DORAの準備はできていますか？

DORAって何? 金融業界の新法を知る

2023年9月8日
翻訳: 山本 奈良乃

この記事は米Catchpoint Systems社のブログ記事「Are you ready for DORA? 」の翻訳です。
Spelldataは、Catchpointの日本代理店です。
この記事は、Catchpoint Systemsの許可を得て、翻訳しています。

子供向けの人気テレビキャラクターと混同しないでください。
DORAは金融業界向けの新しいEUの規則で、デジタルオペレーションレジリエンス法（Digital Operational Resilience Act）の略です。
DORAは2023年1月16日に法制化され、2025年1月17日から適用が開始されるため、最高リスク責任者や最高情報セキュリティ責任者などの金融業界の上級幹部はその意味を理解し、初日からコンプライアンスに備えることが極めて重要です。

このブログではDORAの影響、今後のNIS2指令との違い、そして企業にとってのDORAの内容を掘り下げていきます。

デジタルオペレーションレジリエンス法とは何か？

デジタルオペレーションレジリエンス法（Digital Operational Resilience Act）は、欧州連合（EU）の金融サービス業界における情報通信技術（ICT）リスクを管理・軽減するための包括的かつ統一的な枠組みを確立することを主な目的とするEUの規則です。
DORAは、ICT関連のリスクを特定、評価、対処する積極的なアプローチを促進することにより、金融機関の強靭性を高め、金融システム全体の安定性と安全性を強化することを目的としています。

DORAは、5つの基本的な柱に基づいて構築されています：

• ICTリスク管理
• 障害報告
• 運用のレジリエンステスト
• サードパーティのリスク管理
• 情報共有

標準化された要求事項とガイドラインの制定により、ますます複雑化するデジタル環境で途絶、サイバー攻撃、その他の課題に金融機関が効率的に耐えられることをDORAは目的としています。
さらに、DORAは、クラウドサービスプロバイダなどの重要なサードパーティ・プロバイダを監督するための制度を導入しており、金融機関の経営基盤を支える重要な役割を担っている事を認識しています。

DORAとNIS2の違いとは？

取締役会レベルでは、欧州連合（EU）のサイバーセキュリティ法の主要な部分であるこれらの略語を扱わないわけにはいきません。
しかし、主な違いはどういったものでしょうか？

NIS2は指令である

NIS2はガイダンスを提供しますが、実施する前に各EU加盟国の国内法に適合させる必要があります。

DORAは規則である

DORAは制定されると同時にすべてのEU加盟国に修正なしで直接適用され、完全に施行されなければならない拘束力のある法律となります。

NIS2はより広い分野に焦点を当てている

NIS2はエネルギー、運輸、銀行、医療などの重要なサービスが、EU全体で標準化されたサイバーセキュリティ対策を遵守することを保証するものです。

DORAの焦点はより絞られている

DORAは特に金融部門のデジタルオペレーションレジリエンスの強化を目指しています。

その法律のどちらが優先されるかは、状況次第です。
もしDORAがあなたの組織に適用されるのであれば、それはNIS2よりも優先されます。
そこで次の疑問が生じます。

誰がDORAを遵守する必要があるか？

デジタルオペレーションレジリエンス法は以下の金融機関に適用されます：

• 信用機関
• 決済機関
• 電子マネー機関
• 投資会社
• 暗号資産サービス・プロバイダ
• 中央証券保管機関
• 中央清算機関
• 取引所
• 取引情報蓄積機関
• オルタナティブ投資(代替投資)ファンドのマネージャー達
• データ報告サービス・プロバイダ
• 保険・再保険会社
• 保険仲介業者
• 再保険仲介業者
• 付帯保険仲介業者
• 退職年金機関
• 信用情報機関
• 重要なベンチマークの管理者
• クラウドファンディング・サービス・プロバイダ
• 証券化機関

さらにDORAは、欧州監督当局（EBA、ESMA、EIOPA）により「重要」と指定されたICTサードパーティサービスプロバイダにその範囲を拡大しています。

なぜ今、このようなことが起きているのか？

以下は、その法律の背後にある主要な要因です。

1.デジタル化時代におけるICTの役割

パンデミック以降、ICTは金融サービスの提供に不可欠なものとなっています。
この法律によれば、以下の理由でレジリエンスが注目されています。
「デジタル化と相互接続性の増加は、ICTのリスクも増幅させており、社会全体、特に金融システムがサイバー脅威やICTの障害に対してより脆弱になっています」

もうひとつの重要な指標であるLargest Contentful Paint(LCP)は、パフォーマンスの重要性をさらに強調しています。
Googleの調査では、優れたLCPの閾値を2.5秒としています。
しかし、AkamaiのRUMデータによると、75パーセンタイルのLCPタイムはすでに約3秒となっています。

2.システムの脆弱性と金融の安定性

欧州システミックリスク理事会（ESRB）は、金融業界におけるICTシステムの相互接続性と依存関係によって引き起こされる体系的な脆弱性を指摘しました。
局地的なサイバー障害は、瞬く間に金融機関全体に広がり、金融システム全体にリスクをもたらし、金融機関からの預金の流出や信用の失墜に繋がる可能性があります。

