先駆的サイバー防御を活用したDORA法の攻略：Silent Pushのソリューション

デジタルオペレーショナルレジリエンス法（DORA）※は、EUの金融セクターにおけるパラダイムシフトを体現するような法令です。もはや事後対応型のセキュリティ体制では、十分とは言えません。DORAでは、ICTリスクを管理しデジタルオペレーショナルレジリエンスを確保するための包括的かつ先制的、かつ検証可能なフレームワークの導入が義務付けられているのです。

（※訳者注）DORAは金融システムのサイバーセキュリティ上の安定性維持を狙った法令であり、2023年1月16日に公布、2025年1月17日から全面的に適用されています。主要な課題として「金融セクターの依存先ICTサービスに由来するサプライチェーンセキュリティリスクへの対策」に注目した内容となっており、金融セクターを適用対象としつつ、金融機関だけでなく、その運営に不可欠なICTサービスを提供するサードパーティープロバイダーにも適用されています。日本の企業であっても、EU内に拠点を有している金融機関や、EUの金融機関に対してICTサービスを提供している日本企業は同法の適用対象となります。（参考：IPA「情報セキュリティ白書2025」、p197-198）

DORA対応において障壁となるのは何か？それは、従来のセキュリティツールの多くが、すでに発生した攻撃の証拠であるIoC（侵害の兆候）に対応するよう設計されているという点です。

一方でDORAが適用対象となる組織に要求しているのは、脅威が実際に猛威を振るう前にこれを特定できるよう、「攻撃発生前の段階」での対策へ移行することです。これはまさに、Silent Pushが提案する「将来攻撃指標（IOFA）™」の中核原則と重なります。IOFAとは、準備段階にある敵対者のインフラを特定する、プロアクティブなサイバー防御モデルです。

※関連記事：「将来攻撃指標（IOFA）™とは？」

Silent Pushのプラットフォームは、このIOFAを中核とするモデルに基づいて構築されています。本記事では、当社のプラットフォームの機能をDORAにおける「5つの柱」へどう直接的に対応づけることができるのかを解説します。このマッピングにより、ユーザーの皆様は「真のプロアクティブなレジリエンス」を実現するためのツールを手にすることが可能です。

ここからは、その具体的な手順について掘り下げていきましょう。

※本記事は、マキナレコードが提携するSilent Push社のブログ記事『Mastering DORA’s Five Pillars with Preemptive Cyber Defense』（2025年11月5日付）を翻訳したものです。

こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。

Silent Pushについて

Silent Pushは、先駆的なサイバーセキュリティインテリジェンス企業です。リアルタイムで新たに出現する脅威インフラを完全に把握し、独自の将来攻撃指標（IOFA）データを通じて、攻撃を効果的に阻止します。Silent Pushは、スタンドアロンのプラットフォームとして提供されるだけでなく、APIを通じてSIEM、XDR、SOAR、TIP、OSINTを含むさまざまなセキュリティツールと統合し、自動化された実行可能なインテリジェンスを提供します。顧客には世界最大規模の企業や政府機関が含まれています。

DORAの柱①：ICTリスク管理（IRM）

DORAの要求事項：DORAの適用対象組織は、あらゆる脅威や脆弱性を含むICTリスクの全発生源を特定・測定・管理・監視することを求められています。

Silent Pushのソリューション：Silent Pushは、セキュリティを事後対応型（IoC）から先制型（IOFA™）のモデルへと根本的に転換します。構築されている最中ながらもまだ武器化されていない段階の攻撃者インフラに着目することで、組織は攻撃ライフサイクルの可能な限り早い段階で介入し、ICTリスクを最小限に抑えることができるようになります。

主な機能の活用例：

• 脆弱性の特定と管理：Silent Pushのソリューションは、ダングリングDNSレコードの早期発見と対策を可能にします。無効なリソースを指し示すこれらの古くなったエントリは、サブドメインの乗っ取りのために脅威アクターに悪用されることがあります。Silent Pushプラットフォームのエンタープライズ版をご利用のお客様は、ダングリングDNSのクエリを自動化し、新たな脆弱性の発生を継続的に監視することができます。

• ICTリスクの継続的監視：Silent Pushは、IPv4およびIPv6全範囲にわたるスキャンと強制解決を毎日実施することで、インターネットに接続されたお客様のインフラ全体の視認性を常に維持します。Silent Pushは各ドメインとIPのデータに広範なコンテキスト情報を付与してエンリッチメントを行い、150以上の異なる検索パラメータを提供しています。

• リスク評価と優先順位付け：各ドメイン、IP、URLには、完全なコンテキストデータと共にリスクスコア（0～100）が割り当てられます。これにより、アナリストは脅威フィードに登録されているかどうかやネームサーバーの評判の低さなど、リスクスコアに影響を与える要因を理解しつつ、リスクレベルを即座に評価することができます。

