メインコンテンツへスキップ
Diditが750万ドルを調達、本人確認と不正対策のインフラを構築
Didit
ブログ一覧へ
ブログ2026年5月21日

NIS2とDORA:重要インフラにおける本人確認の強化 (JA)

NIS2は重要分野全体のサイバーセキュリティを強化し、DORAは金融サービスに対して同様の強化を求めます。どちらも厳格な本人確認、アクセス制御、サードパーティリスク管理を要求しており、Diditがどのように適合するかを説明します。.

By Didit更新日
nis2-dora-identity-proofing.png

2つのEU規制が、必須組織と金融組織が自らを守る方法を再構築しています。NIS2(第2次ネットワークおよび情報セキュリティ指令)は、エネルギー、運輸、健康、デジタルインフラなど、重要かつ重要なセクター全体のサイバーセキュリティ基準を引き上げます。DORA(デジタルオペレーショナルレジリエンス法)は、特に金融セクターに対して同様の措置を講じ、情報通信技術(ICT)のリスクと、金融機関が依存するサードパーティに焦点を当てています。

これらは異なる角度から問題に取り組んでいますが、同じ管理策に集約されます。つまり、誰がアクセス権を持っているかを知り、身元を厳格に証明し、ベンダーがもたらすリスクを管理することです。本人確認は、これら3つの中心に位置しています。この投稿では、NIS2とDORAが何を要求しているのか、なぜIDが重要なのか、そしてDiditが(検証エンジンとして、また認証済みベンダーとして)それらを満たすのにどのように役立つのかを説明します。

主なポイント

  • NIS2は、必須および重要セクター全体にわたるリスク管理措置、強力なアクセス制御、およびサプライチェーンのセキュリティを義務付けています。
  • DORAは、ICTサードパーティプロバイダーの登録簿とベンダーリスクの厳格な管理を含む、金融サービスにおけるICTリスクを管理します。
  • 両規制は、本人確認とアクセス制御に大きく依存しています。「この人物は誰か?」という信頼できる答えなしには、システムを保護することはできません。
  • Diditは、従業員、契約者、および価値の高い顧客のオンボーディングのために、高信頼性の本人確認(書類検証、NFC、生体検知、生体認証顔照合)を提供します。
  • ICTサードパーティとして、Diditは具体的な認証によってベンダーリスクの負担を軽減します。具体的には、SOC 2 Type 1(ATOM、2026年4月9日現在)、ISO/IEC 27001:2022(Bureau Veritas、認証番号 ES144068、2027年6月3日まで有効)、およびiBeta Level 1 PADです。
  • Webhook駆動の監査証跡(status.updateddata.updated)は、両規制が期待する証拠を提供します。

規制が要求するもの

NIS2は、元の指令の範囲をはるかに多くのセクターに拡大し、義務を強化しています。その中核的な要件には、リスクに比例したサイバーセキュリティリスク管理措置、インシデント処理と報告、事業継続計画、そしてIDにとって重要なこととして、アクセス制御ポリシー、多要素認証または継続的認証の適切な使用、および直接サプライヤーとサービスプロバイダーのセキュリティを考慮したサプライチェーンセキュリティが含まれます。経営陣は責任を負い、管理が不十分な場合には監督当局が介入できます。

DORAは、金融機関とそのICT障害に対する回復力に焦点を当てています。ICTリスク管理、インシデント報告、デジタルオペレーショナルレジリエンステスト、情報共有、およびICTサードパーティリスク管理の5つの柱にわたる要件を設定しています。最後の柱は、すべてのベンダーに関わるものです。金融機関は、すべてのICTサードパーティ契約に関する情報登録簿を維持し、関係の開始前および期間中にプロバイダーがもたらすリスクを評価し、契約および監督規定が整っていることを確認する必要があります。強力なIDとアクセス制御は、リスク管理とレジリエンステストの柱を支えています。

共通のテーマは、システムにアクセスする人々のIDと、チェーン内のベンダーのIDを確実に確立できなければ、運用上の回復力やネットワークセキュリティを実証できないということです。

なぜそれが重要なのか

重要インフラは、攻撃者が最も集中する場所であり、その理由は被害範囲が最大だからです。NIS2とDORAが存在するのは、規制当局が単一のサプライヤーでのインシデントが停電、侵害、およびシステムリスクに連鎖するのを目の当たりにしてきたためです。罰則はそのことを反映しており、多額の罰金、経営陣の責任、および監督当局の介入が含まれます。

特にIDに関しては、2つの失敗モードが繰り返されます。1つ目は、弱い証明です。不正なIDやなりすましIDがオンボーディングやアカウントリカバリを通過し、後にアクセス制御の失敗につながるものです。2つ目は、管理されていないサードパーティリスクです。自身のセキュリティ体制を証明できないベンダー(IDプロバイダーなど)に依存することです。両方の規制は、これらのギャップを埋め、それを実行したことを証明する記録を保持することを強制します。

Diditが役立つ方法

Diditは、NIS2とDORAの下で、ID方程式の両側面に対応します。

本人確認レイヤーとして:

