銀行、保険会社、投資会社といった金融サービス業界に属するグローバル企業の多くは、自社の事業推進に AI とクラウドを活用するメリットを大いに実感しています。しかし、そうした重要なテクノロジへの依存度が大きくなるにつれ、信頼できる安全な事業運営を行うことへの責任が高まります。

大手企業、政府規制当局、マイクロソフトなどのテクノロジ プロバイダーが共通して抱えているのが、急速に変化する世界情勢において金融業界の回復力をどれだけ維持できるかという課題です。実際、この課題に対処することがマイクロソフトの金融サービス向けソリューション Microsoft Cloud for Financial Services の基本方針であり、当社の製品とサービスの開発でセキュリティ対応が最優先 (英語) に取り組まれていることとも密接に関連しています。

Microsoft Cloud for Financial Services のソリューションを確認する

2020 年以降、欧州連合 (EU) の当局者は、業界のテクノロジ依存の傾向に対処し、関連するリスクを軽減するために、新たな包括的規制を設けることに尽力してきました。2023 年 1 月 16 日に発効された DORA (デジタル オペレーショナル レジリエンス法) は、2025 年 1 月 17 日より適用が開始され、その影響は、EU 内で事業を行う事実上すべての金融業者とそのサポートを行う多くの重要なサードパーティ サービス・プロバイダーに及んでいます。マイクロソフトは、DORA の策定に関して規制当局や金融機関との協力に積極的に取り組んでおり、現在は、お客様が包括的かつスムーズに DORA に準拠できるよう支援することに注力しています。

DORA とは?

DORA は、金融サービスのオペレーショナル レジリエンスの強化を目的とした EU の新しい重要規制であり、金融機関に強固なリスク管理の維持と、幅広い脅威や混乱に対する耐性と適応力の強化を求めるものです。EU のより広範な戦略の一環として、金融業界の安定性と安全性を向上させ、各加盟国の多様な要件を協調させる狙いがあります。DORA は、EU 内で事業を行う金融サービス事業者とその事業に重要なサードパーティ サービスを提供するテクノロジ企業に適用されます。

DORA の下では、金融サービス事業者は強固なサイバーセキュリティ インシデント対応計画を整備し、セキュリティ侵害などのサイバー インシデントや混乱を当局に速やかに報告することが義務付けられます。これらの事業者は、深刻なシナリオに備えた出口戦略を含め、大規模な混乱が生じた際にも事業運営を継続できるようにするビジネス継続性計画を構築する必要があります。また、金融監督当局による監督が強化され、オペレーショナル レジリエンスの監査と評価、必要に応じた規制遵守のための措置が講じられることになります。

DORA は、サード パーティの情報通信技術 (ICT) サービス プロバイダーにも要件を課しており、主要機能をサポートするクラウド コンピューティング製品やサービスを提供する ICT 企業に主に (ただし限定はされない) 焦点を当てています。また、この規定では新たに「重要」なプロバイダー (マイクロソフトが含まれる可能性が高い) が設定され、指定されると、欧州監督当局 (ESA) による新たな監督フレームワークの対象となります。

DORA が金融サービス業界のお客様に及ぼす影響

金融サービス業界のお客様は、DORA から多数の新規要件や高度な要件に従うことが求められます。たとえば次のようなものがあります。

• 情報通信技術 (ICT) サービス プロバイダーのリスク管理
  自社の全社的なリスク管理システムに統合された、包括的な ICT リスク管理フレームワークを確立する必要があります。このフレームワークは、テクノロジとセキュリティに関する主要な検討事項 (特定、保護、検知、対応、復旧など) をカバーしたものであり、システム、情報資産、データの安全性と回復力を維持するための戦略、方針、手順、ツールを網羅している必要があります。
• インシデントの管理と報告
  主な ICT 関連のインシデントを検知、管理し、厳密に定められた期限に則って当局に報告する必要があります。サイバーセキュリティ侵害、サービス中断、データ損失などのインシデントは、影響を受ける利用者の数、期間、経済的影響などの基準で評価します。
• オペレーショナル レジリエンス テスト
  重要な ICT システムやアプリケーションに対する脅威ベースのペネトレーション テスト (TLPT) や脆弱性評価などのデジタル運用テストの実施が義務付けられます。これらは、障害発生時の迅速な復旧とビジネス継続性の証明を目的としたテストです。
• 契約上の取り決め
  DORA は、ICT サービス プロバイダーと金融サービス事業者間の契約に関して特定の要件を課しています。これには、監査、ビジネス継続性、出口戦略、主要な下請け業者の利用に関する要件などが含まれます。さらに、金融サービス事業者は ICT プロバイダーと契約を締結する前に、そのプロバイダーのセキュリティ対策、コンプライアンス状況、財務面の安定性について評価するなど、契約前のリスク評価を実施する必要があります。

