デジタル・オペレーション・レジリエンス法(DORA)は、欧州連合(EU)の 金融部門を対象とした包括的な情報通信技術(ICT)リスク管理の フレームワークを構築するEUの規制です。DORAの導入により、規制におけるギャップ、重複、矛盾に対する統一的なフレームワークを確立し、金融機関の法令遵守の負担を軽減し、EUの金融システムのレジリエンス向上を目指しています。
DORAは、2025年1月17日より適用開始となりました。
DORA導入前、EUの規制は主に運用リスクに対する資本に焦点が当てられており、ICTやセキュリティーに関するガイドラインは国または地域で一貫性がありませんでした。DORAは、金融サービス分野におけるICTリスク管理を向上し、EU加盟国全体で規制を調和させることを目的としています。
DORAには、拘束力のある複数の規制技術基準(RTS)および実施技術基準(ITS)が補記されており、規制要件を効果的に実施するための統一基準と実践的なガイドラインが示されています。
DORAは、銀行、信用機関および決済機関、投資会社、取引所、中央証券保管機関などの幅広い金融機関に加え、暗号資産サービス提供会社やクラウドファンディング・プラットフォームといった非伝統的な機関にも適用されます。AIFMDの第3条第2項に基づく適用除外の対象となるオルタナティブ投資ファンドの運営者や、規模、リスク・プロファイル、業務の複雑性に関する一定の基準を満たす小規模かつ非複雑な機関には、適用除外が認められています。
DORA特有で影響力のある側面の1つとして重要なのは、金融機関だけでなく、クラウド・サービスのプロバイダーやデータセンターといった、 金融部門にサービスを提供する重要なICTプロバイダーにも適用される点です。
DORAの施行は、欧州中央銀行(ECB)およびEU加盟各国の指定規制当局、いわゆる「国内管轄当局(NCA)」の権限で行われます。ECBや国内管轄当局は、金融機関に対し、特定のリスク管理とセキュリティー対策を講じ、脆弱性を是正するよう要求することができます。また、監督上の要件に従わない機関に対して、行政罰や刑事罰を科す強制力も持っています。各加盟国は、自国の管轄当局がどのように制裁を科すかについて、裁量を行使する権限を持っています。
DORAにおいて「クリティカル」 と判断されたICTプロバイダーは、欧州監督当局(ESA)の主任監督者によって直接監督されます。国内管轄当局と同様に、主任監督者は、脆弱性への対応として特定のセキュリティー対策や是正措置を要求でき、準拠していないICTプロバイダーに対して罰則を科すことができます。DORAでは、主任監督者が非遵守のICTプロバイダーに対して、前事業年度の当該プロバイダーの1日平均世界売上高の1%に相当する罰金を科すことを認めています。プロバイダーは、主任監督者の求める要件を満たすまで、最長6か月間にわたり毎日罰金が科せられる可能性があります。
DORAは、金融機関とICTプロバイダーの技術要件を4分野に分けて定めています。
- ICTリスク管理とガバナンス
- インシデント対応 と報告
- デジタル・オペレーショナル・レジリエンス・テスト
- サードパーティーのリスク管理
第5の分野は情報共有に関するものですが、他の4つの分野とは異なり、必須ではなく奨励事項とされています。
DORAの対象となる金融機関は、外部プロバイダーのICTリスク管理に積極的な役割を果たすことが期待されています。クリティカルかつ重要な機能を外部に委託する場合、金融機関は、出口戦略、監査、データへのアクセシビリティー、完全性、セキュリティーなどのパフォーマンス目標に関して、契約上の取り決めについて交渉することが求められます。企業は、これらの要件を満たさないICTプロバイダーと契約することはできません。EBCおよび国内管轄当局は、非遵守の契約を一時停止または強制終了することができます。欧州委員会は、企業やICTプロバイダーが確実にDORAを遵守するために使用できる、標準化された契約条項の作成を検討しています。
金融機関はまた、 サードパーティーのICTへの依存関係をマッピングする必要があり、重要な機能が単一のプロバイダーまたは小規模なプロバイダー・グループに集中しすぎないようにする必要があります。
クリティカルな外部ICTサービス・プロバイダーは、ESAから直接監督されます。欧州委員会は、どのプロバイダーがクリティカルであるかを判断するための基準を策定中です。基準を満たす企業には、ESAの1つが主任監督者として割り当てられます。主任監督者はクリティカルなプロバイダーに対し、DORAの要件を強制することに加えて、DORAの要件を遵守していない金融機関やその他のICTプロバイダーとの契約締結を禁止することもできます。
