ドラとは?金融サービスのためのデジタルオペレーションレジリエンス法

by

最終更新日:
4 読了時間:約4分
ドラとは?金融サービスのためのデジタルオペレーションレジリエンス法

採択:2022年11月
発効:2023年1月16日
適用開始:2025年1月17日(完全遵守日)

デジタル業務継続性法(DORA)は、金融セクターのデジタル業務継続性を強化することを目的とした拘束力のあるEU規則である。既存の金融規制に取って代わるのではなく、DORAは金融機関とその重要な技術プロバイダー全体にわたるICTリスクおよび業務リスクを管理するための統一された枠組みを確立することで、それらを補完するものである。

2025年1月17日より、EU域内で事業を行う対象となるすべての金融機関および関連するICTサードパーティサービスプロバイダーは、DORAの要件を遵守しなければならない。

DORAの目的は、組織がサイバー攻撃を含むICT関連の混乱を予防し、耐え抜き、対応し、回復できることを確保すると同時に、重要な金融サービスの継続性を維持することである。

見解:DORA準拠に向けたデロイトの新ルール

主なポイント

  1. DORAはEUの立法であり、提案ではなく、2025年1月17日より義務的な遵守が開始されます。
  2. EUの金融機関およびそれらを支援するICTサービスプロバイダーに適用されます。
  3. DORAは、ICTリスク、インシデント対応、テスト、および第三者監視をカバーする5つの必須の柱に基づいて構築されています。
  4. 組織は、構造化されたICTリスク管理およびインシデント対応能力を確立しなければならない。
  5. 重大な情報通信技術(ICT)インシデントは、厳格な規制上の期限内に分類し報告しなければならない。
  6. 重要情報通信技術第三者提供者(CTPP)の監督は、欧州監督機関(ESAs)によって実施される。

デジタル業務継続法(DORA)は、貴社にとってどのような意味を持つのでしょうか?

DORAは、金融機関がデジタルおよび業務上のレジリエンスを管理する方法に重要な変更を導入する。この規制の下では、組織は定義された方針、手順、統制、ガバナンスメカニズムを含む包括的なICTリスク管理フレームワークを実施しなければならない。

金融機関は、文書化されたインシデント対応および復旧計画を維持することが求められており、フィッシング攻撃、ランサムウェア、サービス停止などのサイバーインシデントを含むICT障害を検知し、対応し、復旧する方法を詳細に記述しなければならない。

さらに、金融機関を支援するICTサードパーティサービスプロバイダーはDORAの適用範囲に含まれ、強化された契約上の義務、監視義務、およびリスク管理義務の対象となる。

PowerDMARCでドラをシンプルに!

DORAの適用範囲と適用性

DORAは以下に適用されます:

  • EU域内で事業を行う金融機関(銀行、保険会社、投資会社、フィンテック企業、決済機関を含む)
  • これらの金融機関を支援するICTサードパーティサービスプロバイダー

重要とみなされるICTプロバイダーは、その回復力とリスク管理がDORA基準を満たすことを確保するため、欧州監督機関(ESAs)による直接監督の対象となる。

DORAは、この範囲外の組織に対して任意の認証を提供しません。非金融組織は同様のベストプラクティスを採用できますが、規制上「DORA準拠」とはみなされません。

DORAに基づく中核要件

DORAは5つの必須の柱を中心に構成されています:

ICTリスク管理
ICTリスクを管理するためのガバナンス、ポリシー、統制、手順の確立

ICT関連インシデント報告
重大インシデントの分類と規制当局への義務的報告(所定の期限内)
(数時間以内の初期通知、その後の更新情報、最終報告を含む)

デジタル運用レジリエンステスト
システム、プロセス、および統制の定期的なテストによる脆弱性の特定

ICTサードパーティリスク管理
契約、監視、撤退戦略を通じた外部委託ICTサービスに起因するリスクの管理

情報共有
金融セクター内におけるサイバー脅威情報の自発的共有の促進

これらの措置は、深刻なデジタル障害が発生した場合でも、金融機関とそのICTパートナー双方が安全に業務を継続できるように設計されている。

DORAに基づくコンプライアンス達成

DORA要件を満たすため、組織は明確に定義されたICTリスクおよびレジリエンスプログラムを実施すべきであり、これには通常以下が含まれる:

  • 継続的なリスク評価と脆弱性テスト
  • インシデントの検知、分類、および対応手順
  • 事業継続および災害復旧計画
  • 従業員の意識向上と研修プログラム
  • ICTサプライヤーおよび下請け業者の監督

文書化され一貫して実施される枠組みは、組織がコンプライアンスを実証し、金融エコシステム内で信頼を構築するのに役立ちます。

DORA法主な条件と目標

DORAは、デジタル脅威の増大に直面してもEU金融セクターが安全、安定、かつ強靭性を維持することを目的としています。主な規制上の期待事項は以下の通りです:

  • 明確に定義された情報通信技術(ICT)インシデント対応および復旧計画
  • ICTリスクの継続的な評価と軽減
  • ネットワーク、システム、インフラストラクチャ全体にわたる強力なセキュリティ管理
  • 規制当局への主要なICTインシデントの適時かつ体系的な報告
  • 障害発生時の重要サービスの継続性を確保するための対策

PowerDMARCでDORA準拠に一歩近づく

DORAへの対応として組織がデジタルレジリエンスを強化する中、電子メールは依然として重要な攻撃経路であり、広範なICTセキュリティ戦略の一環として保護されなければならない。

DORAは電子メール認証プロトコルを明示的に義務付けてはいないものの、組織に対しネットワーク、システム、通信インフラの保護を要求しています。強力な電子メールセキュリティ対策の実施は、リスク低減とインシデント防止に関するDORAの広範な目的と合致します。

PowerDMARCは、フルスタックのメール認証スイートを通じて組織のメールチャネルセキュリティ強化を支援するマルチテナントSaaSプラットフォームです。ISO 27001、SOC 2 Type II、GDPRに準拠しており、金融機関と連携してメールベースの脅威を低減し、認証リスクの可視性を向上させます。

私たちは、あなたをサポートします。

DORA準拠のICTリスク戦略の一環として、メールセキュリティを強化するため、本日お問い合わせください