お客様の DORA 準拠に対するマイクロソフトの支援

マイクロソフトは、大手 ICT サービス プロバイダーとして堅牢な内部ガバナンス プロセスを確立し、重要なサードパーティ テクノロジ ベンダーに適用される規定への対応準備を進めています。また同時に、規制対象の金融機関の皆様が DORA の定める要件を満たせるようサポートを提供していきます。これには、契約条項と DORA の要件の整合性を取ることや、マイクロソフトの幅広いクラウドおよびエンタープライズ製品に ICT リスク管理機能を組み込むことなどが含まれます。

お客様の DORA 対応についてマイクロソフトが提供する主な支援方法は次の 3 つです。

1. お客様が DORA の下で契約責任を果たせるよう支援する。マイクロソフトは現在、この新たな規制によって要求および適用される契約条件の更新に取り組んでいます。これには、マイクロソフトの製品およびサービスの契約締結前のリスク評価の円滑化や、マイクロソフトの製品およびサービスに関連する個々の義務を詳細に定義することなどが含まれます。また、お客様と連携しながら必要に応じて契約を更新し、DORA のフレームワークの目的に適合する内容になるよう調整しています。
2. お客様が ICT リスクを管理し、内部ガバナンスと統制のフレームワークを構築できるよう支援する。DORA から要求される広範な ICT リスク管理機能をマイクロソフトの製品およびサービスに組み込んで提供します。たとえば、情報保護の面では、Microsoft Defender for Cloud で脅威に対する継続的な評価、検出、対応を行い、Microsoft セキュア スコアでワークロード全体のセキュリティ態勢を評価、強化できます。また、インシデント管理、レジリエンス テスト、インシデント情報共有の面では、それぞれ Microsoft Purview、Microsoft 365 サービス正常性ダッシュボード、Azure Service Health で重要な機能を提供します。
3. お客様のインシデントの管理、分類、報告を支援する。効率的なインシデントの検出や調査のためのツールやサービスを含む、インシデント管理要件に対応するための高度な機能をマイクロソフトのセキュリティ製品やコンプライアンス製品で提供し、インシデントの報告や対応を適時行えるようにします。たとえば、Azure Security Center (英語) は迅速な検知と対応を可能にします。また、Microsoft 365 正常性ダッシュボードと Microsoft Defender の組み合わせることで、インシデントの管理、分類、報告に対して包括的にアプローチできます。

DORA がグローバル金融サービスにとって重要な理由

DORA は、金融サービス業界のオペレーショナル レジリエンスを強化させる大きな 1 歩です。DORA の目的は、企業における管理方法、報告方法、協力体制を標準化することによって ICT のリスクを最小化し、さまざまな脅威や混乱から金融システムを保護することです。

DORA は、単に EU の新たな規制フレームワークではなく、世界中の広範な金融サービスの回復力維持のための重要なマイルストーンの 1 つです。クラウドと AI の能力を最大限に引き出しながら、企業とその顧客の安全性を高めるための情報共有、透明性、連帯責任の重要性をさらに強調させるものです。

DORA 準拠を支援するマイクロソフトのコミットメント

マイクロソフトは、金融サービス業界のお客様がスムーズかつ生産的な方法で DORA 準拠に取り組んでいただけるよう緊密に連携を取る一方、マイクロソフトが重要な ICT サービス プロバイダーに指定されることによって今後適用される DORA の要件を満たすための準備を進めています。

これは、変化する規制環境の中で私たちが長年続けてきた取り組みの一部であり、10 年以上前から規制当局と協力して共通のニーズや課題に対処し、金融サービス業界のお客様のサイバー レジリエンスの強化 (英語) を支援する製品を構築してきました。

DORA は金融サービスにおけるオペレーショナル レジリエンスを強化するための自然なステップであり、マイクロソフトは、DORA との調和を図る措置を講じている英国などの他の裁判管轄地の規制当局とも引き続き協力して取り組んでいきます。

The post DORA の新たな規制への対応を進める金融業界へのマイクロソフトの 3 つの支援策 appeared first on マイクロソフト業界別の記事.

