Placeholder Image

字幕表 動画を再生する

AI 自動生成字幕
  • Good afternoon everybody.

    皆さん、こんにちは。

  • I hope you can all hear me see me and see my presentation.

    皆さんに私の声を聞いていただき、私のプレゼンテーションを見ていただければと思います。

  • So we are going to have a this afternoon we're going to go through talk about DORA compliance for ICT providers, what you need to do, what you need to know, some of the key things you need to think about, need to understand and what DORA is, how it's affecting things, all these all these wonderfully interesting topics.

    そこで今日の午後は、ICTプロバイダーのためのDORAコンプライアンスについて、何をすべきか、何を知っておく必要があるか、DORAとは何か、DORAが物事にどのような影響を及ぼすのか、DORAについて考え、理解する必要がある重要な事柄について、これらの素晴らしく興味深いトピックについてお話しします。

  • So we will start off in a couple of minutes.

    では、数分後に始めます。

  • I'm going to ask you to be a bit interactive and respond to a few questions because it's going to be useful for me to to understand who I've got on the call etc.

    この通話に参加している人たちを理解するのに役立つと思うので、少し双方向的になってもらって、いくつかの質問に答えてもらおうと思う。

  • So first of all who am I?

    まず、私は誰なのか?

  • Very good question.

    とてもいい質問だ。

  • So my name is Andrew Paterson.

    僕の名前はアンドリュー・パターソンだ。

  • I'm the head of GRC consultancy for IT Governance Europe and I've been working in GRC for probably it's near the 30 years and 20 years anyway, probably quite a lot closer to 30 years and 20 years.

    私はITガバナンス・ヨーロッパでGRCコンサルタントの責任者を務めており、GRCの仕事に携わって30年、20年といったところでしょうか。

  • I'm a certified ISACA trainer.

    私はISACAの認定トレーナーです。

  • I have a master's in information systems management which was quite a long time ago but we weren't just looking at advocacies we were looking at proper IT even then.

    私は情報システム管理の修士号を持っているが、それはかなり昔のことで、当時から私たちはアドボカシーだけでなく、適切なITにも目を向けていた。

  • I'm the SME within the group in things like NIS, NIS2 which as we may know is a directive, things like cybersecurity framework 27001, SIS 18, ECC which is a Saudi Arabian standard and DORA.

    私はグループ内で、NISやNIS2といった指令、サイバーセキュリティ・フレームワーク27001、SIS18、サウジアラビアの規格であるECC、DORAなどのSMEを担当しています。

  • I've worked in lots and lots of sectors over the years.

    私は長年、さまざまな部門で働いてきた。

  • That's just a few examples of some of the areas I've been helping people affected with DORA for around the last 12 months, helping them to get ready for the deadline which we'll talk about when that is a bit later.

    これは、私がこの12ヶ月の間、DORAの影響を受けている人たちを支援してきた分野のほんの一例です。

  • I'm also the author of a DORA, a guide to the DU Digital Operationals Resilience Act and it's very much that book is a practical guide about what you need to do about it.

    私はまた、DUデジタル・オペレーショナル・レジリエンス法(DU Digital Operationals Resilience Act)の手引書であるDORAの著者でもあり、この本はそのために何をすべきかを実践的に解説している。

  • It's not particularly legalistic, it's about how you develop and implement an ISMS that will meet the requirements of DORA.

    特に法律論的なものではなく、DORAの要求事項を満たすISMSをどのように策定し、実施するかということです。

  • So just a couple of little slides here about who we are, IT Governance.

    ここで、私たちITガバナンスがどんな会社なのか、少しスライドをお見せしましょう。

  • You've obviously heard of us before because you're sitting on this webinar but we've been in the industry for over 20 years, 12,000 clients, we work globally.

    このウェビナーに参加されている皆さんは、私たちのことをご存知でしょうが、私たちはこの業界で20年以上の実績があり、12,000社のクライアントを持ち、グローバルに活動しています。

  • The big area of people more familiar with us is in 27001 and GDPR and everything but when you start looking at DORA, 27001 is an incredibly useful vehicle for helping you to deal with what is required out of DORA.

    27001やGDPRなど、私たちになじみの深い分野は多岐にわたりますが、DORAを検討し始めたとき、27001はDORAで要求されることに対処するための非常に有用な手段です。

  • It talks about the same sort of things, there's a different emphasis in some areas but we'll go through that.

