サイバーセキュリティ 
F1はスピード、精度、データで決まるスポーツ。 コン
デジタル・オペレーショナル・レジリエンス法 (DORA) は、欧州連合 (EU) における金融機関のデジタルセキュリティを強化する規制です。 DORAは2023年に採択されましたが、2025年1月初頭には、EUのすべての金融機関とサードパーティーの情報通信技術 (ICT) サービスプロバイダーに完全に採用されることになっており、起こりうるサイバー脅威に対する防御策を改善します。
ここでは、DORAの目的、コンプライアンスの主要な柱、そして組織がDORA準拠に備える方法について説明します。
デジタル・オペレーショナル・レジリエンス法 (DORA) とは?
デジタル・オペレーショナル・レジリエンス法 (DORA) とは、EUの金融機関がサイバー攻撃やIT障害に強い運営体制を築くことを目的とした規制です。
この法律では、金融機関がITリスクを適切に管理し、サイバーインシデントが発生した場合には迅速に対応する仕組みを整える必要があります。また、外部サービスとの関係やシステムの耐性についても厳しく管理し、定期的なテストを実施することが求められます。DORAは、2025年から適用され、金融業界全体の安定性と消費者保護を強化することが期待されています。
DORAの目的
DORAの2つの主な目的は、金融サービスがICTリスクを管理する方法を改善すること、そして個々のEU加盟国に既存するICTリスク管理規制を統一することです。
金融セクターでのICTリスク管理に対処
EUの金融機関では、リスク管理規制は、組織が業務上のリスクに対処するために十分な資金を確保していることに焦点を当てています。 しかし、これに関する問題は、ICTガイドラインを設けている組織と設けていない組織があることです。 ICTリスク管理のための統一されたセキュリティ基準や規則がないため、EU加盟国はそれぞれ独自の要件を策定するしかありませんでした。 DORAは、これらの要件を標準化することで、金融セクターをより安全にし、オンラインシステムや技術的な脆弱性に関連するリスクに対処しやすくすることを目指します。
リスク管理規制を1つの枠組みに調和させる
DORAは、EUが主に金融サービスセクターにおけるICTリスクを管理するために、一貫したセキュリティの枠組みを適用することを可能にします。 これにより、EU諸国の基準に関する不一致が解消され、金融機関によるコンプライアンス遵守のプロセスが容易になります。 DORAは、セキュリティリスクが発生した場合に、組織が何をすべきかを理解するのに役立ちます。
DORAコンプライアンスの5つの柱
DORAの影響を受けるEU組織は、2025年1月17日までにコンプライアンスの5つの柱に従う必要があります。
1. ICTリスク管理
ICTリスク管理はDORAの基礎です。これは、組織による技術の使用にまつわるリスクを検出して分析するためです。 金融機関は、重要なステークホルダーや上級管理職メンバーの助けを借りて、ICTリスク管理の枠組みに従い、起こりうるセキュリティリスクについての強力なコミュニケーションを確立しなければなりません。 ICTリスク管理は、運用上のリスクやサイバー脅威から組織を守るために、適切なツールや文書、プロセスを詳述する必要があります。 ICTリスク管理が適切に実施されない場合、組織はデータ漏洩やセキュリティ上の問題などの損害を受ける可能性が高まり、結果としてその事業や評判を損なう可能性があるのです。
2. ICT関連のインシデント報告
ICTリスク管理の枠組みが確立されると、組織は、インシデントが発生した場合に報告する仕組みを把握する必要があります。 DORAは、これらの報告を合理化されたチャネルに統合することで、ICTインシデントを報告するシステムをより簡単なプロセスにします。 金融機関は、新しいEU報告規則に基づくICT関連の重大なインシデントが発生してから1か月以内に、根本原因の報告を統一されたEUハブに提出することが義務付けられています。 組織が根本原因の報告を提出すると、EUハブは、すべての主要なICT関連の報告を確認し、あらゆるデータを収集して、金融機関に共通したセキュリティの脆弱性があるかどうかを判断します。
3. デジタルオペレーショナルレジリエンステスト
金融機関の中には、現在、独立した第三者に協力を求めてデジタルオペレーショナルレジリエンステストを定期的に実施しているところもあります。これは、ICT関連のリスクに備えて、方法論や手順、ツール、回復システムをテストするものです。 特定の金融機関向けのデジタルオペレーショナルレジリエンステストを網羅する既存の枠組みはありますが、DORAは、テスト実施の義務を金融サービス業界全体に広く普及させます。 これにより、デジタル運用レジリエンステストの実施に必要な組織の数が増えるため、独立した第三者の雇用にかかる費用を最小限に抑え、組織がサイバー攻撃に遭う可能性を減らすことができます。
4. 情報とインテリジェンスの共有