• 敵対者の手法追跡（TTP）：攻撃者インフラの変動に関する指標（IPの多様性、ASNの多様性、ネームサーバーの変更など）を、時系列で容易に追跡することができます。このような追跡は、高度な敵対者が使用する極めて変動性の高いインフラや、Fast Fluxと呼ばれる手法を検知する上で極めて重要です。

DORAの柱②：ICT関連インシデントの管理、分類、報告

DORAの要求事項：重大なICT関連インシデントを迅速に検知・管理・分類・通知するための手順を確立することが求められています。

Silent Pushのソリューション：インシデント対応にはスピードとコンテキストが不可欠です。だからこそ当社では、IR（インシデント対応）と脅威ハンティングのワークフローを加速させるために必要なデータエンリッチメントおよび統合ツールを提供し、検知をより迅速に、分析をより深く、また対応を自動で実施できるように支援しています。

主な機能の活用例：

• 一点集中型のインシデントデータ分析：当社のTotal View機能により、1つのネットワーク指標に関連するすべてのデータポイント（DNSレコード、WHOIS、リスクスコア、Webスキャンデータ）が単一の画面にまとめて表示されます。この一点に集中化されたデータにより、対象項目のリスクレベルを可能な限り容易に判断できるようになっています。

• リアルタイムデータによるフォレンジック支援：当社のツール「Live Scan」は、IPアドレス・URL・ドメインのオンデマンドスナップショットを安全なサンドボックス環境で提供します。これはフィッシングキャンペーンなどの進行中のインシデントを調査している際に、極めて高い効果を上げます。

• 統合と自動化されたインシデント対応：APIファースト企業（250以上の統合用エンドポイントを提供）である当社のデータは、自動化されたワークフロー向けに構築されています。IOFA™フィードは、相関分析のためのSIEMやSOARプラットフォーム（Splunk SOAR、Tines、XSOARなど）とシームレスに連携し、脅威対応を自動化します。

• 特定の脅威TTPの追跡：当社のWeb Scannerは、150以上のパラメータ（当社独自のハッシュを含む）に基づき、過去およびリアルタイムのコンテンツデータに対して詳細なクエリを実行し、DNSデータ・Open Directoryデータ・WHOISデータ・その他のデータソースといった分散した情報を単一のツールで検知することができます。これにより、攻撃者インフラの挙動に関する固有のフィンガープリントを作成し、悪意のある活動パターンを長期にわたり確実に追跡することが可能になります。

DORAの柱③：デジタルオペレーショナルレジリエンステスト

DORAの要求事項：ICTシステムに対する包括的なテストの実施が義務付けられています。これには、脆弱性評価および実際の高度な脅威シナリオに基づいたテスト（TLPT）が含まれます。

Silent Pushのソリューション：テストを効果的なものにするには、高品質なインテリジェンスが不可欠です。当社は、レジリエンステストの範囲定義、現実環境における弱点の特定、および修復への取り組みの検証に必要とされる、実用的な脅威インテリジェンスと脆弱性データを提供します。

主な機能の活用例：

• 脆弱性評価と修復措置のテスト：当社では、特にダングリングDNSレコードなどのDNSベースの脆弱性を特定することで、インフラチームに明確で実行可能な修復手順を提供しています。これにより、お客様は自組織のアタックサーフェスにおけるダングリングDNS関連の脆弱性に対処することができるほか、その修復措置を当社のプラットフォームで検証することも可能です。

• 高度な脅威シナリオに基づいたテスト（TLPT）：当社ではFast Fluxなどの高度な回避戦術を追跡しているため、お客様には脅威シナリオの設計に不可欠なコンテキストと知見が提供されます。これにより、現実の攻撃者が使用する変化の絶えないインフラに対し、自組織の耐性がどれくらいあるのかを評価できるようになります。

• DNSフットプリントのマッピング：自組織のルートドメインに関連するすべてのサブドメインを列挙し、ワイルドカードサブドメインレコードを強調表示することができます。この包括的なインベントリは、レジリエンステストが自組織のDNSフットプリント全体を確実にカバーできるようにする上で不可欠です。

• 攻撃演習の支援：当社のデータは、それ自体が攻撃シミュレーションツールであるというわけではないものの、レッドチームとパープルチームにとって極めて有用です。公開状態になっているインフラと重大な脆弱性を可視化し、それらをテスト目標の設定や発見された内容の検証に活用できます。さらに当社は、攻撃チームが自組織のインフラのフットプリントを理解するための支援も行います。