    同じようなことが書かれているが、いくつかの部分で強調するところが違う。

  • So that's who we are, we've worked with all of these different people, we've got 1300 projects in ISO, we've got our cyber essentials and we've got our governance and risk tool called cyber comply which has got almost two and a half thousand people customers using it globally.

    私たちはさまざまな人々と協力し、ISOで1300のプロジェクトを立ち上げ、サイバー・エッセンシャルズを開発し、サイバー・コンプライアンスというガバナンス・リスク・ツールを開発しました。

  • You can see all the information on there, just a little thing on the slides, you will be given access to a slide pack because some of the slides have got quite a lot of detail on them and probably more useful if you come back and read them later because I will not be reading every single line on every slide, I'll be talking around them.

    スライドに書かれている情報はすべて見ることができますし、スライドパックにもアクセスすることができます。

  • So that's that sort of thing.

    そういうことなんだ。

  • If you're familiar with Net Promoter Scores, that's our things like that over the last whatever you've had to do.

    ネット・プロモーター・スコア(Net Promoter Scores)をご存じなら、過去にあなたがしなければならなかったことは何であれ、私たちのそのようなものです。

  • So this is where we're going to ask you to do a little bit of interaction and voting and it'll give me a little bit idea about who's on the call and maybe I will make sure I mention a few things which are specific to those requirements.

    そこで、ここで皆さんにちょっとした交流と投票をしていただくことになります。そうすれば、誰がこのコールに参加しているのかが少しわかるでしょうし、その要件に特化したことをいくつか挙げておくことになるかもしれません。

  • So the first question we'd like you to respond to is this one, what is your role in the DORA compliance decision making process?

    DORAのコンプライアンス決定プロセスにおけるあなたの役割は何ですか?

  • So you've got the choice of this, I am a key decision maker, I influence decisions but I'm not the final decision maker, I am gathering information for my team.

    私は重要な意思決定者であり、意思決定に影響を与えるが、最終的な意思決定者ではない。

  • So you should get the option there to respond to that question.

    だから、その質問に答えるオプションがあるはずだ。

  • So I'll give you a little bit of time to do that.

    だから、少し時間をあげよう。

  • It's like waiting for the the results of Eurovision.

    ユーロビジョンの結果を待つようなものだ。

  • So a few more moments.

    だから、もう少しだけ。

  • Okay then, so we've got a few decision makers on there and then it's split between people influencing the decision maker and I'm gathering for the team.

    決定権者が数人いて、その決定権者に影響を与える人たちと、私がチームのために集まっている。

  • So it's pretty much your most most of you are finding out more information etc and all that sort of stuff.

    だから、君たちのほとんどは、より多くの情報などを見つけているんだ。

  • That's brilliant, thank you very much.

    ありがとうございます。

  • Okay the next question, what is your timeline for implementing DORA?

    では次の質問ですが、DORAの導入スケジュールを教えてください。

  • We might have a different response at the end of the webinar on this one.

    この件に関しては、ウェビナーの終わりにはまた違った反応があるかもしれない。

  • Within the next three months, in four to six months, beyond six months or no timeline set?

    今後3カ月以内、4~6カ月後、6カ月後以降、あるいは時期は未定か?

  • So if you can respond to the questions there.

    そこで質問に答えてくれるかな。

  • Okay we'll wait for a couple of more responses on that.

    それについては、もう少し返答を待つことにしよう。

  • Okay then, so most of you are talking about probably something in beyond six months.

    それじゃあ、ほとんどの人が半年以上先のことを話しているんだね。

  • Okay if you speak quicker than that.

    それよりも早く話すならいいよ。

  • Okay thank you for that.

    ありがとう。

  • Next question, what type of support does your organization need most for DORA compliance?

    次の質問ですが、DORAに準拠するために、あなたの組織はどのようなサポートを最も必要としていますか?

  • So compliance software solutions, consultancy and advisory services, training and education, and so on and so forth.

    つまり、コンプライアンス・ソフトウェア・ソリューション、コンサルタントおよびアドバイザリー・サービス、トレーニングおよび教育などなどだ。

  • Okay, so what type of support do you need most for DORA?

    では、DORAにはどのようなサポートが最も必要ですか?

  • So if you could give us your response on that.

    では、それについてお答えいただけますか?

  • A few more seconds.

    あと数秒。

  • Okay, so on this we've got a pretty much a split, we could be almost across the three areas on that.

    さて、この件に関しては、私たちは3つの分野にほぼまたがっている可能性があります。

  • So thank you very much for that.

