デジタル・オペレーション・レジリエンス法(DORA)は、欧州連合(EU)の金融部門を対象とした拘束力のある包括的な情報通信技術(ICT)リスク管理のフレームワークを構築するEUの規制です。
DORAは、金融機関とクリティカルな外部技術サービス・プロバイダーが2025年1月17日までにICTシステムに実装する必要がある技術標準を定めています。
組織全体に適用される基準とデータ系列機能を使用して、データ・ガバナンスとプライバシーに関するポリシーを大規模に適用する方法をご覧ください。
IBMが提供するガイドを参考にして人材に変革をもたらす
DORA には 2 つの主な目的があります。1 つは金融サービス部門における ICT リスク管理に包括的に取り組むこと、もう 1 つは各 EU 加盟国にすでに存在する ICT リスク管理規制を調和させることです。
DORAが施行される前は、EUの金融機関に適用されていたリスク管理規制は主に、企業が業務リスクをカバーするのに十分な資本を確保することに重点を置いていました。EUの規制当局の中には、 ICTとセキュリティー・リスク管理に関するガイドライン(リンク先はibm.com外)を発表しているところもありましたが、これらのガイドラインはすべての金融機関に等しく適用されるわけではなく、また、特定の技術基準ではなく一般原則に依拠していることが多いものでした。EU全域に適用されるICTリスク管理規則が存在しなかったため、EU加盟国はそれぞれに独自の法規制を定めていました。このパッチワークのような規制により、金融機関は対処に苦しんでいました。
DORAの導入により、EUは金融セクターにおけるICTリスクを管理・軽減するための普遍的な枠組みを確立することを目指しています。DORAは、EU全域で一貫したリスク管理ルールを適用することにより、EU加盟国がそれぞれに定める異なる規制間で生じる可能性のあるギャップ、重複、および矛盾を取り除くことを目指しています。一連のルールを共有することで、金融機関の遵守が容易になるとともに、すべての金融機関が同じ基準を遵守することで、EUの金融システム全体のレジリエンスが向上します。
DORAはEU域内のすべての金融機関に適用されます。 銀行、投資会社、信用機関などの従来型金融機関と、暗号資産サービス・プロバイダーやクラウドファンディング・プラットフォームなどの新しいタイプの金融機関が対象です。
特に、DORAは、通常は金融規制の対象外とされる一部の事業体にも適用されます。例えば、クラウド・サービス・プロバイダーや データセンターなど、金融機関にICTシステムとサービスを提供する外部のサービス・プロバイダーも、DORAを遵守しなければなりません。信用格付けサービスやデータ分析プロバイダーなど、クリティカルな外部情報サービスを提供する企業も適用対象です。
DORAは、2020年9月にEUの行政府である欧州委員会によって初めて提案されました。 これは、暗号資産を規制し、EU全域のデジタル金融戦略を強化する取り組みも含んだ、大規模なデジタル金融法案の一部です。 欧州連合理事会と欧州議会(EU法の承認を担当する立法機関)は、2022年11月にDORAを正式に採択しました。金融機関および外部のICTサービス・プロバイダーは、DORAが適用開始される2025年1月17日までにDORAに準拠する必要があります。
EUはDORAを正式に採択しましたが、重要な詳細については欧州監督当局(ESA)がまだ検討中です。ESAは、欧州銀行監督局(EBA)、欧州証券市場監督局、欧州保険年金監督局など、EUの金融システムを監督する規制当局です。
ESAは、規制技術基準(RTS)の起草や、対象となる事業体が実施しなければならない技術基準(ITS)の導入を担当しています。 これらの基準は2024年に最終決定される予定です。欧州委員会はクリティカルなICTプロバイダー向けの監視枠組みを開発中で、これも2024年に完成する予定です。
基準が確定し、2025年1月に適用開始されると、執行は「所轄官庁」と呼ばれる各EU加盟国の指定された規制当局に委ねられます。 所轄官庁は、金融機関に特定のセキュリティー対策を講じ、脆弱性を是正するよう要求することができます。 また、非遵守の金融機関に対して行政罰、場合によっては刑事罰を科すこともできるようになります。各加盟国は罰則をそれぞれに決定することができます。
