「デジタル・オペレーショナル・レジリエンス法(DORA)」による事業継続性の強化
デジタル化は多くの恩恵をもたらした一方で、金融セクターの情報通信技術(ICT)への依存度を高め、サイバー攻撃、ICTの障害、データの破損や紛失といったデジタルリスクの増加を招いています。 金融セクターにおけるセキュリティ上の脅威に対処し、業務継続性を向上させるため、欧州連合(EU)は"デジタル業務継続性法(DORA)"を批准しました。
本ブログでは、この新しいEU規制が、金融機関がICTリスク管理を改善し、より安全な金融エコシステムを構築する上でどのように役立つかを探ります。また、NAKIVOが金融機関のDORAコンプライアンス達成をどのように支援できるかについても解説します。
"デジタル・オペレーショナル・レジリエンス法(DORA)"とは何か?
DORAの概要と目的
デジタル・オペレーショナル・レジリエンス法(DORA) これは、2022年11月に欧州議会および欧州連合理事会によって正式に批准された欧州規則2022/2554である。DORAの最初の草案は、金融セクターにおける暗号資産、ブロックチェーン、およびデジタルレジリエンスに関するEUの戦略、提言、立法案を定めた"デジタル・ファイナンス・パッケージ(DFP)"の一環として、2020年に提案されたものである。
本規則は、EUの金融機関およびその第三者ITプロバイダーに対し、ICTシステムの業務レジリエンスとセキュリティを強化するための標準化された法的枠組みを確立することを目的としています。言い換えれば、DORAの主な目標の一つは、金融セクターにおけるサイバー脅威、ICT侵害、および業務中断を軽減することです。
金融機関およびその第三者ICTプロバイダーは、2025年1月17日までにDORAの枠組みおよび技術基準を実施する必要があります。
DORAを施行する規制当局
EUは2022年にDORAを正式に採択したものの、EU監督当局(ESAs)は現在も同法に基づく規制技術基準(RTS)の策定を進めている。 欧州銀行監督局(EBA)、欧州保険・企業年金監督局(EIOPA)、欧州証券市場監督局(ESMA)の3つのESAsは、2024年1月に最初の草案を発表しており、年末までにRTSを最終決定する見込みです。ESAsが最終的なRTSをEU委員会に提出した後、同基準は欧州議会および理事会によって承認されます。
RTSの執行およびコンプライアンス監督は、各国の管轄当局が担うことになっており、その指定はまだ確定していない。執行は、当局が指定され、2025年1月の期限が過ぎた時点で開始される。
DORA法の主な要件
DORA規則は、金融機関およびその第三者プロバイダーのネットワークおよびICTシステムに対するセキュリティ要件を定めています。これらの要件は、ICTセキュリティの以下の4つの主要な側面を対象としています:
- ICTリスク管理(第II章)。 ICT障害に対する管理責任を明確にし、ICT脅威の検知、特定、管理、および軽減のための共通の枠組みを確立する。
- ICTインシデントの管理、分類および報告(第III章)。 ICTインシデントの報告義務を標準化し、当局への報告対象となるインシデントの範囲を拡大する。
- デジタル・オペレーショナル・レジリエンスのテスト(第IV章). 重要なICTシステムに対し、高度な脅威主導型侵入テスト(TLPT)を用いたリスクベースのレジリエンステストを、少なくとも3年ごとに実施することを義務付ける。
- ICTのサードパーティ・リスク管理(第5章)。 金融機関に対し、第三者提供業者に対するリスク監視ルールを策定すること(契約書へのリスク関連条項の盛り込みを含む)を義務付け、違反に対しては罰則を科す。
- 情報の共有(第6章). 金融機関がサイバー脅威に関する情報や知見を交換し、新たな脅威への認識を高め、脅威対策の戦略を共有できる情報共有体制を導入する。
"デジタル・オペレーショナル・レジリエンス法"の適用対象は誰か?