DORAが完全に施行されると、組織は信頼できる金融機関同士でサイバー脅威に関する情報を共有することが義務付けられます。 これは、サイバー脅威の可能性を他の金融機関に知らせることで、各機関が独自のソリューションを開発して機密情報を保護できるようにすることが主な目的です。 組織は、サイバー脅威に対抗するための戦略を概説して共有します。これにより、金融業界全体のセキュリティ改善を目指します。
5. ICTサードパーティのリスク管理
金融機関は、データ保護やインシデント管理などのトピックを強調した、「クリティカル (極めて重要)」なICTサービスプロバイダーと契約を結んでいる必要があります。 特定のICTサービスプロバイダーを「クリティカル」と指定するものには、組織の日常業務に不可欠なサービスが含まれます。 「クリティカル」なサードパーティプロバイダーとの契約は、データ漏洩やサイバー攻撃が発生した場合に、関連する金融機関をサポートする義務があることを保証するものです。 例えば、契約が締結されると、サードパーティプロバイダーは「クリティカル」と指定されているため、適切な情報を共有し、DORAに準拠した金融機関に提供されるサービスについて最高レベルのセキュリティ基準を遵守することが求められます。
DORAコンプライアンスに備えるには
組織は、さまざまな方法でDORAの要件を満たす準備ができます。これには、DORAギャップ分析の実施、クリティカルなサードパーティプロバイダーの特定、現在のインシデント対応計画の評価が含まれます。
DORAギャップ分析の実施
ICTシステム全体のすべてのギャップを特定するために、組織はDORAギャップ分析を実施することが求められます。 現在の慣行を評価するには、DORAの要件と比較すると良いでしょう。これは、組織が新しい要件を満たすために改善すべき領域を特定するのに役立ちます。 DORAギャップ分析の結果次第では、組織内のギャップに対処するための是正ロードマップを作成する必要があるかもしれません。 例えば、ギャップ分析を実施して、組織が情報共有に関与していないことが明らかになった場合、やるべきことを特定し、タイムラインを設定して、組織が確実にDORA準拠になることを目指す必要があります。
クリティカルなサードパーティICTプロバイダーの特定
組織は、この「クリティカル」と分類されたことに至るすべての特性を認識することで、自分の組織が「クリティカル」なサードパーティICTプロバイダーと提携しているかどうかを判断しなければなりません。 サードパーティのクラウドサービスプロバイダー (CSP) を使用する場合、セキュリティチームは、これらの業者もDORAに準拠しており、契約が締結されていることを確認する必要があります。 どのサードパーティサービスプロバイダーが「クリティカル」に該当するかを特定することは重要です。チームを設立したり、ソフトウェアを変更したりして、DORA準拠を確実にすることが必要であると考えられるためです。
現在のインシデント対応計画を評価する
インシデント対応計画は、データ漏洩やサイバー攻撃が発生した場合に責任を割り当て、組織の従業員が従うべき手順を提供します。 インシデント対応計画が確立されていれば、何らかの問題が発生しても組織がパニックに陥ることはなく、攻撃の特定や評価、修復、再発防止の準備ができていることになります。 組織にはインシデント対応計画が既に導入されていることと思いますが、現在の計画がDORAに準拠しているかどうかを再評価する必要はあります。 現在の計画をDORAの要件と照らし合わせて、組織が特定の義務に従っているかどうかを評価します。 データ漏洩を想定してインシデント対応計画をテストし、脆弱性を発見した場合は、内部報告システムも修正してDORAの基準を満たす必要があります。
企業がDORAを遵守しない場合はどうなるか?
金融機関がDORAに遵守していない場合、当局は組織の年間売上高の2%を上限とする罰金を科すことができます。 DORAを遵守していないために組織全体が罰則を受けることになりますが、個々のマネージャーにも最大で100万ユーロの罰金が科せられることもあります。 DORAを遵守しない「クリティカル」なサードパーティICTプロバイダーの場合、罰金は500万ユーロに上る可能性があります。
KeeperPAM®でDORAコンプライアンスを満たすのを支援
組織は、KeeperPAMのような特権アクセス管理 (PAM) ソリューションに投資することで、セキュリティを強化し、一定のDORAコンプライアンス要件を満たすことができます。 KeeperPAMを使用すると、組織は、機密データや極めて重要なアカウントを扱う従業員やシステムを厳重に監視して管理することが可能になり、データ漏洩やサイバー攻撃につながる恐れのあるエラーや脆弱性を大幅に削減します。
KeeperPAMは、金融機関がDORAコンプライアンスを満たすのに役立ちます。KeeperPAMを利用することで、攻撃対象領域を減らし、認可されたユーザーが安全にアクセスできることを保証し、すべての特権アカウントに対する完全なレポート作成を実現します。
この機会に、KeeperPAMのデモをリクエストして、組織がDORAコンプライアンス要件に準拠し、機密データに対する最高レベルの保護が確保されていることを確認しましょう。
コンプライアンス準拠にも強いKeeperPAM、まずはデモのお問い合わせをお待ちしております。
