DORA（デジタル・オペレーショナル・レジリエンス法）とは

DORAは  EU の規制であり、金融サービスセクターに影響を与えます。DORA は、EU の金融サービスに明確に関連する規制であり、サイバーセキュリティの耐障害性の維持に重点を置いています。

2023 年 1 月 16 日に発効し、2025 年 1 月 17 日より適用されます。

欧州連合（EU）の Fabio Panetta 氏は、サイバー脅威の状況について、 「脅威はますます複雑化しています。最近の攻撃に対しては、運用レベルで継続的に警戒し、規制フレームワークと監視フレームワークを継続的に再評価して更新が必要かどうかを確認する必要があります」と述べています。DORA は、変化する脅威の状況を考慮して、金融業界全体のサイバーセキュリティガイドラインを調和させるように設計されています。

データプライバシー規制を統合する GDPR と同様に、DORA は金融サービスにおける ICT リスク管理とサイバーリスク管理を統合し、さらに高めるものです。

DORA は、業界のデジタルトランスフォーメーションに起因するリスクを緩和することと、金融サービスエコシステムのサイバー耐障害性を高め、銀行、金融セクター、金融システムによるサイバーセキュリティインシデントの防止、対応、復旧を支援することを目的としています。これを実現するために、DORA は金融機関のビジネスプロセスをサポートするネットワークおよび情報システムのセキュリティに関する統一的な要件を定めています。要件には、ICT リスク管理、重要な ICT 関連インシデントに関する報告、デジタル・オペレーショナル・レジリエンス・テスト、情報共有、ICT サードパーティサービスの使用に関連する対策と要件が含まれます。

DORA は、EU 内において 21 の対象カテゴリーで金融事業を行っている金融組織に適用される法的措置です。DORA の影響を受ける金融セクターで事業を行っている組織には次のような組織が含まれますが、これらに限りません。

• 信用機関
• 決済機関
• 電子マネー機関 
• 投資会社
• 暗号資産サービスプロバイダー 
• オルタナティブ投資ファンド
• 保険管理者 
• ICT サードパーティ・サービス・プロバイダー

ゼロトラストの要素を含む Akamai のプラットフォームは、資産、アクセス制御、ネットワークフローを詳細に可視化し、セキュリティポリシーをきめ細かく実行するために役立ちます。Akamai が資産、アクセス、ネットワークフローを可視化することで、 ゼロトラスト・セキュリティ戦略の土台が構築され、これが ICT サードパーティのリスク管理にまで適用されます。 また、当社の脅威ハンティングチームは、最も巧妙に検知を逃れる脅威を特定し、侵害が発生した場合のラテラルムーブメント（横方向の移動）を制限できるように支援します。

Akamai のグローバルプラットフォームは、組織が既存の脅威や新たな脅威を検知して阻止し、変化するセキュリティ状況に適応するために役立ちます。

DORA の要件は、ICT システムのサイバー耐障害性に重点を置いています。DORA ベンチマークには以下が含まれます。

• 独立した組織は、年に一度、耐障害性と脆弱性のテストを実施する必要があります。また、定期的な脅威主導の侵入テストも要件の一つです。
• DORA は、リスクベースの包括的な保護手段を求めています。DORA のセキュリティ対策には、ネットワークおよびインフラ管理に対するリスクベースのアプローチの採用、脆弱性に対する適切で包括的なポリシーの実行（パッチやアップデートなど）、堅牢な認証メカニズムの使用、ICT システムのリソースおよびデータに対する物理的および仮想的なアクセスの制限などが含まれます。
• 「ICT 関連のインシデントを検知、管理、通知」する手順が必要であり、「早期警告インジケーターをアラートとして導入」する必要があります。
• ICT ベースの重大なインシデントを監視し、DORA 当局に説明および報告するプロセスがあれば、サイバーセキュリティインシデント報告は容易になります。
• 管理とセキュリティの説明責任に関する DORA の要件には、必要不可欠なサイバーセキュリティ管理と情報共有への対応が含まれています。

DORA と金融サービス

国際通貨基金（IMF）は、金融セクターが防御の弱さに起因するリスクにさらされていることが IMF の調査で明らかになったことを受け、金融セクターで使用される緊急防御策を求めています。 Bank of England はこれに賛同しており、同行が実施した H2 システミックリスク調査 では回答者の 74% がサイバー攻撃を金融セクターの最大のリスクと見なしています。

