紫色の六角形のパターン
詳細を見る

デジタルオペレーショナルレジリエンス法(DORA)を理解する

デジタルオペレーショナルレジリエンス法(DORA)が到来しました。 このガイドでは、DORAとは何か、なぜ重要なのか、DORAの要件を満たすにはどうすればよいのかなど、DORAの基本を解説します。

DORAとは?

デジタルオペレーショナルレジリエンス法は欧州連合(EU)の規制で、金融機関とその情報通信技術(ICT)パートナーがサイバーリスクを管理する方法を対象としています。 これは、拘束力のある監視の枠組みを構築し、EUの金融機関とそのサービスプロバイダーがICTシステムに導入しなければならない技術基準を定めるものです。

DORAの歴史

欧州委員会は2020年9月にDORAを提案し、2年後に欧州議会がこれを可決しました。 そして2024年1月17日、欧州銀行監督機構(EBA)、証券市場庁(ESMA)、保険・職業年金機構(EIOPA)が最終的な技術基準を公表しました。 DORAは同日、正式に発効されました。

現在、EUの金融機関およびICTサービスプロバイダーは、2025年1月17日までにDORAの要求事項を遵守しなければなりません。 それまでに、EUの各加盟国がコンプライアンス(法令遵守)の強制を始めるでしょう。 「所轄官庁」と呼ばれる指定された規制当局は、企業に対し、特定のセキュリティ対策を講じ、既知の脆弱性を是正するよう要請することができます。

同様に、コンプライアンス違反に対する罰則も厳しくなります。 例えば、欧州委員会が「重要」と判断したICTサービスプロバイダーは、「主任監督者」によって監督されます。 これらの組織は、コンプライアンスに違反したプロバイダーに対し、前事業年度の全世界における1日あたりの平均売上高の1%を上限とする罰金を科すことができます。

サイバーレジリエンスとは何か?

DORAは、規制対象の金融機関の「サイバーレジリエンス」を強化することを目的としています。 この用語は、データ漏洩やサイバー攻撃などの混乱の中で、業務の完全性と事業継続性を維持する組織の能力を包含します。

ICTシステムが消費者の資金アクセスや管理に重要な役割を果たしている金融セクターでは、継続性が特に重要です。 ESMAによると、金融サービスは日々の業務を遂行する上で、デジタル技術に大きく依存するようになっています。 その結果、サイバーリスクは飛躍的に増大しました。

実際、単一のICTインシデントでさえ、重要インフラに大きな波及効果をもたらす可能性があります。 適切に管理されない場合、リスクは金融サービスの提供に支障をきたし、他の事業体やセクター、さらには欧州経済全体にまで影響を及ぼしかねません。

ある投資銀行のサードパーティトレーディングプラットフォームが、サービス妨害攻撃を受けてオフラインになるシナリオを想像してみてください。 これはエンドユーザーの体験を混乱させるだけでなく、クライアントに多大な市場負担を強いることになりかねません。

さらに問題を複雑にしているのは、地政学的な出来事が、金融サービスを標的にした国家的な攻撃者や不正なハクティビストを生み出していることです。 例えば、ウクライナにおけるロシアの戦争は、親ロシア派のサイバー犯罪者が2023年に欧州投資銀行のネットワークインフラを攻撃するきっかけになりました。 幸いなことに、この事故によるウェブサイトへの影響は短期間にとどまりました。

DORAが重要な理由は?

金融サービス業者は危険にさらされています。 DORAは、2つの方法でサイバー耐性を強化することを目指しています:

  1. 金融機関のICTリスク管理への大規模対応
  2. リスク管理規制を一つのまとまった枠組みに調和させる

これまでEUの規制は、金融機関がオペレーショナルリスクや混乱をカバーするのに十分な資本を確保することに主眼を置いていました。 ICTリスク管理に関するガイドラインを発表した規制当局もありましたが、すべての企業に同じように適用されるわけではありませんでした。 しかも、それらは技術的な標準ではなく、一般的なベストプラクティスに基づいていました。

統一された監視の枠組みがないため、EU加盟国はそれぞれ独自の要件を発表していました。 その結果、国境を越えた企業が簡単に通り抜けることのできない、バラバラな規制の迷路が生まれました。

DORAは、EUのどこで活動するかに関係なく、すべての対象事業体に対して1セットの規則を適用することで、この問題を解決しています。 金融セクターのリスク管理を調和させることで、DORAは混乱を最小限に抑え、ICTセキュリティと事業継続の水準を引き上げます。

どのような組織がDORAの要件に従わなければならないのか?