DORAの対象となる組織
金融機関および金融セクターのインフラにとって不可欠な活動を行う事業体は、DORAの適用対象となります:
- 信用機関および決済機関
- 電子マネー事業者
- 暗号資産サービス事業者
- 投資運用会社およびオルタナティブ投資ファンドの運用会社
- 保険会社、再保険会社および保険仲介業者
- 取引所および取引情報蓄積機関
- 年金基金
- 中央証券保管機関、中央清算機関、および証券化リポジトリ
- サービスプロバイダー(口座情報、データ報告、管理、クラウドファンディングなどのサービスを含む)
- 信用格付け機関
- 重要ベンチマークの管理者
- クラウドサービスプロバイダーを含む、サードパーティのICTサービスプロバイダー
DORAへの不遵守に伴うリスク
DORAは、加盟国に対し、違反行為に対する行政処分または是正措置を決定する権限を付与しています。また、同法は、加盟国が国内刑法の適用対象となる違反行為に対して刑事罰を科すことも認めています。
したがって、DORAは、加盟国がDORAのガイドラインを効果的に実施するために講じることができる最低限の措置を定めており、これには公的注意喚起の発出や、場合によっては、違反行為の一時的または恒久的な停止を求める要請などが含まれます。
また、DORA規則は、欧州証券市場監督局(ESAs)に対し、金融セクターにとって重要なITC第三者サービスプロバイダーを指定し、各重要プロバイダーに対して主たる監督官を任命する権限を付与している。 主たる監督当局は、管轄当局と同等の権限を与えられ、コンプライアンス違反のITCプロバイダーに対して是正措置や罰則を要求することができる。DORAは、主たる監督当局に対し、ITCプロバイダーの前年度の全世界における1日平均売上高の最大1%に相当する罰金を科す権限を付与した。この罰金は、最大6か月間、またはコンプライアンスが達成されるまで、毎日科される可能性がある。
DORAが金融機関およびサードパーティプロバイダーに与える影響
実際の基準はまだ確定していませんが、DORAでは、金融セクターがICT管理の実務やセキュリティ対策をどのように標準化すべきかについて、一般的な要件と推奨事項が示されています。
クラウドサービスベンダーなどの第三者ICTプロバイダーである場合、まず最初に行うべきことは、第31条(第II節)に基づき、自社が"重要"とみなされるかどうかを判断することです。 重要プロバイダーは、他の金融機関と同様にDORAの規制の対象となります。
DORAは、金融機関に対し、第三者プロバイダーのリスクを評価し、サービス契約にインシデント管理に関する規定を盛り込むことを求めています。したがって、金融機関と取引を行う非重要ベンダーであっても、当該金融機関に影響を及ぼす可能性のあるリスクを軽減することが求められます。
DORAによる業務上の調整
DORAは、ICT障害に対する経営陣の責任を強調しており、金融機関に対し、ICTリスクを軽減するための包括的な枠組みを策定・維持することを求めています。この枠組みには、以下の要素を含める必要があります:
- 経営陣および関係者の役割と責任の明確化
- ICTシステム、プロセス、および資産全体にわたるリスクを特定・監視するための定期的なICTリスク評価
- 潜在的な脅威に対するICTシステムの継続的な監視
- ICTインシデントの予防、管理、および対応に関する体系的かつ詳細な手順(インシデント対応計画および事業継続計画を含む)
- インシデント分析に基づき、実践方法や対策を継続的に更新・改善する
- ICT障害発生時に透明性と信頼を確保するための、顧客および社内外のその他のステークホルダー向けのインシデント対応手順
- インシデントの重大度に応じて、規制当局やその他の関係機関へ報告するための明確な手順
リスク管理体制の強化
DORAでは、ICTリスクの継続的なモニタリングに加え、ICTリスクへの曝露状況について、システムおよび資産の定期的なテストを義務付けています。金融機関は、第三者のICTサービスプロバイダーに関連するリスク、およびコンプライアンス違反のあるプロバイダーへの対応について責任を負うことになります。具体的には、DORAは金融機関に対し、提携するプロバイダーとの契約にICTリスク管理に関する条項を盛り込むことを求めています。
同法は、予防戦略の重要性を強調しており、これには、システムやプロトコルの脆弱性を特定するための既存のレジリエンスおよびセキュリティ対策のテスト、ならびにインシデント発生後の分析および報告が含まれます。また、DORAは、金融機関が経験や知識を共有できる業界全体の学習やイベントの開催も奨励しています。
サイバーセキュリティおよびデータ保護基準の強化
DORAは、サイバーセキュリティとデータ保護を組織の事業継続能力に影響を与える主要な要因と位置づけ、金融機関に対し以下のことを求めています:
- アクセス制御や暗号化などのセキュリティ対策を実施する
- 事業継続計画および災害復旧計画を策定する
- ICT脅威の継続的な監視およびマルウェアのリアルタイム検出のためのツールを活用する
- 脆弱性を軽減するため、ソフトウェアおよびハードウェアの更新を適時実施する
- 侵入テストやシナリオベースのテストを含む、定期的な脆弱性評価を実施する
重要環境や高リスク領域においては、各組織はレッドチームテストなどの高度なテストを定期的に実施することが求められ、場合によっては業界全体のテスト演習への参加が義務付けられることもある。
- インシデント発生時の透明性を確保し、他の組織がインシデントから教訓を得られるようにするため、関係者と当局に迅速に報告する
"デジタル・オペレーショナル・レジリエンス法"に関する専門家の見解
サイバーセキュリティの専門家による知見
"DORAは、金融機関に対し、リスクベースのアプローチに基づいた適切なデータセキュリティポリシーと強固なネットワークの構築を求めています。DORAが規定するこれらの取り組みは、業界にとって新しいものなのでしょうか?いいえ、それらは数十年前から存在しています。しかし、ランサムウェアのようなサイバー攻撃のリスクがますます高まっているにもかかわらず、一部の組織では、最も基本的なセキュリティ対策さえもまだ導入していないか、あるいは部分的にしか導入していないのが現状です" と、副社長のセルゲイ・セルデュク氏は述べている NAKIVO.
