DORA – デジタル業務レジリエンス法

デジタル業務レジリエンス法 (DORA) の概要

欧州委員会は、2020年9月に金融業界のデジタル化を進める一連の基準を発表し、その中にDORAが含まれています。このパッケージは、欧州の金融分野におけるイノベーションと競争力の向上を目指す施策です。

経済分野は情報通信技術 (ICT) に大きく依存しており、顧客がデジタルサービスに頼るようになったことで、コロナウイルスの拡大が一層深刻化しました。そのため、金融機関はICT依存ゆえにサイバー犯罪の主要な標的となっています。

さらに、重要な国境を越えた金融サービスへの攻撃や障害は、他事業や産業全体、ひいては経済全体に悪影響を及ぼす可能性があります。こうした背景から、金融分野のデジタル運用が危機に耐えられるかどうかを確認することは極めて重要です。欧州委員会は、EU金融分野で発生する事故の対応費用が年間約270億ユーロに上る可能性があると見積もっています。

目標

全体として、EU金融業界のオンラインシステムの業務レジリエンス向上を目指しています。この新たな法制度は、規則の合理化と再構築、並びに新規則の導入を図るものです。主な狙いは以下の通りです：

• 金融機関が予防策やレジリエンス対策の効果、そしてICT依存の箇所を評価し、リスクの深刻化を軽減できるようにする。
• ICTを利用した事象のデータ共有により、商業規制当局が脅威の状況を把握しやすくする。
• ICT第三者アプリ供給業者の間接監督のため、アウトソーシングに関する規定を強化する。
• 金融機関が採用するICTサービス提供者を即時に監視できるようにする。
• 金融機関がサイバーリスクに関する情報を共有することを促す。

DORA 要件の対象は誰か？

EUレベルで規制されるすべての金融機関が対象です。具体的には、情報配信サービス提供者、オルタナティブファイナンスファンドの運用者および管理会社、中央証券保管機関、中央対処機関、取引プラットフォーム、取引記録保管所、保険・再保険事業者、保険仲介業者、再保険仲介業者、再保険引受業者などが含まれ、ICTアウトソーシング企業にも影響があります。

各適用分野の主要要件を定義する際は、比例原則を念頭に置き、事業モデル、規模、リスクプロファイル、システムの重要性の違いを考慮することが大切です。たとえば、EU委員会は中小の金融機関に対して、インシデント報告やレジリエンステストに関するより緩やかな措置を求める方針です。

‍

DORA の主要な5つの要求事項

以下の5つのカテゴリーで基準を定めています：

1. ICTリスク管理

金融機関は、業務継続戦略、災害復旧手順、および情報共有プロトコルを支えるITリスク管理フレームワークの策定と運用に関する原則に従うことになります。

利害関係者との連絡を一元化する手法が重要とされ、金融安定局 (EBA) のICTおよびセキュリティリスク管理に関する勧告がこの新たな義務の基盤となっています。

事業の円滑な運営を守るため、以下の責務が利害関係者に課せられます：

• ICT障害リスクとその影響の許容度
• 業務継続計画の策定と承認
• 災害復旧戦略
• 全ての重要資産を守ること

対応と復旧策は単なる方針だけにとどまらず、事業の継続性を保つためにICTの冗長化が求められます。こうした投資には、バックアップおよび復旧ネットワークが含まれ、利害関係者の承認が必要です。

2. ICTインシデント報告

異なる報告要件を一本化することで、ICTインシデント報告が簡素化されます。トリガーとなる事象を削減し、報告形式を統一して、複数の各国当局ではなく単一のEUハブへの報告を可能にします。

EUハブは、金融機関に影響を及ぼす主要なICT事象を収集し、銀行業界の脆弱性傾向を明らかにしてITのレジリエンスとセキュリティの向上に役立てます。

新たなEU報告原則により、大規模なICTインシデント発生後1ヶ月以内に原因分析報告書を作成することがすべての金融機関に義務付けられ、迅速な報告提出を促すための早期警戒指標の整備が求められます。

3. デジタルレジリエンステスト

現行のICT防御策の有効性を確認するため、金融機関は内部または外部の独立した第三者による定期的なデジタル運用レジリエンステストを実施する必要があります。

包括的なデジタル耐性テスト計画には、以下の定期チェックが含まれるべきです：

• テスト手法
• テスト実施のためのツールと方法
• レジリエンス検証の頻度
• ポリシーテストの評価手法

これは全く新たな義務ではなく、一部の金融市場インフラでは既に脅威主導の侵入テスト (TLPT) フレームワークが求められています。今回の改正で、金融サービス業界全体における義務的なテスト対象組織が増加する見込みです。