DORAは、企業の経営陣にICTに対する管理責任を課しています。取締役会メンバー、執行幹部、およびその他の上級管理者は、適切なリスク管理戦略を定義し、その実行を積極的に支援し、ICTリスク状況に関する最新の知識を維持することが期待されます。幹部はまた、企業の非遵守に対して個人的な責任を負わされる可能性もあります。
対象となる企業は、包括的なICTリスク管理フレームワークを策定することが期待されます。企業は、ICTシステムをマッピングし、重大な資産と機能を識別および分類し、資産、システム、プロセス、プロバイダー間の依存関係を文書化する必要があります。企業は、ICTシステムの継続的なリスク評価を実施し、サイバー脅威を文書化して分類し、特定されたリスクを軽減するための手順を文書化する必要があります。
リスク評価プロセスの一環として、企業はビジネス影響分析を実施して、特定のシナリオや深刻な混乱がビジネスにどのような影響を与えるかを評価する必要があります。企業は、リスク許容度のレベルを明確にし、情報通信技術(ICT)インフラストラクチャーの設計に役立つ情報を提供するために、これらの分析の結果を使用することが求められます。また、各企業は、IDおよびアクセス管理やパッチ管理に関するポリシーなど、適切なサイバーセキュリティ―保護対策を実施することが義務付けられます。さらに、拡張検知と対応システム、セキュリティー情報およびイベント管理(SIEM)ソフトウェア、セキュリティー・オーケストレーション、自動化、対応(SOAR)ツールなどの技術的制御も併せて導入することが求められます。
また、企業は、ICTサービスの障害、自然災害、サイバー攻撃など、さまざまなサイバーリスクのシナリオに対して、事業継続性と災害復旧計画を作成しておく必要もあります。これらの計画には、データのバックアップとレジリエンス対策、システム復元プロセス、影響を受ける顧客、パートナー、政府当局との連絡計画が含まれている必要があります。
対象となる企業は、ICT関連のインシデントを監視、管理、記録、分類、報告するためのシステムを確立する必要があります。インシデントの重大性によっては、企業は規制当局だけではなく、影響を受ける顧客やパートナーの双方にも報告する必要があるかもしれません。重大なインシデントについて企業は、規制当局に通知する初期報告書、インシデント解決に向けた進捗状況に関する中間報告書、インシデントの根本原因を分析する最終報告書の3種類の報告書の提出が求められます。
インシデントをどのように分類するか、どのインシデントを報告する必要があるか、および報告のスケジュールに関するルールは今後策定される予定です。ESAはまた、中心的なハブ組織と共通レポート・テンプレートを確立することで報告を効率化する方法を模索しています。
企業は、ICTシステムを定期的にテストして、保護の強度を評価し、脆弱性を特定することが求められます。これらのテストの結果と、特定された脆弱性を是正するための計画は、関連当局に報告され、検証される必要があります。
企業は脆弱性評価やシナリオベースのテストなどのテストを、年に1回実施しなければなりません。金融システムにクリティカルな役割を果たすと判断された金融機関は、3年ごとに脅威ベースのペネトレーション・テスト (TLPT)を実施する必要もあります。企業にとってクリティカルなICTプロバイダーも、これらのペネトレーション・テストに同席することが義務付けられています。2025年1月23日、ECB理事会はTIBER(Threat Intelligence-based Ethical Red Teaming、脅威インテリジェンスに基づく倫理的レッド・チーム)-EUフレームワークの改訂版を承認しました。この改訂は、DORAが2025年1月17日に発効したことを踏まえ、脅威主導型ペネトレーション・テストに関するDORA規制の技術基準と完全に整合させることを目的としています。改訂されたTIBER-EUのフレームワークとガイダンス文書は、ECBのウェブサイトで確認できます。
金融機関は、ICT関連の内外のインシデントから学ぶためのプロセスを確立することが求められます。この目的のために、DORAは脅威インテリジェンスの共有プログラムに自主的に参加することを奨励しています。この文脈で共有されるいかなる情報も、関連するガイドラインの下で今後も保護される必要があります。例えば、個人を特定できる情報は、引き続き一般データ保護規則(GDPR)の対象となります。