DORAの将来に関する予測
"DORAは、金融業界におけるサイバーセキュリティの強化に向けた道筋を築いています。そして将来的には、この規制が他の分野にも拡大していくことが期待されます。世界的なデジタル化とAIの進歩に伴い、サイバーセキュリティリスクにさらされる業界や組織は増加しています。多くの場合、これは個々の組織が金銭的あるいは評判上の損失を被るということではなく、組織間の相互依存関係により、業界内および業界横断的な混乱が生じるリスクが高まることを意味しています。" —NAKIVO副社長、セルゲイ・セルデュク
NAKIVO を使用した DORA 準拠を確保するための手順
DORAは、バックアップおよびレプリケーションの手順(第11条~第12条)に特に重点を置いています。これらは、企業のサービスの可用性、継続性、およびデータセキュリティに直接影響を与えるためです。DORAは、事業体に対し、データ転送のセキュリティを確保し、データの破損や損失のリスク、ならびに不適切なデータ管理慣行や人的ミスによるリスクを最小限に抑えることを義務付けています。
NAKIVO Backup & Replication は、単一のWebベースのインターフェースから、バックアップ、レプリケーション、設定、災害復旧ワークフローの自動化、およびワークロードの監視を可能にする包括的なデータ保護ソリューションです。
このソリューションは、仮想環境、クラウド環境、物理環境、NAS、SaaS、およびハイブリッド環境に対応しており、あらゆる規模の金融機関が最高水準のデータ保護を実現するのに最適です。このソリューションは、以下の環境とシームレスに連携します さまざまなストレージの種類、重複排除アプライアンスやNASデバイス、パブリッククラウド、S3互換のクラウドプラットフォーム、テープなどを含め、さまざまなビジネスニーズやコンプライアンス要件に必要な柔軟性を確保します。
初期コンプライアンス評価の実施
DORA規制への準拠に向けて改善が必要な領域を特定するため、ギャップ分析を実施してください。前述した4つの重点分野に焦点を当ててください:
- ICTリスク管理
- ICTインシデントの管理、分類、および報告
- デジタル・オペレーショナル・レジリエンスのテスト
- ICTにおけるサードパーティ・リスク管理
DORA準拠戦略の策定
DORA準拠戦略を策定する際には、具体的な手順、目標、優先順位を定めた年次ロードマップを作成すべきです。この戦略は、組織のITインフラの複雑さや、デジタル脅威に対する現在の耐性レベルによって異なります。
DORAでは、金融機関に対し、適切な事業継続計画、ICT対応・復旧計画を策定し、以下の実施を義務付けています。 ビジネス影響度評価(BIA) 深刻な業務中断に見舞われるリスクを軽減するためです。
また、DORAでは、プライマリサイトがダウンした場合でも重要な業務の継続性を確保できるよう、組織に対し、少なくとも1か所の遠隔地にあるセカンダリサイト(災害復旧サイト)を確保することを義務付けています。ダウンタイムを最小限に抑え、業務中断や損失を軽減するためには、組織は 災害復旧計画 具体的には以下の通りです:
- ソフトウェアおよびハードウェアの構成要素、ならびに保存データの重要度に基づくバックアップおよび災害復旧の範囲;
- ITコンポーネント間の依存関係とVMの復旧順序;
- 復旧目標 (復旧時間および復旧時点)は、各機能の重要度および事業運営全体への影響度に応じて設定する必要があります(これは、データの更新頻度や重要度に基づいた復旧時点のローテーション計画も策定する必要があることを意味します);
- 担当者の役割と責任;
- 円滑な移行を確保するため、セカンダリDRサイトにおけるハードウェア要件を定め、十分なCPU、メモリ、ディスク容量、およびネットワーク帯域幅を確保した。
NAKIVOを活用したDORAコンプライアンスへの対応
NAKIVOソリューションの高度な機能を活用することで、DORAへの準拠に向けた負担を最小限に抑え、サイバーセキュリティに関連するプロセスの大半を自動化することができます。あらゆるユースケースを効果的に活用していただくため、ここではNAKIVOソリューションを用いてDORAの具体的なセキュリティ要件に対応する方法をご紹介します:
- データの回復力(第9条)。 NAKIVOのソリューションを利用すれば、"3-2-1"のバックアップルールに容易に準拠し、データの耐障害性を高めることができます。このルールによれば、バックアップデータを少なくとも3つの異なる場所に保存する必要があります。そのうち2つはオフサイト、1つはクラウド上に保管すべきです。
- データの完全性(第12条)。 アプリ対応のバックアップおよびレプリカ機能により、アプリケーションの実行中にバックアップを実行した場合でも、アプリケーションデータの一貫性が保たれるため、安心してご利用いただけます。また、本ソリューションでは、Oracle DBや、Active Directory、Exchange ServerなどのMicrosoftアプリケーションに加え、Microsoft 365のアプリおよびサービス(Teams、Exchange Online、SharePoint Online、OneDrive for Business)のバックアップにも対応しています。
- ランサムウェアやその他のサイバー脅威に対する耐性(第9条)。 NAKIVOのソリューションを利用すれば、ローカル環境、クラウド、またはHYDRAstorデバイス上で不変のバックアップを作成でき、データが改ざんされたり削除されたりすることを防ぐことができます。また、以下の機能も活用できます エアギャップ バックアップデータをテープやその他の着脱式ストレージに保存することで、サイバー犯罪者がネットワーク経由でアクセスできないようにします。また、このソリューションでは、復元前にバックアップデータをスキャンしてマルウェアの有無を確認できるため、バックアップデータが感染していないことを確実に確認できます。
- エンドツーエンド暗号化(第9条)。 NAKIVOのソリューションを利用すれば、バックアップデータがソースマシンから送信される前に暗号化できるほか、ネットワークやバックアップリポジトリも暗号化できるため、転送中および保存中のデータの安全性を確保できます。
- 不正アクセス防止および強固な認証メカニズム(第9条)。 ロールベースのアクセス制御と多要素認証により、すべてのバックアップおよびデータ保護ワークフローを保護することができます。
- リアルタイム脅威監視(第10条)異常をリアルタイムで確実に検知する最善の方法は、包括的なマルウェア対策ソフトウェアを利用することです。しかし、NAKIVOのソリューションには、脅威の監視を強化するのに役立つ機能が備わっています。例えば、 VMware向けIT監視機能これにより、問題が深刻化する前に、不具合や不審な動きを検知することができます。この機能では、CPU、RAM、ディスク使用率を含むすべてのパフォーマンス指標をリアルタイムで監視できるため、異常なリソース消費をいち早く把握することができます。
- ICTリスクに対する業務継続性および障害発生時のダウンタイムの最小化(第11条~第12条). NAKIVOの高度なサイト復旧機能により、 サイト復旧ワークフローの自動化とテスト. 自動化されたシーケンスを設定しておけば、災害発生時にワンクリックでトリガーし、セカンダリサイトにあるレプリカに即座に切り替えることができます。
- DRワークフローおよびプロトコルの定期的なテスト(第12条)。 災害発生時に復旧を円滑に進め、目標を達成するためには、本番環境の運用に支障をきたさないテストモードで、フェイルオーバーおよびフェイルバックのワークフローを定期的にテストすることをお勧めします。このテストにより、一連の処理手順を確認し、ネットワーク接続性を検証することができます。
概要
"デジタル・オペレーショナル・レジリエンス法"は、金融セクターのレジリエンス強化と金融業務の安全確保に向けた戦略的な飛躍です。同法は、サイバーセキュリティのベストプラクティスの導入を義務付け、学習と意識向上を促進することで、金融機関が現在の脅威や将来の課題に立ち向かうことを支援するとともに、他業界にとっても指針となるものです。
より強靭なICTシステム構築に向けた取り組みに、NAKIVOをご活用ください。