DORAが最も直接的に影響を与えるのは、EU域内で金融サービスを提供する組織です。 これには銀行、信用組合、投資会社、保険会社、その他の金融機関が含まれます。 しかし、その範囲はそれだけにとどまりません。

ICTサービスプロバイダーもDORA遵守の対象となります。 言い換えれば、EUの金融部門にICTシステムを提供するテクノロジー企業は、その規制を遵守しなければならないということです。 DORAのもとでは、EU域外に本拠を置きながらEU域内で事業を行っているICTプロバイダーも含まれます。 

例えば、貴社が米国に拠点を置き、オーストリアの顧客にクラウドサービスとデータ分析を提供しているとしましょう。 この場合、貴社は効果的なガバナンスを促進するために、EU域内に子会社を設立する必要があります。

プライスウォーターハウスクーパース(PwC)によると、22,000以上の金融会社とICTサービス事業者にDORAが適用されます。

DORAコンプライアンスの5つの柱

DORAの包括的な枠組みは5つの柱で構成されています。 それぞれがサイバーレジリエンスとリスク管理の異なる側面に対処していますが、組み合わせれば、強固で安全な金融セクターの基盤を形成することになります。

1. ICTリスク管理とガバナンス

第 5 条により、経営機関は、その事業ニーズ、規模、複雑性に見合ったレベルで、サイバーリスクを軽減し、業務上の回復力を確保することを可能にする「健全で、包括的で、十分に文書化された」ICTリスク管理の枠組みを実施する責任を負います。 これを怠ったリーダーは、コンプライアンス違反の責任を個人的に問われる可能性があります。

大まかに言えば、組織はICTインシデントが発生した場合に事業継続を維持するためのシステムを整備することが求められます。 リスク管理の枠組みには、物理的な構成要素やデジタルインフラを不正アクセスや損害から保護するための戦略、方針、手順、ツールを含める必要があります。

さらに、企業には以下のことが求められます:

  • ICTシステムをマッピングし、重要な資産、機能、プロバイダー間の依存関係を特定する。
  • ICTシステムのリスク評価を定期的に実施し、サイバー脅威を文書化、分類、計画する。
  • 深刻なディスラプションがオペレーションにどのような影響を与えるかを理解するために、ビジネスインパクト分析を行う。
  • IDおよびアクセス管理(IAM)ツールや自動脅威検知システムなど、適切なサイバーセキュリティ対策を導入する。

サイバー攻撃、サービス障害、自然災害に対する事業継続計画および災害復旧計画を策定する。 過去の出来事から学び、継続的な改善を推進するために、事故後のレビューを完了する。

2. インシデント報告

第15条は、金融機関に対して、ICT関連のインシデント管理プロセスを確立し、実施することを求めています。 具体的には、組織はインシデントを可能な限り迅速に検出、緩和、報告するための早期警告システムを導入しなければなりません。 また、インシデントの発生中および発生後の監視プロセスを確立し、チームがその根本原因を特定して根絶できるようにすることも求められます。

また、第16条から第20条によれば、組織は次を行う必要があります:

  • ICT関連インシデントを、さまざまな影響レベルに適用される基準で分類する。
  • 監督当局にインシデントを報告するための共通のテンプレートまたは手順を作成する。
  • 重大なインシデントが発生した場合、その影響を軽減するために使用されているすべての手段に加えて、エンドユーザおよび顧客に遅滞なく報告する。
  • 営業日終了後、または翌営業日開始後4時間以内(前営業日終了後2時間以内に発生した場合)に事象を報告する。

特に、DORAは3種類の報告書を提出することを義務付けています:

  1. 当局に通知するための最初の報告書
  2. 事故解決に向けた進捗状況を伝える中間報告書
  3. 事故の根本原因とその解決方法を分析した最終報告書

3. デジタルオペレーショナルレジリエンステスト

DORAは、レジリエンステストに関するいくつかの基本要件を定めています。 テストを実施することで、組織はICT関連のインシデントに対する備えを評価し、脆弱性を検出し、是正措置を実施することができます。

第21条により、事業体は以下を行わなければなりません:

  • 企業の規模、事業内容、リスクプロファイルに見合った検査プログラムを確立する
  • さまざまな評価、テスト、方法論、ツールを持つ
  • 進化するICTリスクを考慮したリスクベースのアプローチに従う
  • 独立した第三者による試験の実施
  • 発見されたすべての問題や脆弱性の優先順位付け、分類、完全な改善
  • すべての重要なICTシステムとアプリケーションを少なくとも年1回テストする

さらに、第23条は、金融機関は少なくとも3年ごとに脅威主導の侵入テストを実施すべきであると述べています。 これは、重要な機能やサービス(サービスプロバイダーにアウトソーシングされたものを含む)を支える基本的なICTプロセスなど、より高いレベルのリスクエクスポージャーに対処することを目的としています。

4. 第三者リスク管理

DORAは、金融機関が契約交渉の際に、第三者のリスク状況を積極的に管理し、オペレーショナルレジリエンスを念頭に置くことを期待しています。 具体的には、DORAは第三者のリスク管理に関して以下のルールを定めています:

  • 金融機関は、第三者のICTサービスプロバイダーとの契約上の合意に関連する情報の登録簿を保管しなければなりません。
  • 企業は、ICTサプライヤーとの新規契約件数について、少なくとも年1回、所轄当局に報告しなければなりません。
  • 企業は、契約を評価する際に、関連するすべてのリスクと潜在的な利益相反を特定することにより、デューディリジェンスを実践すべきです。 また、撤退戦略、監査、アクセシビリティとセキュリティに関するパフォーマンス目標などの条件も交渉しなければなりません。
  • 金融機関とICTサードパーティサービスプロバイダーの権利と義務は、割り当てられ、両者がアクセス可能な書面に定められるべきです。 
  • 重要なICTプロバイダーは、関連監督当局の直接監督を受けます。

同規則によれば、事業体は適切な技術基準を満たさないICT企業との契約を禁じられています。 所轄官庁は、これに従わない協定を停止または解除することさえあります。

5. 情報共有

DORAは、厳密には指示していませんが、信頼できる金融機関同士の協力も奨励しています:

  • ICT関連リスクに対する認識を高める
  • ICT脅威ベクトルの拡散を最小限に抑える
  • 防御技術、緩和戦略、脅威インテリジェンスの共有

DORA vs. NIS 2

DORAは、サイバーレジリエンスとデジタルセキュリティに関連するいくつかのEU指令のひとつです。 改正されたネットワークと情報システム(NIS 2)規則は、DORAのコンプライアンスと大きく重複しているため、どのガイドラインに従わなければならないのか疑問に思う人もいるかもしれません。

2023年9月、欧州委員会は、この2つの法律の関係を明確にしました。 決定的なのは、DORAが業種に特化しており、主に金融サービス業に影響を及ぼしていることです。 対照的にNIS 2は、エネルギーや輸送などの重要インフラをカバーする、より広範な規制の枠組みです。

NIS指令の第4条1項および2項によれば、NIS 2に概説されている規定の代わりにDORAの規定が適用されます。 つまり、少なくともICTリスク管理、インシデント報告、レジリエンステストに関しては、DORAが金融機関に優先するということです。

DORAへの対応準備

DORAはリスク管理に対して高いハードルを設定しており、その要件を満たすのは容易ではないということです。 幸いなことに、始めるための明確な道筋があります:

  1. ギャップ分析の実施 : 最初のギャップ分析では、会社全体のプロフィールを上から下まで評価し、サイバー成熟度の状態を定義し、既存のリスク管理の枠組みを理解します。 この演習は、現在のプロセスや手順をどの程度更新すべきかを判断するのに役立ちます。
  2. ICTトレーニングの義務化: 管理職も含めた全従業員に対して、継続的なトレーニングプログラムを作成するのがベストです。 指導者はDORAの不遵守に責任を負うので、全員が最新のICTセキュリティの脅威について情報を入手し、警戒するようになります。
  3. 第三者契約の監査: 契約上の取り決めを深く掘り下げることで、ICTプロバイダーとの依存関係を理解することができます。 そして、これらの接続を保護するためのセキュリティ対策を特定し、優先順位をつけることができます。 クラウドサービスプロバイダー、ソフトウェアベンダー、その他のICTシステムを含むすべての契約を棚卸しします。 そして、DORAの要件に沿った条項があることを確認します。

Entrustでサイバー耐性を強化

DORAの遵守を偶然に委ねてはいけません。 金融機関であれ、ICTプロバイダーであれ、Entrustのポートフォリオには防御を強化し、重要なインフラを保護するために必要なものがすべて揃っています。

当社のソリューションには以下が含まれます:

  • ハードウェアセキュリティモジュール(HSM)nShield HSMは、データの暗号化や安全な通信に不可欠な暗号鍵の生成、管理、保護に安全な環境を提供するのに役立ちます。
  • クラウドセキュリティポスチャ管理: EntrustのCloudControl セキュリティプラットフォームは、構成とコンプライアンスを一元的に、簡単に識別、修復、レポートできるようにすることで、ハイブリッドクラウド環境の保護を支援します。
  • 鍵管理: 鍵管理は、データと金融取引の機密性と完全性を確保するために不可欠です。 Entrust KeyControlは、暗号資産のライフサイクル全体を管理し、ICTシステムへの不正アクセスを防止するのに役立ちます。
  • IDおよびアクセス管理: Entrust Identity as a Serviceは、ユーザ認証、承認、アクセス制御を合理化するインテリジェントプラットフォームです。 安全なポータル、身元証明などを通じて消費者とつながります。
  • 公開鍵暗号基盤(PKI): Entrust PKIは、デジタル証明書を使用して実体を検証し、データを暗号化することで、安全な通信と認証の枠組みを提供するのに役立ちます。

準備はできていますか? DORAコンプライアンスを簡素化するために、今すぐ当社のチームにご連絡ください。

お問い合わせ