IBM Cloudは、お客様が障害に直面した際のデジタル運用レジリエンスを強化できるよう支援し、DORA準拠に向け準備ができるよう尽力しています。IBMは、世界有数の金融サービス機関のモダナイゼーションを長年にわたり支援してきた実績と深い専門知識を活かし、お客様の成長を促進しながらリスクを軽減し、DORAへの準拠など変化し続ける規制状況への対応を支援することに注力しています。
クラウド・サービス・プロバイダー(CSP)として、DORAはIBM Cloudに2つの側面で影響を与えます。
- 間接的には、IBMと金融機関(FE)のお客様の双方が、ICTシステムのセキュリティー、安定性、レジリエンスの管理に加え、お客様とIBMの間、およびIBMとサプライヤーの間で締結された契約内容や契約全体の取り扱いの管理について、ポリシーや手順の改訂、ツールの適応などの措置を講じる必要があります。
- 直接的には、IBM CloudがFEのお客様にICTサービスを提供している場合、DORAに基づき、IBMおよびIBM CloudがクリティカルなICTサードパーティー・サービス・プロバイダー(CTPP)として指定され、監督の対象となります。
これまで、IBMはEU当局からクリティカルなICTプロバイダーとして正式に指定されていません。ただし、IBM Cloudでは、IBMが管轄当局によってクリティカルなICTサードパーティー・サービス・プロバイダー(CTPP)として指定された場合に備えて、将来的な直接要件への対応に向けて積極的に準備を進めています。
IBM Cloudは、お客様がリスクベースの意思決定を行えるよう支援します。当社の文書には、各クラウド・サービスの詳細な情報が記載されており、組み込みのサービス・レジリエンス対策を明示し、お客様が潜在的な予期せぬ障害に備えた設計ができるよう手助けをします。堅牢な機能の証拠として、詳細な コンプライアンス文書が含まれています。また、IBM Cloud Security and Compliance Center Workload Protectionは、IBM Cloud Framework for Financial Services、DORA、PCI、その他多くの業界関連規制やベスト・プラクティス基準に対するコンプライアンス・チェックを自動化します。これは、IBM Cloud上のリソースだけでなく、マルチクラウド環境におけるリソースにも対応しています。
IBM Cloudは、お客様が自らのニーズに最適なレジリエントな実装を設計できる、堅牢なプラットフォームを提供します。IBMのマルチゾーン・リージョンでは、地理的位置、IDおよびアクセス管理、IBM Cloud Databases、コンテナ・サービス(KubernetesやRed Hat OpenShift)、さまざまなストレージ・サービス、仮想プライベートクラウドなどの可用性の高いグローバル・サービスとゾーン間のサービスを提供しており、最も要求の厳しいワークロードにおいて、アプリケーションのレジリエンスおよびコンプライアンス要件を満たします。さらに、リファレンス・アーキテクチャと推奨ガイダンスを活用して地域間災害復旧を設計することで、さまざまなシナリオに備えることができます。
安定性は重要であるため、IBM Cloudは、お客様が予期しない障害を確実に回避するために必要なレジリエンス機能を提供しています。それはIBM Cloud Schematicsを通じて実装されたEverything-as-Codeやデプロイ可能なアーキテクチャーから、高可用性のネットワーク・アーキテクチャー、最先端のIBM Cloud Monitoringに至るまで、多岐にわたります。仮想プライベートクラウド、IBM Kubernetes Service、Red Hat OpenShift on IBM Cloud、IBM Cloud Databasesなどの多くのサービスの自動スケーリング機能により、ピーク時のワークロードでも十分な容量を確保できるようになっており、ゾーン間や地域間で簡単に負荷分散を行うことができます。 一方、継続的デリバリー・ツールチェーンを用いて実装されたDevSecOpsの方法により、自動化されたリリース管理とセキュリティを考慮した設計(セキュア・バイ・デザイン)が強化されます。