3.レジリエンスが最優先課題に

これまでの改革は、主に経済と市場行動の側面を対象としており、レジリエンスは見過ごされていました。
レジリエンスは現在、金融業界にとって極めて重要であると考えられており、「最終的には、消費者と市場の信頼と信用を維持しつつ、経済的な緊張状態の下でも、EU全体で金融サービスを効果的かつ円滑に提供することを可能にする」とされています。

4.ハーモナイゼーションと監督義務

欧州連合（EU）の金融業界は、一つのルールブックによって規制され、欧州の金融監督システムによって管理されているにもかかわらず、標準化が不十分です。
この法案によれば、「デジタルオペレーションレジリエンスとICTセキュリティに取り組む規定は、デジタルオペレーションレジリエンスが金融の安定を確保するために不可欠であるにも関わらず、まだ完全かつ一貫して整合されていません。」
DORAはこの矛盾を是正しようとしています。

DORA-それはサイバーセキュリティだけではない。

サイバー攻撃の防止がDORAの焦点であることは事実ですが、インターネットの途絶を防止することもまた、この法律の重要な理念です。
この法律は、リスクを最小限に抑えるために、セキュリティとICTツールを継続的に監視・管理しなければならないと直接的に述べています。

以下は、この法案の主な内容です：

第8条 識別

金融機関は、継続的に、全てのICTのリスク源の識別を行わなくてはならない。
特に、他の金融機関へ、もしくは他の金融機関からの漏洩リスクと、ICT支援を受けたビジネス機能に関連するサイバー脅威とICTの脆弱性を評価しなくてはならない。

第9条 保護と予防

ICTシステムを適切に保護し、対応策を策定する目的で、金融機関は、ICTシステムおよびツールのセキュリティと機能を継続的に監視・管理し、適切なICTセキュリティ・ツール、方針および手順の配備を通じて、ICTシステムに対するICTリスクの影響を最小化しなければならない。

第10条 検出

金融機関は、第17条に従い、ICTネットワークのパフォーマンスの問題やICT関連のインシデントを含む予期せぬ活動を速やかに検知し、システムに潜む致命的な弱点を特定するためのメカニズムを備えなければならない。

これは金融機関にとって何を意味するのか？

DORAは取締役会に説明責任を課す

法律によって、DORAは金融サービス機関の取締役会にICTリスクに対する説明責任を課すことを義務付けており、これは極めて重要な条件のひとつとなっています。
これは非常に大きなことです。
もしあなたが金融サービス企業であるか、あるいはそのような会社にサービスを提供しているのであれば、この新しい法律にすぐに対応する必要があります。

あなたのインターネット・スタックが大きくなった

DORA法により、金融機関のICTリスク管理フレームワークの一部として義務付けられているのは、「包括的な」ICTマルチベンダー戦略です。
その理由は簡単です。
例えば、Microsoftのサービスが途絶したり停止したりした場合、Windows 11デバイス、クラウドサービスプロバイダとしてのMicrosoft Azure、オフィススイートとしてのMicrosoft 365に依存している組織は、大きな困難に直面する可能性があります。

DORAに対応するためには、金融機関はおそらくマルチベンダーアプローチを導入し、途絶や障害発生時に代替オプションを利用できるようにする必要があります。
レジリエンスを確保するためには、これらすべてのベンダーを監視する必要があります。

DORAコンプライアンスを達成するには

DORAは、リスクを最小限に抑えるために、セキュリティとICTツールを継続的に監視、管理しなければならないと直接的に述べています。
そこでCatchpointの出番です。
DORAは、インターネットが主要な企業ネットワークとなり、これまで以上に脆弱性にさらされていることを強調する、私たちが長らく伝えてきたメッセージの正当性を示しています。

現在、多くの企業が監視ツールを導入していますが、自社のアプリケーションとツールだけを監視する傾向があります。
一方、Catchpointはインターネットスタック全体を監視し、アプリケーション、ユーザ、ネットワーク、そしてDORAのコンプライアンスを達成するために今監視する必要がある重要なサードパーティサービスに対する比類がない可視性を提供します。

世界中に2500以上の観測拠点を持つ私たちの圧倒的なグローバル監視ネットワークは、業界で最も包括的なインターネットパフォーマンス監視のデータセットを提供します。
これにより、ユーザに影響を及ぼす前に問題を積極的に特定し修正することができ、利益を守りながらDORAのコンプライアンスを確保することができます。

さらに、ホスティングクラウドプロバイダから切り離されたネットワークを持つことで、クラウドプロバイダがダウンした場合でも、問題を継続的に検出、特定、トラブルシューティングし、前例のない検証能力を手に入れました。
これによって、DORAが要求する種類の堅牢なレジリエンスを提供します。

まとめ

DORAのコンプライアンスを確保することは、法律上の義務を果たすだけでありません;進化する脅威や途絶に耐えることのできる堅牢で安全なデジタルエコシステムを構築するということです。
もしあなたがDORAソリューションを構築するシステムインテグレータであれば、私たちはお手伝いするためにここにいます、ぜひ私たちにお声がけください。
Catchpointの包括的なインターネット・パフォーマンス・モニタリング（IPM）ソリューションを使用すれば、DORAコンプライアンスを安心して推進することができます。

さらに読む

• CatchpointのIPMプラットフォームに関する完全な概要については、お問い合わせ下さい。
• Catchpointの5つのエンタープライズソリューションについての詳細は、Catchpointの概要資料をダウンロードしてください。
• インターネットの途絶が経済に与える影響をご覧ください。