金融サービス業界は、システムを近代化し、従業員の生産性向上、フロントエンドおよびバックエンドのビジネスアプリケーション、基盤となるインフラの大規模運用など、主要機能のバックボーンとしてMicrosoft Cloud for Finacial Servicesを使用するように、急速なペースで転換しています。

COVID-19、サイバースペースの脅威要因、さらには地政学的な事象などの外部要因は、金融機関が世界のどこでビジネスを行うかにかかわらず、業務を継続するために超大規模クラウドが提供する分散性への依存がより高まる、不確実でダイナミックな変化をもたらしています。

このようなダイナミックな変化やビジネスニーズがある中で、規制がこれらの傾向に適応していくことは良いことです。金融機関がこのダイナミックな環境の中でより機敏に行動できるように明確さと柔軟性を提供すると同時に、金融機関が安全かつ健全な方法で第三者のテクノロジープロバイダーを運用・利用し続けられるようにします。これらの規制変更の中心は、セキュリティ、プライバシー、回復力の観点から安全かつ健全な運用を推進するための成果に焦点を当てた柔軟で原則に基づくアプローチです。このようなアプローチは、イノベーションを促進するだけでなく、目まぐるしいスピードで起こっているテクノロジーのダイナミックな変化を考慮したものです。

情報通信技術（ICT）サービスプロバイダーへの依存度が高まる中、デジタル運用の回復力を高めることを目的とした規制を実施しようとする世界中の規制当局の注目を集めています。欧州連合（EU）が、ICT関連インシデントに直面している EU 金融セクターのデジタル運用の回復力を強化するために、金融業界のデジタル オペレーショナル レジリエンスに関する規制（Digital Operational Resilience for the Financial Sector：DORA）を発表したのも、こうした背景があるからです。英国や米国などでも、同様の取り組みや既存の要件の強化が見られます。

“一部の第三者サービスの提供における集中から生じる金融安定化リスクを軽減するために、法改正を必要とするものもあるが、追加の政策措置が必要と思われる”-2021年イングランド銀行金融政策委員会（FPC）¹

先日、英国議会に提出された金融サービス・市場法案（FSM法案）には、英国財務省が指定する重要な第三者機関がもたらすシステミック・リスクを管理するための法的枠組み案が含まれています。英国の金融サービス規制当局は、オペレーショナル・レジリエンスに関するディスカッション・ペーパー3/22 (DP) (英語) を共同で発表しました。この文書では、複合金融機関が金融サービス産業（FSI）に提供するサービスの耐障害性を評価し強化するために、規制当局がFSM法案で提案されている権限をどのように行使できるかを明確に示しています。

DORAとそれに続く英国のディスカッション・ペーパーは、第三者のオペレーショナル・リスクのレビューと評価において統一的で一貫したアプローチをとるための法的枠組みを提供する、前向きで必要なステップです。また、重要インフラ技術プロバイダーに対する直接的な規制監督を含む、セクター固有の規制枠組みは初めてのことです。欧州連合内では、多くの第三者ICTサービスプロバイダーが国境を越えた事業モデルとグループ構造を持ち、監督と規制の観点から加盟国の規制の分断を避ける必要があることから、DORAの調和されたアプローチは特に重要です。

マイクロソフトは、欧州委員会、欧州連合理事会、欧州議会による、欧州のための調和のとれた効果的な規制を設計するためのイニシアチブを支持します。これらの主要なステークホルダーおよび業界と協力することは、私たちが業界のニーズを満たすために最善の準備をし、これらのアプローチから学んで推進することができるようにするための焦点です。さらに、英国ではオペレーショナル・レジリエンスに関するDP3/22ディスカッション・ペーパーが、米国では第三者との関係に関する省庁間ガイダンス (英語) 案が、それぞれ第三者リスク管理に取り組んでおり、FSI内で起きているイノベーションという変化の海に適応するための規制の近代化に向けて前向きなステップとなるでしょう。