オペレーショナル・レジリエンス規制を支える基本的な前提は、インシデントや計画外の停止は、全員の最善の努力にもかかわらず発生するということです。だからこそ、発生頻度や影響が減るように対応することが最も重要です。IBMでは定期的にBCDRテストを実施し、プロセスがお客様の影響許容度に対応していることを確認しています。また、テストの結果は、従業員教育や意識向上、継続的な改善活動に反映するようにしています。インシデントが発生した場合、影響を受けるお客様にタイムリーにインシデント通知を共有し、根本原因の分析を行い、適切な範囲で調査結果を共有します。多くのIBM Cloudサービスは、当社の責任共有モデルに沿って、災害発生時に第2地域での復旧を支援するために、顧客データを地域間のObject Storageバケットに自動的にバックアップします。
|
1. ICTリスク管理 |
|---|
Cloud Pak for Securityデモ
既存のセキュリティー・ツールと統合することで、脅威とリスクについての深い洞察を獲得し、アクションを調整し、対応を自動化します。
IBM Cloud Security and Compliance Center - データ・セキュリティー・ブローカー - マネージャー
Security and Compliance Centerスイートのセキュリティー・ソリューションで、一元化された暗号化ポリシーと、さまざまなデータソースにわたるデータの監査を提供します。
IBM Cloud Security and Compliance Center - Workload Protection
コンテナとマイクロサービスに重点を置いたアーキテクチャーで、IBM Cloud Security and Compliance Center Workload Protectionを使用すれば、ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検出して対応し、ソースから実行までの構成、権限、コンプライアンスを管理することができます。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。
IBM QRadar Suite
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。この製品には、エンタープライズ・グレードのAIと自動化が組み込まれており、アナリストの生産性を大幅に向上し、リソースに制約のあるセキュリティー・チームがコア・テクノロジー全体でより効果的に作業できるよう支援します。共通のユーザー・インターフェイス、インサイトの共有、ワークフローの接続により、エンドポイント・セキュリティー(EDR、XDR、MDR)、SIEM、SOAR向けの統合製品を提供します。
IBM X-Force
X-Forceは、世界規模の脅威から組織を保護するための統合セキュリティー・プログラムの構築と管理を支援します。攻撃者がどのように攻撃を企て、戦略を立て、実行(攻撃)するかについて把握しているIBMチームは、インシデントを防止、検知、対応し、インシデントが起きた場合に業務中断から迅速に回復できるようにするための方法を熟知しているため、お客様はビジネスの優先事項に集中できます。 X-Forceが提供する攻撃・防御サービスは、脅威調査、インテリジェンス、修復サービスが主要な柱となっています。
IBM Cloud Hardware Security Module
Gemalto の IBM Cloud Hardware Security Module (HSM) 7.0 は、耐タンパー性のハードウェア・デバイス内で暗号鍵をより安全に管理、処理、格納することにより、暗号インフラストラクチャを保護します。クラウド上でのワークロードの移行と実行に伴う複雑なセキュリティ、コンプライアンス、データ主権、制御の課題を解決するのに役立ちます。
機密コンピューティング
IBM Cloudでは、IBM Z、IBM LinuxOne、Intel Xeonによる幅広いデータ・セキュリティーおよび暗号化技術を使って、保存中、転送中、使用中のデータを保護します。
IBM Security Guardium
IBM Security Guardiumは、脆弱性を特定し、オンプレミスとクラウドの機密データを保護するIBM Securityポートフォリオに属するデータ・セキュリティー・ソフトウェア・ファミリーです。
IBM Cloudストレージ・サービス