    本当にありがとう。

  • And now the last question, has your organization allocated a budget for DORA compliance solutions?

    さて、最後の質問ですが、あなたの組織はDORAコンプライアンス・ソリューションに予算を割り当てていますか?

  • Yes, we have a dedicated budget.

    はい、専用の予算があります。

  • Budget is under consideration.

    予算は検討中。

  • No budget allocated yet.

    予算はまだ割り当てられていない。

  • Just a few more moments and then we'll close that poll.

    もう少ししたら、この投票を締め切ります。

  • Okay then, so mainly no budget allocated yet and a few people have got a budget under consideration, but actually you need to be able to show that you have budgets for cyber security etc.

    では、主にまだ予算が割り当てられておらず、何人かが予算を検討中とのことですが、実際にはサイバーセキュリティなどの予算があることを示す必要があります。

  • So we'll talk about that.

    だから、それについて話そう。

  • So a couple of things, you will see that you've got the ability to ask questions.

    だから、いくつか質問することができる。

  • If you put questions in there, we'll have some time at the end of the webinar for me to respond to those questions.

    質問を書き込んでいただければ、ウェビナーの最後に私が質問に答える時間を設けます。

  • So if anything comes to mind as we're going through, please put them up.

    だから、もし何か思いついたら、それを載せてほしい。

  • Also, just to remind you, you do actually get a CPD point for this, so you will get a certificate for that.

    また、念のためお伝えしておきますが、CPDポイントを取得することができます。

  • It's always useful for your professional development, do a few webinars and you can make inroads into the amount you need to get through the year.

    ウェビナーを数回こなせば、1年を乗り切るのに必要な額を稼ぐことができる。

  • So we're going to go through several of the topics and again some of the slides are quite detailed and you'll have access to them.

    これからいくつかのトピックを見ていくが、スライドはかなり詳細なものなので、そちらをご覧いただきたい。

  • You may be going to read those later.

    後で読むことになるかもしれない。

  • So it's all about trying to explain to you what DORA is and how we're particularly looking at it, what it means for third party suppliers.

    つまり、DORAとは何か、私たちは特にDORAをどのように見ているのか、それがサード・パーティ・サプライヤーにとって何を意味するのかを説明しようということです。

  • So we'll go through all these different things and we will talk to them some in more detail than others.

    だから、いろいろなことに目を通し、いくつかのことについてはより詳しく話していくつもりだ。

  • So what's DORA got to do with ICT third party suppliers?

    では、DORAとICTサードパーティ・サプライヤーとの関係は?

  • Now DORA is the Digital Operational Resilience Act.

    現在のDORAはデジタル・オペレーショナル・レジリエンス法である。

  • It's a regulation.

    これは規則だ。

  • So to understand that, that means that it without need to go through parliaments, it's not a directive.

    つまり、議会を通さなくてもいいということだ。

  • So it doesn't have to go through 27 parliaments and be approved.

    だから、27の議会を通過して承認される必要はない。

  • And it's very specific in what it says needs to be covered by the regulation.

    そして、規制の対象とする必要があるものが非常に具体的に書かれている。

  • And they talk about financial entities and they describe what a financial entity is.

    そして、彼らは金融機関について語り、金融機関とは何かを説明している。

  • It's anything which is regulated, okay.

    規制されているものなら何でもいいんだ。

  • Few exceptions etc and all that, but basically anything.

    例外などほとんどないが、基本的には何でもある。

  • And then on the last line, it goes ICT third party suppliers.

    そして最後の行には、ICTサード・パーティ・サプライヤーとある。

  • So if you supply into a financial entity, which is in the European Union, you're going to be covered by DORA, okay.

    つまり、欧州連合(EU)域内の金融機関に供給する場合は、DORAの適用を受けることになります。

  • Even if you're not in the European Union, okay.

    欧州連合(EU)に加盟していなくても、大丈夫だ。

  • So if you're an ICT third party supplier and you're supplying into a financial entity in the European Union, you're covered by it.

    つまり、もしあなたがICTのサードパーティサプライヤーで、EU内の金融機関に供給しているのであれば、この規制の対象となります。

  • If you're a large organization, which is supplying services to a part of your organization, which is in the European Union, okay, you have to comply with the requirements of DORA.

    もしあなたが大組織で、EU域内にある組織の一部にサービスを供給しているのであれば、DORAの要件に従わなければなりません。

  • So if you're sitting there thinking, all right, so who's that?

    だから、もしあなたがそこに座って、よし、あれは誰だ?