欧州監督当局 (ESA) は、2021年末までにこの拡大された報告基準の詳細を定める第2の法令を公表する予定です。

また、欧州中央銀行の自主的なTIBER-EUフレームワークがDORAの国際テスト認証手続きの基盤となり、EU加盟国間でのテスト結果の相互承認が促進されます。

既にこのようなテスト対象となっている金融機関にとっては、遵守手続きが簡略化され、コスト削減につながる可能性があります。

4. 情報・インテリジェンス共有

既存の金融ネットワーク内でサイバー脅威に関する情報共有が促進されます。新たなサイバーリスク、信頼性の高いデータ守り策、そして業務レジリエンス戦略について議論され、周知が図られることが期待されます。

5. 第三者ICTリスク管理

この要素は、制度の中でも特に難しい部分です。ICTサービス供給者 (CSP) が「重要」と見なされた場合、政府機関が定める規則に従う必要があります。

第三者サービス供給者が重要とされるためには、以下の複数の基準を満たす必要があります：

• 代替性の度合い ― 業務中断時（内部の問題でも、供給者の環境に起因する場合でも）には、重要なCSPの代替が困難となる。
• 多数の銀行や他の金融機関が、そのCSPに依存して業務を維持しているかどうか。

重要なCSPの遵守状況を確認するため、ESAは現地および非現地での監査を実施します。遵守が確認されない場合、最高位の規制当局が1日あたりの世界全体収益の最大1％の罰金を科す可能性があります。

なお、一般データ保護規則 (GDPR) など既存の規制も、これらの遵守義務に加えて適用されます。DORA遵守の責任は、重要な第三者供給者だけに依存するものではなく、サプライチェーン攻撃や第三者による侵害から業務を守るため、金融サービス各社は第三者リスク対策ポリシーを採用する必要があります。

DORA はいつ施行されるのか？

2023年1月16日よりデジタル業務レジリエンス法は施行されています。対象となるすべての金融機関は直ちにその要件の適用を受けますが、実際の執行開始は施行から24ヶ月後となります。したがって、組織は新基準に従うために2年の猶予が設けられています。なお、ESAは新規制の施行を詳細に定める技術基準も策定する予定です。

‍

デジタル業務レジリエンス法への準備

欧州委員会に認定された金融機関は、DORAのリスク管理基準への対応準備を開始しています。

以下の手順が、貴社の準備に役立ちます：

1. ギャップ分析の実施

成熟度リスク評価を用いて、DORAの全要件について遵守上のギャップを確認します。これにより、対象となるICTシステムの再設計が迅速かつ効果的に進むでしょう。

2. 重要度の評価

ICT第三者供給者は、自らの重要度を評価し、DORAで求められる各要素を検討する必要があります。これらの第三者供給者は、専任の規制対応チームやデータセキュリティ技術が必要となる監督体制への対応方法も検討しなければなりません。さらに、金融機関は重要な第三者クラウドサービス提供者を特定し、リスク評価および第三者攻撃対象面監視ソフトで主要供給者のDORA遵守状況を把握する必要があります。ICTの問題が供給者に影響を与えた場合、非重要な供給者については代替のアウトソーシング先を検討すべきです。

3. 脅威主導の ペネトレーションテスト

まだTLPTを導入していない銀行やその他の金融機関は、第三者供給者を活用してそのニーズに応える必要があります。テスト基準の詳細が明らかになった段階で、ESAの動向を注視することが求められます。

4. 現行の復旧手法の評価

今回のインシデント報告手続きに合わせ、現行の対応および復旧策を評価する必要があります。資源の再配分の最適化や内部報告チャネルの見直しなどが、DORAの報告手続きへの適合策となり得ます。

5. ニーズ評価の実施

成熟度リスク計算を通じ、DORAのすべての要件について遵守ギャップを評価します。これにより、対象となるITシステムの変革が一層円滑に進むでしょう。

WallarmはどのようにDORA遵守を支援するか？

セキュリティ体制やワークフローに余計な複雑さを加えることなく、Wallarmは、ウェブアプリおよびAPI（API Security Platform、WAAP、GoTestWAF）全体に対して包括的な守りを提供します。クラウドネイティブなAPIや従来型のウェブアプリの検出、さらにそれらに対する攻撃の検知と対処において、セキュリティやDevOpsチームはWallarmを選択しています。

Wallarmは、DORA遵守に向けた信頼できるパートナーとして機能します。Infrastructure Protectionサービスの活用により、事業のあらゆる面を守る堅実なセキュリティ体制の構築が可能となります。