IBMのクラウド・ストレージ・サービスは、従来のワークロードとクラウドネイティブのワークロードをサポートしながら、スケーラブルでセキュリティーが充実し、コスト効率に優れたデータの保管場所を提供します。アクセス・オブジェクト、ブロック、ファイル・ストレージなどのサービスをプロビジョニングおよび導入します。要件の変化に応じて容量を調整し、パフォーマンスを最適化します。お支払いは、必要なクラウド・ストレージのみが対象です。
IBM Cloud Backup
IBM® Cloud Backupは、フル機能のエージェント・ベースのバックアップと復元システムです。Webインターフェースを介して管理されます。1つ以上のIBM Cloudグローバル・データ・センター内のIBMクラウド・サーバー間でデータをバックアップします。
IBM Cloud Databasesサービス
IBM Cloud Database-as-a-Service(DBaaS)サービスは、インフラストラクチャーとデータベース・ソフトウェアの導入、インフラストラクチャーの運用、データベース・ソフトウェアの更新、バックアップなど、複雑で時間のかかるタスクから開発者とIT部門を解放します。IBM® Cloud Databases SMEは、すぐに使用できる高可用性のデータベース・インスタンスを提供および維持し、開発者とIT担当者が他の優先事項に集中するための時間を確保できるようにします。
IBM Cloud Container Registry
完全に管理されたプライベート・レジストリーにコンテナ・イメージを保存し、分配します。プライベート・イメージをプッシュして、IBM Cloud Kubernetes Service やその他のランタイム環境で便利に実行できます。イメージのセキュリティー問題がチェックされるため、十分な情報に基づいてデプロイメントの決定が可能です。
DevSecOpsアプリケーション・ライフサイクル・マネジメント
DevSecOpsアプリケーション・ライフサイクル・マネジメントのデプロイ可能なアーキテクチャーは、一連のDevOpsツールチェーンとパイプラインを作成します。DevSecOpsは、継続的デリバリー(CD)(Git Repos and Issue Tracking、Tekton Pipelines、IBM Cloud DevOps Insights、Code Risk Analyzer)、Secrets Manager、IBM Key Protect、IBM Cloud Object Storage、IBM Cloud Container Registry、Vulnerability Advisorを使用しています。
IBM Cloudオブザーバビリティー・ソリューション
可観測性により、最新の分散アプリケーションに対する詳細な可視性が提供され、問題の特定と解決がより迅速に自動化されます。
|
2. インシデント・レポート |
|---|
IBM X-Force
X-Forceは、世界規模の脅威から組織を保護するための統合セキュリティー・プログラムの構築と管理を支援します。攻撃者がどのように攻撃を企て、戦略を立て、実行(攻撃)するかについて把握しているIBMチームは、インシデントを防止、検知、対応し、インシデントが起きた場合に業務中断から迅速に回復できるようにするための方法を熟知しているため、お客様はビジネスの優先事項に集中できます。 X-Forceが提供する攻撃・防御サービスは、脅威調査、インテリジェンス、修復サービスが主要な柱となっています。
IBM QRadar Suite
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。この製品には、エンタープライズ・グレードのAIと自動化が組み込まれており、アナリストの生産性を大幅に向上し、リソースに制約のあるセキュリティー・チームがコア・テクノロジー全体でより効果的に作業できるよう支援します。共通のユーザー・インターフェイス、インサイトの共有、ワークフローの接続により、エンドポイント・セキュリティー(EDR、XDR、MDR)、SIEM、SOAR向けの統合製品を提供します。
IBM Security Guardium
IBM Security Guardiumは、脆弱性を特定し、オンプレミスとクラウドの機密データを保護するIBM Securityポートフォリオに属するデータ・セキュリティー・ソフトウェア・ファミリーです。
IBM Cloudオブザーバビリティー・ソリューション
可観測性により、最新の分散アプリケーションに対する詳細な可視性が提供され、問題の特定と解決がより迅速に自動化されます。