欧州委員会によって「クリティカル」と判断されたICTプロバイダーは、ESAの主任監督者により直接監督されます。 管轄当局と同様に、主任監督者はセキュリティー対策と是正措置を要求し、準拠していないICTプロバイダーに罰則を科すことができます。 DORAは、主任監督者が非遵守のICTプロバイダーに対して、前事業年度の当該プロバイダーの1日平均世界売上高の1%に相当する罰金を科すことを認めています。 プロバイダーは、コンプライアンスを達成するまで、最長6カ月間にわたり毎日罰金が科される可能性があります。
DORAは、金融機関とICTプロバイダーの技術要件を4分野に分けて定めています。
- ICTリスク管理とガバナンス
- インシデント対応と報告
- デジタル・オペレーショナル・レジリエンス・テスト
- サードパーティーのリスク管理
情報の共有は推奨されますが、必須ではありません。
組織の規模に応じて課される義務は異なるため、中小金融機関には大手金融機関と同じ基準が課されません。業界ごとに定められる規制技術基準(RTS)および実施技術基準(ITS)はまだ策定中ですが、既に施行されているデジタル・オペレーション・レジリエンス法(DORA)を確認することで、一般的にどのような要件が適用されるかを理解することができるでしょう。
ICTリスク管理とガバナンス
DORAは、企業の経営陣にICTに対する管理責任を課しています。取締役会メンバー、執行幹部、およびその他の上級管理者は、適切なリスク管理戦略を定義し、その実行を積極的に支援し、ICTリスク状況に関する最新の知識を維持することが期待されます。幹部はまた、企業の非遵守に対して個人的な責任を負わされる可能性もあります。
対象となる企業は、包括的なICTリスク管理フレームワークを策定することが期待されます。企業は、ICTシステムをマッピングし、重大な資産と機能を識別および分類し、資産、システム、プロセス、プロバイダー間の依存関係を文書化する必要があります。 企業は、ICTシステムの継続的なリスクを評価し、サイバー脅威を文書化して分類し、特定されたリスクを軽減するための手順を文書化する必要があります。
リスク評価プロセスの一環として、企業はビジネス影響分析を実施して、特定のシナリオや深刻な混乱がビジネスにどのような影響を与えるかを評価する必要があります。企業は、リスク許容度のレベルを明確にし、情報通信技術(ICT)インフラストラクチャーの設計に役立つ情報を提供するために、これらの分析の結果を使用する必要があります。また、拡張された検知対応システム、セキュリティー情報およびイベント管理(SIEM)ソフトウェア、セキュリティー・オーケストレーション、自動化応答(SOAR)ツールなどの技術制御機能だけではなく、IDおよびアクセス管理やパッチ管理のポリシーなど、適切なサイバーセキュリティー保護措置を講じることも求められます。
また、企業は、ICTサービスの障害、自然災害、サイバー攻撃など、さまざまなサイバーリスクのシナリオに対して、事業継続性と災害復旧計画を作成しておく必要もあります。 これらの計画には、データのバックアップとレジリエンス対策、システム復元プロセス、影響を受ける顧客、パートナー、政府当局との連絡計画が含まれている必要があります。
企業のリスク管理フレームワークの必須要素を規定する技術規制標準仕様(RTS)は今後公開される予定です。 専門家は、ICTとセキュリティー・リスク管理に関する既存のEBAガイドラインに類似したものになると考えています。
インシデント対応と報告
対象となる企業は、ICT関連のインシデントを監視、管理、記録、分類、報告するためのシステムを確立する必要があります。インシデントの重大性によっては、企業は規制当局だけではなく、影響を受ける顧客やパートナーの双方にも報告する必要があるかもしれません。重大なインシデントについて企業は、規制当局に通知する初期報告書、インシデント解決に向けた進捗状況に関する中間報告書、インシデントの根本原因を分析する最終報告書の3種類の報告書の提出が求められます。
インシデントをどのように分類するか、どのインシデントを報告する必要があるか、および報告のスケジュールに関するルールは今後策定される予定です。ESAはまた、中心的なハブ組織と共通レポート・テンプレートを確立することで報告を効率化する方法を模索しています。
デジタル・オペレーショナル・レジリエンス・テスト