  • 顧客、従業員、契約者のオンボーディングのための高信頼性検証:14,000種類以上の書類に対応する書類検証(0.15ドル)、NFCチップ読み取り(0.15ドル)、パッシブ(0.10ドル)およびアクティブ(0.15ドル)な生体検知、顔照合1:1(0.05ドル)。
  • 攻撃耐性のある生体認証 — iBeta Level 1(ISO/IEC 30107-3)に準拠したプレゼンテーション攻撃検出テストで、360回の試行で攻撃成功率0% — アクセス制御ポリシーが依拠すべき証拠の種類です。
  • 規制された関係が必要とする場合のAMLおよび制裁スクリーニング(0.20ドル、1,300以上のリスト)および継続的な監視(年間0.07ドル/ユーザー)。
  • ローコードのワークフロービルダーを介した構成可能なオーケストレーションにより、リスクに比例した管理を適用できます。

認証済みICTサードパーティとして — DORA登録およびNIS2サプライチェーン義務を軽減:

  • ATOMによるSOC 2 Type 1認証は、セキュリティ、可用性、機密性をカバーし、2026年4月9日現在(完全なレポートはNDAに基づく制限付き使用)。
  • Bureau VeritasによるISO/IEC 27001:2022認証、認証番号 ES1440682027年6月3日まで有効 — 認証された情報セキュリティ管理システムの配布可能な証拠。
  • iBeta Level 1 PAD準拠レター — 生体認証制御保証のための配布可能資料。

これらは、調達およびリスクチームがICTサードパーティ登録におけるプロバイダーとしてDiditを評価する際に必要とする成果物を提供します。

詳細:DORAサードパーティ登録におけるID

DORAの下では、すべてのICTサードパーティ契約は、監督者が要求できる情報登録簿に記録されます。各プロバイダーについて、それがサポートする機能、その機能の重要度、およびプロバイダーがもたらすリスクを、証拠に基づいて理解することが求められます。

プロバイダーが本人確認ベンダーである場合、Diditが提供できるのはまさに望ましい証拠です。つまり、その制御の設計を記述した独立したSOC 2認証、管理された情報セキュリティシステムを証明するISO/IEC 27001証明書、およびなりすまし対策の性能を定量化した生体認証iBetaの結果です。これらをDiditのWebhook駆動の監査証跡(すべての検証のライフサイクルを記録するstatus.updatedおよびdata.updatedイベント)と組み合わせることで、登録簿のためのベンダーレベルの保証と、レジリエンステストおよびインシデント調査のためのトランザクションレベルの記録の両方を得ることができます。

この組み合わせにより、リスク項目になる可能性のあるベンダーが、デューデリジェンスサイクルを短縮するベンダーへと変わります。

ユースケース

  • DORA ICTサードパーティリスクを本人確認スタックについて評価する銀行、EMI、および決済機関
  • DORAの金融セクター範囲に属する暗号資産サービスプロバイダー
  • NIS2の下でアクセス制御とサプライチェーンセキュリティを強化する必須サービスの運営者(エネルギー、運輸、健康、デジタルインフラ)。
  • 顧客のために展開するIDツールのセキュリティを証明しなければならないマネージドサービスプロバイダー

よくある質問

NIS2とDORAは同じ組織に適用されますか?

厳密には違います。NIS2は多くのセクターの必須および重要エンティティをカバーし、DORAは金融エンティティとそのICTプロバイダーをカバーします。多くの金融組織は両方に該当し、管理策は大きく重複しています。

本人確認はこれらの規制によって実際に義務付けられていますか?

これらの規制は、強力なアクセス制御、リスク管理、およびサードパーティの監督を要求しています。信頼できる本人確認は、これら3つすべてにとって基礎となるものです。それがなければ、アクセス制御を強制したり、ベンダーのユーザーを審査したりすることはできません。

DORAのICTサードパーティ登録簿に対してDiditは何を提供しますか?

Diditは、SOC 2 Type 1、ISO/IEC 27001:2022(認証ES144068)、iBeta Level 1 PADの証拠、およびWebhookベースの監査証跡を提供できます。これらは、リスクチームがDiditをプロバイダーとして評価し文書化するために必要な成果物です。

DiditのSOC 2はType 1ですか、Type 2ですか?

Type 1認証です(2026年4月9日現在の制御の設計)。Type 2の審査は計画中です。完全なレポートは制限付き使用であり、NDAの下で共有されます。

ISO 27001証明書を社内共有のために取得できますか?

はい。ISO/IEC 27001:2022証明書(Bureau Veritas、認証番号 ES144068)は、ご要望に応じて配布可能です。

始めましょうか?

トラストハブでDiditの認証とセキュリティ体制を確認し、ID検証製品を探索し、価格ページで透明な料金を確認してください。準備ができたら、無料で開始してください。毎月500回の無料KYCチェックと、コア検証フローが0.33ドルから利用できます。

本人確認と不正対策のインフラ。

KYC、KYB、取引監視、ウォレットスクリーニングを一つのAPIで。5分で統合できます。

無料で始めるお問い合わせ
AIにこのページの要約を依頼する
NIS2 + DORAにおける本人確認 | Didit.