  • Does that affect me?

    それは私に影響するのか?

  • This is not a definitive list, but this is because it doesn't actually say in there, what is an ICT third party supplier, but it builds up and gives you some sort of ideas on this.

    これは決定的なリストではないが、実際にはICTサード・パーティ・サプライヤーとは何かということは書かれていないからだ。

  • So it's people who are impacted, people who are delivering services.

    つまり、影響を受けるのは人々であり、サービスを提供する人々なのだ。

  • And it is specifically where I'll talk about on the next slide in more detail is that supporting critical important functions, right, or services that the financial entity provides.

    具体的には、次のスライドで詳しくお話ししますが、金融機関が提供する重要な機能をサポートすることです。

  • So there's a quick list there of some of the things.

    簡単なリストがある。

  • So if you actually look at it, it's very broad on what they mean by an ICT third party supplier.

    そのため、ICTサード・パーティ・サプライヤーが何を意味するのか、実際に見てみると非常に幅広い。

  • So, you know, GIC risk management providers, collaborative tool providers, desktop service providers, IT service providers, SOC service providers.

    つまり、GICリスク管理プロバイダー、コラボレーション・ツール・プロバイダー、デスクトップ・サービス・プロバイダー、ITサービス・プロバイダー、SOCサービス・プロバイダーなどだ。

  • So if you're working with a financial entity and you're providing any ICT services, you're probably going to be covered by the requirements of DORA.

    したがって、金融機関と連携してICTサービスを提供している場合は、おそらくDORAの要件に従うことになるでしょう。

  • And what do I mean by covered by the requirements of DORA?

    DORAの要件が適用されるとはどういう意味ですか?

  • The next slide gives you a bit of a feel for how the structure works and why it's important to think about where you are.

    次のスライドでは、どのような構造になっているのか、そしてなぜ現在地について考えることが重要なのかを少し感じていただきたい。

  • So this is a nice little, nice and colourful pyramid.

    だからこれは、小さくて素敵でカラフルなピラミッドなんだ。

  • And it just gives you a feel.

    そして、それは感覚を与えてくれる。

  • So at the top, we've got the EU Parliament, we've got the European Central Bank, we've got the supervisory authorities, the member states, they need to be enforcing this and making sure this happens.

    つまり、EU議会、欧州中央銀行、監督当局、加盟国、彼らがこれを施行し、確実に実施する必要があるのです。

  • And then they have things in their countries called national competent authorities.

    そして、各国には国内所轄官庁と呼ばれるものがある。

  • These are the guys who are going to make sure that financial entities are doing what they need to do with DORA.

    彼らは、金融機関がDORAでやるべきことをやっているかどうかを確認する人たちだ。

  • And then you have the financial entity.

    そして、金融機関がある。

  • And the financial entity needs to make sure that you're doing what they need to ensure that they are going to comply with DORA.

    そして金融機関は、DORAを遵守するために必要なことをしているかどうかを確認する必要がある。

  • Okay.

    オーケー。

  • So much so that DORA specifies certain things that need to be in the contractual requirements while dealing with third parties.

    そのため、DORAは第三者と取引する際の契約要件として、ある一定の事項を定めている。

  • And when you get into that particular, some of And if you think about it, if you've got third parties working for you who are providing your services to you, which is central to the services that you're providing a financial entity, you're going to have to manage your third party supply chain as well.

    また、金融機関に提供するサービスの中心である、サービスを提供するサード・パーティを雇っている場合、サード・パーティのサプライ・チェーンも管理しなければなりません。

  • And this is one of the very key things.

    これは非常に重要なことのひとつだ。

  • It's about improving resilience and operational resilience, not just within the financial entity, but within that supply chain, because there is an understanding of weakness.

    金融機関内だけでなく、サプライチェーン内でもレジリエンスとオペレーショナル・レジリエンスを向上させることだ。

  • And that more comes on to what we talk on the next section.

    そしてそれは、次のセクションで話すことにつながっていく。

  • So why does DORA exist and what is it?

    では、なぜDORAが存在し、DORAとは何なのか?

  • Okay.

    オーケー。

  • So this slide is the sort of slide, but when you've got it back and you can zoom it up, but it gives you the, you know, it's about a risk, systemic risk across financial services in the European Union.

    このスライドは、EUの金融サービス全体のシステミック・リスクに関するものです。

  • We all know that with, I mean, I'm old enough to remember when, you know, you had to be physically on a, in front of a machine with a cable coming out the back of it in the same building to get access to things.

