ## DORA(デジタルオペレーショナルレジリエンス法) DORAは、EU金融セクターのICTリスク管理、インシデント報告、レジリエンステスト、サードパーティリスク管理の要件を定めています。銀行、保険会社、投資会社、暗号資産サービスプロバイダー、および重要なICTサードパーティプロバイダーに適用されます。 全文: [規則 (EU) 2022/2554](https://eur-lex.europa.eu/eli/reg/2022/2554/oj) ### DORA要件マッピング | DORA要件 | Rediaccの機能 | |---------|--------------| | ICTリスク管理フレームワーク(第6条) | 暗号化、分離、監査ログ、バックアップが技術的統制レイヤーを構成。 | | 保護と予防(第9条) | LUKS2 AES-256保存時暗号化。ネットワーク分離がラテラルムーブメントを防止。SSHのみのアクセス。 | | 検出(第10条) | 40以上のアカウントレベルイベントタイプ。ユーザー・チーム別フィルタリング付き管理ダッシュボード。マシン操作はSSHとシステムログで監査可能。 | | 対応とリカバリ(第11条) | CoWスナップショットによる即時ロールバック。`rdc repo backup push/pull`による複数宛先リカバリ。Forkベースの災害復旧テスト。 | | ICTサードパーティリスク(第28-30条) | セルフホストが「重要なICTサードパーティプロバイダー」分類を完全に排除。 | | デジタルオペレーショナルレジリエンステスト(第24-27条) | CoWクローンが本番類似環境でのデータ露出なしの脅威主導ペネトレーションテストを可能に。クローン、テスト、破棄。 | ### ICTサードパーティプロバイダーリスク DORAの最も負担の大きい要件は重要なICTサードパーティプロバイダーの管理に関するものです(第28-30条)。金融機関はICTプロバイダーの登録簿を維持し、リスク評価を実施し、特定の契約条項を交渉し、出口戦略を計画する必要があります。 セルフホスト型Rediaccはこれを完全に回避します。登録、評価、監視すべきICTサードパーティプロバイダーがありません。金融機関が自身のインフラを直接管理します。 ### レジリエンステスト DORAはデジタルオペレーショナルレジリエンステストを義務付けており、大規模機関には脅威主導ペネトレーションテスト(TLPT)を含みます(第26条)。CoWクローンがこれに直接対応します: 1. 本番環境をフォーク(即時、同一マシン、データ転送なし) 2. フォークに対してペネトレーションテストを実行 3. 完了後にフォークを破棄 本番環境には一切触れず、テスト環境は完全なレプリカです。データはマシンから出ません。