DORAの柱④：ICTサードパーティリスク管理

DORAの要求事項：適用対象の組織には、サードパーティのICTサービスプロバイダーおよびサプライチェーンから生じるリスクを管理することが要求されています。

Silent Pushのソリューション：組織のアタックサーフェスは、サプライチェーン全体に及びます。当社は外部サービスへの依存関係（「シャドーIT」）を可視化し、信頼するサードパーティプロバイダーを装う、または侵害する脅威を検知するツールを提供します。

主な機能の活用例：

• サードパーティ依存関係の可視化：「シャドーITの発見」クエリは、自組織のドメインに関連付けられている可能性のあるサードパーティサービスのリストを提供します。これは、プロビジョニング解除されたサービスや管理対象に入っていないサービス、また制御されていない外部サービスがもたらすリスクを管理する上で極めて重要です。

• サプライチェーン上の脅威の監視：当社ではCRMやメール配信サービス（Mailchimp、SendGridなど）などの重要なサードパーティシステムを狙う攻撃キャンペーンを積極的に追跡しており、これによりお客様のパートナー企業が何らかの攻撃で悪用されていないかどうかを確認できるようになっています。

• ブランド保護となりすまし対策：脅威アクターが信頼されたサービスを装うブランドなりすましキャンペーン（例：偽のOktaログインページを使ったものなど）を検知し、サードパーティリスクを軽減します。類似ドメインやコンテンツベースのなりすまし（ファビコンやHTMLタイトルを一致させたものなど）を検索することで、これらの脅威を発見します。

• 外部委託インフラのリスク監視：Silent Pushは、「インフラロンダリング」の隠れたリスクを暴きます。サイバー犯罪者がどのように大手クラウドプロバイダー（AWSやAzureなど）を悪用し、フィッシングや詐欺を支える大規模な活動を隠蔽しているのかを追跡します。

DORAの柱⑤：情報共有・伝達

DORAの要求事項：DORAでは業界全体のデジタルレジリエンスを向上させるため、金融機関の間でサイバー脅威に関する情報やインテリジェンス（CTI）を共有することを奨励しています。

Silent Pushのソリューション：当社のプラットフォームが提供する中核的な成果物の1つが、高精度かつ実用的な脅威インテリジェンスです。このインテリジェンスは構造化されており、組織内外のパートナーと容易に共有・運用できるようになっています。

主な機能の活用例：

• 実用的な脅威情報の交換：当社はエンタープライズ版をご利用のお客様向けに、高精度の将来攻撃指標（IOFA™）フィードを提供しています。これらは精選されたドメインやIPのリストで、攻撃開始前に脅威アクターが構築したインフラに着目したものであるため、プロアクティブなブロッキングや情報共有に最適です。

• 透明性と詳細なレポーティング：当社のIOFA™フィードには、詳細なTLP:Amberレポートが付随しています。お客様のチームはこれを参照することで、根拠・分析手法・敵対者の手口をすべて把握でき、提供されるインテリジェンスの背後にある「なぜ」を理解したうえで、パートナーにも自信を持って共有することができます。

• データ交換のための技術的手段：当社はAPIファースト の企業として、すべてのデータにAPIを通じて容易にアクセスできるようにしています。この仕組みにより、TIP・SIEM・SOARなどのプラットフォームへ自動で取り込み・共有を行うことのできるシームレスな統合が実現しています。さらに、お客様自身のデータを取り込み、管理や調査に活用することも可能です。

• 外部組織との協働：当社は外部パートナーとも積極的に連携しており、法執行機関とのリサーチ共有に加えて、世界経済フォーラム（WAN）が主催する「サイバー犯罪アトラス（Cybercrime Atlas）」などの団体と協力し、国境を越えたサイバー犯罪インフラの追跡と停止に取り組んでいます。

単なる要求事項への準拠から「熟達」へ

DORAは、単なるコンプライアンス要件にとどまらず、より強固で先を見据えたセキュリティアプローチを推進する法令です。

これを実現するには、侵害に「対応する」姿勢から、攻撃を「先制的に防ぐ」姿勢へと根本的に転換する必要があります。

Silent Pushは将来攻撃指標（IOFA™）にフォーカスすることで、脆弱性のプロアクティブな特定・インシデント対応の迅速化・テストの検証・サプライチェーンの保護・実用的なインテリジェンスの共有といった能力を提供します。これは組織が単にDORAの要件を満たすだけでなく、デジタルオペレーショナルレジリエンスを本質的に習得するための基盤となります。

DORAが要求するプロアクティブなセキュリティという方針に自社の態勢を合わせたいとお考えの場合は、ぜひ当社プラットフォームの専門家によるデモをご体験ください。

※日本でのSilent Pushに関するお問い合わせは、弊社マキナレコードにて承っております。詳しくは、以下のフォームからお問い合わせください。