|
3. オペレーショナル・レジリエンスのテスト |
|---|
IBM Cloud Security and Compliance Center - Workload Protection
コンテナとマイクロサービスに重点を置いたアーキテクチャーで、IBM Cloud Security and Compliance Center Workload Protectionを使用すれば、ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検出して対応し、ソースから実行までの構成、権限、コンプライアンスを管理することができます。
IBM X-Force
X-Forceは、世界規模の脅威から組織を保護するための統合セキュリティー・プログラムの構築と管理を支援します。攻撃者がどのように攻撃を企て、戦略を立て、実行(攻撃)するかについて把握しているIBMチームは、インシデントを防止、検知、対応し、インシデントが起きた場合に業務中断から迅速に回復できるようにするための方法を熟知しているため、お客様はビジネスの優先事項に集中できます。 X-Forceが提供する攻撃・防御サービスは、脅威調査、インテリジェンス、修復サービスが主要な柱となっています。
IBM QRadar Suite
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。この製品には、エンタープライズ・グレードのAIと自動化が組み込まれており、アナリストの生産性を大幅に向上し、リソースに制約のあるセキュリティー・チームがコア・テクノロジー全体でより効果的に作業できるよう支援します。共通のユーザー・インターフェイス、インサイトの共有、ワークフローの接続により、エンドポイント・セキュリティー(EDR、XDR、MDR)、SIEM、SOAR向けの統合製品を提供します。
IBM Security Guardium
IBM Security Guardiumは、脆弱性を特定し、オンプレミスとクラウドの機密データを保護するIBM Securityポートフォリオに属するデータ・セキュリティー・ソフトウェア・ファミリーです。
DevSecOpsアプリケーション・ライフサイクル・マネジメント
DevSecOpsアプリケーション・ライフサイクル・マネジメントのデプロイ可能なアーキテクチャーは、一連のDevOpsツールチェーンとパイプラインを作成します。DevSecOpsは、継続的デリバリー(CD)(Git Repos and Issue Tracking、Tekton Pipelines、IBM Cloud DevOps Insights、Code Risk Analyzer)、Secrets Manager、IBM Key Protect、IBM Cloud Object Storage、IBM Cloud Container Registry、Vulnerability Advisorを使用しています。
|
4. サードパーティー・リスク管理 |
|---|
IBM Cloud Security and Compliance Center - Workload Protection
コンテナとマイクロサービスに重点を置いたアーキテクチャーで、IBM Cloud Security and Compliance Center Workload Protectionを使用すれば、ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検出して対応し、ソースから実行までの構成、権限、コンプライアンスを管理することができます。
|
5. 情報とインテリジェンスの共有 |
|---|
IBM X-Force
X-Forceは、世界規模の脅威から組織を保護するための統合セキュリティー・プログラムの構築と管理を支援します。攻撃者がどのように攻撃を企て、戦略を立て、実行(攻撃)するかについて把握しているIBMチームは、インシデントを防止、検知、対応し、インシデントが起きた場合に業務中断から迅速に回復できるようにするための方法を熟知しているため、お客様はビジネスの優先事項に集中できます。 X-Forceが提供する攻撃・防御サービスは、脅威調査、インテリジェンス、修復サービスが主要な柱となっています。
Cloud Pak for Securityデモ
既存のセキュリティー・ツールと統合することで、脅威とリスクについての深い洞察を獲得し、アクションを調整し、対応を自動化します。