進むべき道DORAはベンチマークを設定する

DORAは、欧州議会での最終採択とその他の手続き完了後、2022年末に欧州連合官報に掲載される予定です。公表後、規則が発効するまでに24ヶ月の実施期間が設けられるため、DORAの規則は早ければ2024年末に適用され、マイクロソフトや金融機関はそれ以前に新しい規則への準拠を確保することができます。施行期間中は、DORAの実施を促進するための規制技術基準（RTS）も策定される予定です。RTSはDORAの適用に先駆けて完成する予定です。

DORAの主要な要件は以下をカバーしています。 ICTリスク管理、 ICT関連インシデント報告、 デジタル運用回復力テスト、 重要なICTプロバイダーの監視。また、この法的枠組みは、重要なICTサードパーティサービスプロバイダーによるコンプライアンスも要求することになります。

マイクロソフトは、金融サービス業のお客様をサポートしており、DORA導入後も引き続きサポートしていきますが、特に以下の主要な分野が含まれます。

• ICTリスク管理：DORAは、金融機関が遵守すべきICTリスクの包括的な管理メカニズムを確立しています（リスクの特定、保護、予防、検出、対応、回復を含む）。マイクロソフトは、現在すでに我々のサービスにおいて、幅広いICTリスク管理機能を内蔵しています。これには例えば、Microsoft Defender for Cloud、Microsoft 365 Service Health Dashboard、Microsoft Secure Scoreなどが含まれます。

• ICT関連インシデント報告：DORAは、インシデントの分類を調和させ、報告プロセスを合理化し、そのようなインシデントの監視、管理、フォローアップのためのより体系的アプローチを開発しています。またDORAは、ICTインシデント報告への協調的アプローチと、NIS2指令のような報告の重複に取り組むことを予見していています。マイクロソフトは、Microsoft Defenderのような機能を提供しています。

• デジタル運用のレジリエンステスト：DORAは、重要なICTシステムとアプリケーションに対して、毎年から3年ごとに実施すべきデジタル運用テストを導入します（高度な脅威主導の侵入テスト）。この新しいテスト手法は、金融機関のテスト能力を強化し、タイムリーな復旧と事業継続を促進するものです。マイクロソフトでは、すでにペネトレーションプログラムを通じて、このような取り組みをお客様に提供しています。

• 重要なICTプロバイダーの監督。DORAは、金融規制当局とICT重要サービスプロバイダーが、ICTサードパーティーリスクを管理するためのコミュニケーションメカニズムを予見しています。マイクロソフトは既に顧客と密接に提携しており、監査や規制当局の審査も含め、規制当局と継続的かつ豊富な関わりを持っている。このようなプロセスには、欧州に限らず、他の規制当局との機関間協力が含まれるべきだと考えます。例えば、イングランド銀行と米国の規制当局（FDIC、OCC、Federal Reserve）の間の調整とコミュニケーションは、規制監督の観点から有用であり、相乗効果を促進し、断片化を避け、規制当局とマイクロソフトに同様に利益をもたらす明確さとコミュニケーションのレベルを維持することができるでしょう。

欧州連合の金融セクターで市場に革新的なソリューションを提供

マイクロソフトの包括的な目標は、世界中の規制当局と協力して、イノベーションを可能にし、銀行の安全かつ健全な運営を確保し、金融エコシステムの繁栄を可能にする回復力のあるシステムを提供する一貫した一連の規制の枠組みを推進することです。

私たちは10年以上にわたり、業界関係者と協力し、規制当局との継続的な対話を続けてきました。これにより、将来の課題を予測し、新たな規制を含むこうした変化を十分に考慮するための準備を整えることができるのです。

今後、マイクロソフトは、これらの規制目標を確実に達成できるよう、すべての関連当局と引き続き協力していくつもりです。これは、マイクロソフトの金融サービスのお客様にとっても有益であり、クラウド上での新しい製品やサービスの革新と開発を支援することになります。

私たちは、世界中の政府や企業に対するコミットメントと信頼を築きながら、移行とコンプライアンスという長期的な旅を通してお客様をサポートする用意があるのです。

詳細はこちら

マイクロソフトがお客様の組織のクラウドでのコンプライアンス管理をどのように支援するか、さらに詳しく知り、情報を得るには、Microsoft Cloud for Financial Servicesのウェブサイトをご覧ください。

¹ Financial Policy Summary and Record—October 2021 (英語)

The post 重要インフラとしてのクラウド規制への傾注－欧州、英国、その他の国における規制の変化 appeared first on マイクロソフト業界別の記事.