DORA のようなフレームワークやガイダンスは、金融機関やその関連サプライヤー（ICT プロバイダーなど）がリスク管理の方法を理解するために不可欠です。 Verizon 2022 Data Breach Investigations Report （DBIR、データ漏えい調査レポート）の調査では、データ漏えい、DDoS、ランサムウェアなど、金融業界で最も重大なサイバー脅威を記録しました。このレポートでは、このセクターにおけるほとんどのサイバー攻撃を成功させるためには盗まれた認証情報が不可欠であることが指摘されています。また、 商品先物取引委員会によると、130 のグローバル金融機関を対象とした 2022 年の調査では、74% の機関が前年に少なくとも 1 件のランサムウェア攻撃を受けていたことが判明しています。 

DORA と ICT プロバイダー

DORA の重要な要素の一つは、サードパーティのリスク管理です。 Verizon 2022 DBIRによると、金融セクターはサプライチェーン攻撃のターゲットとして 2 番目に多く狙われている業界です。DORA を順守する目的は、この状況を変え、サプライヤーや金融機関へのサイバー攻撃を防止することです。 欧州ネットワーク情報セキュリティ機関（ENISA）は、サプライチェーン攻撃が高度化して規模も拡大しており、攻撃者がデータや金融資産を盗むためにサプライチェーンを標的としていると報告しています。 DORA は、欧州銀行監督局（EBA）のアウトソーシングガイドラインなどの既存のフレームワークを使用して要件をまとめています。

欧州監督局が「critical（極めて重要）」と指定した ICT プロバイダーは、厳格な規則を伴う監督フレームワークの対象となり、任命された主任監督官の監督下に置かれます。

ゼロトラスト・ソリューションは、ICT プロバイダーを含む広範なサプライヤーネットワーク全体を可視化します。セキュリティ対策（最小権限、機密性の高い領域や機微な情報のプロアクティブな管理など）を実施することで、ランサムウェアによるデータ漏えいや感染を防止します。

Akamai は、金融セクターにおいて業務の耐障害性を確保するために役立つ一定の要件をカバーする、包括的なソリューションファミリーを提供しています。当社の優れたセキュリティソリューションは、Akamai を使用して重要な資産を保護している顧客から、クラス最高のソリューションとして評価されています。当社のセキュリティポートフォリオは、ポイントソリューションのコレクションから、包括的で強力なゼロトラスト・プラットフォームへと成長しました。Akamai のワールドクラスのソリューションは、重要な資産を保護するための ICT プロバイダーのリスク管理など、厳しい要件を満たすために必要な制御を提供します。Akamai のゼロトラスト・セキュリティは、資産タイプ、トラフィックタイプ（垂直方向、水平方向）、レガシーデバイスに関係なく、あらゆる種類の IT 環境に包括的に対応します。 Akamai は、インフラ全体で、IT 環境、重要な資産、アクセス要件、ネットワークフローを詳細に可視化します。

DORA は、欧州監督局（ESA）を構成する欧州保険・企業年金監督局（EIOPA）、欧州銀行監督局、欧州証券市場監督局が定めた過去の規定に基づいて構築されています。金融と保険のバリューチェーン全体でデジタルトランスフォーメーションが推進されているため、DORA は重要です。これらの新たなリスクを管理し、サイバー攻撃を防ぐための適切な措置や防御策を講じるためには、DORA の規制要件が必要です。

対象組織によるサイバーセキュリティインシデントの報告は、DORA の重要な要素です。対象組織は、ICT ベースの重大なインシデントを監視し、DORA 当局に説明および報告するためのプロセスを整える必要があります。

また、極めて重要な ICT プロバイダーに課される報告規則は厳格であり、当局への初期通知の後に、インシデント解決の進捗状況に関する中間報告と、根本原因分析の実施後の最終報告を行わなければなりません。インシデントの分類、報告が必須のインシデント、報告期限に関するガイドラインは、現在 ESA が作成中です。

DORA は 2025 年 1 月 17 日から適用されるため、金融機関と極めて重要なサードパーティ ICT サービスプロバイダーはそれまでの間にこの法律に準拠した体制に移行しなければなりません。DORA の順守に向けて組織の準備を整えるために、対象組織はギャップ分析を実施し、導入済みの既存の対策が一部またはすべての適用要件を満たしているかどうかを確認する必要があります。