    私たちは皆、そのことを知っている。つまり、私は、同じビル内にある、ケーブルが背面から出ているマシンの前に物理的にいなければアクセスできなかった時代を覚えているほど古い人間なんだ。

  • And we don't work in that world anymore.

    そして、私たちはもうそのような世界では働いていない。

  • We've got 24 seven access.

    24時間いつでもアクセスできる。

  • Everything is interrelated.

    すべては相互に関連している。

  • So there's so much interconnectivity within all sectors and within financial services that if you get a problem somewhere, it's multiple countries.

    そのため、あらゆるセクターや金融サービスにおいて相互接続性が非常に高く、どこかで問題が起きれば、それは複数の国に及ぶことになる。

  • So it's about building up and understanding this, where the resilience is, because, you know, it's so important that these functions from financial services operate.

    つまり、金融サービスのこれらの機能が機能することが非常に重要なのだ。

  • That's basically how economies don't work.

    経済がうまく機能しないのは基本的にそういうことだ。

  • Okay.

    オーケー。

  • And if you're an ICT third-party supplier in that chain, it's very important for you meeting those requirements.

    そして、もしあなたがそのチェーンにおけるICTサードパーティサプライヤーであるならば、これらの要件を満たすことが非常に重要だ。

  • So what was the key things and what they were talking about when they were developing this?

    では、これを開発する際に重要なこと、彼らが話していたことは何だったのだろうか?

  • DOOR sets out a harmonized approach to digital operational resilience across the EU's financial sector.

    DOORは、EUの金融セクター全体におけるデジタル・オペレーショナル・レジリエンスの調和されたアプローチを定めている。

  • So everybody has to do it.

    だから誰もがやらなければならない。

  • Okay.

    オーケー。

  • Level playing field.

    公平な競技場。

  • It's not like somebody in one legislation doesn't have to do the same.

    ある法律で誰かが同じことをしなくてもいいというわけではない。

  • It's why it's a regulation and not a directive, because it doesn't need to go through national law or national parliaments.

    国内法や国内議会を通過する必要がないため、指令ではなく規則となっているのだ。

  • This is what people need to do.

    これこそ、人々に必要なことなのだ。

  • And it's been around since 22.

    22年からあるんだ。

  • Okay.

    オーケー。

  • It's not just like appeared recently.

    最近登場したようなことだけではない。

  • Okay.

    オーケー。

  • It's been around since December 2022.

    2022年12月からある。

  • And it harmonizes, removes, you know, certain directives, etc.

    そして、特定の指令などを調和させたり、削除したりする。

  • As it's a regulation, it supersedes the requirements of the NIST directive and NIST 2.

    これは規則であるため、NIST指令およびNIST 2.の要求事項に優先する。

  • And it sets out certain things expected by financial entities.

    そして、金融機関に期待される一定の事項を定めている。

  • And this will be new for many service providers.

    そして、これは多くのサービス・プロバイダーにとって新しいことだろう。

  • Okay.

    オーケー。

  • So you may be doing some of these things, but this is not a tick box.

    だから、あなたはこれらのことをやっているかもしれないが、これはチェックボックスではない。

  • Okay.

    オーケー。

  • This is about operational resilience.

    これは作戦の回復力に関するものだ。

  • So this is about financial entities being able to provide their services when bad things are happening to them.

    つまり、これは金融機関が自分たちに不都合なことが起こったときに、サービスを提供できるようにするためのものだ。

  • Okay.

    オーケー。

  • I describe it in one simple way, and we'll go into more detail of this, is if you think about incident management, business continuity, and disaster recovery, which you all probably do, but the volume's turned up on it, it's taking it to the next level.

    インシデント管理、事業継続、ディザスターリカバリーについて考えてみると、おそらく皆さんもそうだと思いますが、そのボリュームを大きくすることで、次のレベルに引き上げているのです。

  • Okay.

    オーケー。

  • And it's definitely not tick box.

    そして、それは間違いなくティックボックスではない。

  • You have to do things.

    やらなければならないことがある。

  • And they're very specific in what they require.

    そして、彼らが要求するものは非常に具体的だ。

  • So the regulation covers certain things.

    だから、このレギュレーションは特定のものを対象としている。

  • So ICT risk management, everything is driven by risk.

    だからICTのリスク管理は、すべてがリスクによって動いている。

  • What are the risks to the organization?

    組織にとってのリスクは何か?

  • What are we doing about this?

    私たちはこの件に関して何をしているのか?