事業体は、ICTシステムを定期的にテストして、保護の強度を評価し、脆弱性を特定する必要があります。 これらのテストの結果と、特定された脆弱性を是正するための計画は、関連当局に報告され、検証されます。
事業者は、脆弱性評価やシナリオベースのテストをはじめとする基本的な各種テストを年に1回実施しなければなりません。金融制度にクリティカルな役割を果たすと判断された金融機関は、3年ごとの脅威ベースの ペネトレーション・テスト(TLPT)も義務付けられます。企業にとってクリティカルなICTプロバイダーも、これらのペネトレーション・テストを受ける必要があります。TLPTの実施方法に関する詳細は近日中に発表される予定ですが、脅威ベースの倫理的なレッド・チーム・テストのためのTIBER-EUフレームワーク(ibm.com外部へのリンク)に準拠したものになると思われます。
サードパーティーのリスク管理
DORA特有の側面の1つは、DORAが金融機関だけでなく、金融部門にサービスを提供する ICT プロバイダーにも適用されることです。
金融機関は、外部プロバイダーのICTリスク管理に積極的な役割を果たすことが期待されています。クリティカルかつ重要な機能を外部に委託する場合、金融機関は、出口戦略、監査、アクセシビリティー、完全性、セキュリティーなどのパフォーマンス目標に関して、契約上の取り決めについて交渉する必要があります。企業は、これらの要件を満たさないICTプロバイダーと契約することはできません。管轄当局は、非遵守の契約を一時停止または強制終了することができます。欧州委員会は、企業やICTプロバイダーが確実にDORAを遵守するために使用できる、標準化された契約条項の作成を検討しています。
金融機関はまた、サードパーティーの ICT への依存関係をマッピングする必要があり、重要な機能が単一のプロバイダーまたは小規模なプロバイダー・グループに集中しすぎないようにする必要があります。
クリティカルな外部ICTサービス・プロバイダーは、ESAから直接監督されます。欧州委員会は、どのプロバイダーがクリティカルであるかを判断するための基準を策定中です。基準を満たす企業には、ESAの1つが主任監督者として割り当てられます。主任監督者はクリティカルなプロバイダーに対し、DORA要件を強制することに加えて、DORAを遵守していない金融機関やその他のICTプロバイダーとの契約締結を禁止することもできます。
情報共有
金融機関は、ICT関連の内外のインシデントから学ぶためのプロセスを確立する必要があります。この目的のために、DORAは脅威インテリジェンスの共有プログラムに自主的に参加することを奨励しています。この方法で共有される情報は、関連するガイドラインの下で今後も保護される必要があります。例えば、個人を特定できる情報は、引き続き一般データ保護規則の対象となります。
接続された最新のセキュリティー・スイートで攻撃を防ぎます。QRadarポートフォリオには、エンタープライズ・グレードのAIが組み込まれており、エンドポイント・セキュリティー、ログ管理、SIEM、SOAR用の統合製品が、一般的に使用されるユーザー・インターフェース、共有されるインサイト、接続されたワークフローとともに提供されます。
継続的な脅威ハンティング、リアルタイムのモニタリング、詳細な脅威分析により、サイバーセキュリティー対策を強化します。 オンコールのインシデント対応チームは、対応時間を大幅に短縮し、サイバー攻撃による影響を軽減し、迅速な復旧を可能にするため、多忙なIT部門に欠かせないサポートを提供します。
ITインフラストラクチャーの潜在能力を最大限に引き出します。最新のIBMサーバー、ストレージ、ソフトウェアは、安全なハイブリッドクラウドと信頼できるAIオートメーション、そしてインサイトにより、オンプレミスとクラウドでのモダナイゼーションと拡張を支援します。
ITシステムをより事前対応できるようにし、プロセスをより効率的にし、従業員の生産性を高めるのに、影響力の高いオートメーションがどのように役立つかをご覧ください。
セキュリティーとコンプライアンスのニーズに対応しながら、イノベーションを加速します。IBM Cloud for Financial Servicesは、お客様がリスクを軽減し、極めて高い機密性が要求されるワークロードに対してもクラウド導入を加速できるように設計されています。