DORA の新たな規制への対応を進める金融業界へのマイクロソフトの 3 つの支援策
※本ブログは、米国時間 2024 年 9 月 23 日に公開された 3 ways Microsoft is helping the financial industry prepare for new DORA regulations – Microsoft Industry Blogs (英語) の翻訳です。
銀行、保険会社、投資会社といった金融サービス業界に属するグローバル企業の多くは、自社の事業推進に AI とクラウドを活用するメリットを大いに実感しています。しかし、そうした重要なテクノロジへの依存度が大きくなるにつれ、信頼できる安全な事業運営を行うことへの責任が高まります。
大手企業、政府規制当局、マイクロソフトなどのテクノロジ プロバイダーが共通して抱えているのが、急速に変化する世界情勢において金融業界の回復力をどれだけ維持できるかという課題です。実際、この課題に対処することがマイクロソフトの金融サービス向けソリューション Microsoft Cloud for Financial Services の基本方針であり、当社の製品とサービスの開発でセキュリティ対応が最優先 (英語) に取り組まれていることとも密接に関連しています。
Microsoft Cloud for Financial Services のソリューションを確認する
2020 年以降、欧州連合 (EU) の当局者は、業界のテクノロジ依存の傾向に対処し、関連するリスクを軽減するために、新たな包括的規制を設けることに尽力してきました。2023 年 1 月 16 日に発効された DORA (デジタル オペレーショナル レジリエンス法) は、2025 年 1 月 17 日より適用が開始され、その影響は、EU 内で事業を行う事実上すべての金融業者とそのサポートを行う多くの重要なサードパーティ サービス・プロバイダーに及んでいます。マイクロソフトは、DORA の策定に関して規制当局や金融機関との協力に積極的に取り組んでおり、現在は、お客様が包括的かつスムーズに DORA に準拠できるよう支援することに注力しています。
DORA とは?
DORA は、金融サービスのオペレーショナル レジリエンスの強化を目的とした EU の新しい重要規制であり、金融機関に強固なリスク管理の維持と、幅広い脅威や混乱に対する耐性と適応力の強化を求めるものです。EU のより広範な戦略の一環として、金融業界の安定性と安全性を向上させ、各加盟国の多様な要件を協調させる狙いがあります。DORA は、EU 内で事業を行う金融サービス事業者とその事業に重要なサードパーティ サービスを提供するテクノロジ企業に適用されます。
DORA の下では、金融サービス事業者は強固なサイバーセキュリティ インシデント対応計画を整備し、セキュリティ侵害などのサイバー インシデントや混乱を当局に速やかに報告することが義務付けられます。これらの事業者は、深刻なシナリオに備えた出口戦略を含め、大規模な混乱が生じた際にも事業運営を継続できるようにするビジネス継続性計画を構築する必要があります。また、金融監督当局による監督が強化され、オペレーショナル レジリエンスの監査と評価、必要に応じた規制遵守のための措置が講じられることになります。
DORA は、サード パーティの情報通信技術 (ICT) サービス プロバイダーにも要件を課しており、主要機能をサポートするクラウド コンピューティング製品やサービスを提供する ICT 企業に主に (ただし限定はされない) 焦点を当てています。また、この規定では新たに「重要」なプロバイダー (マイクロソフトが含まれる可能性が高い) が設定され、指定されると、欧州監督当局 (ESA) による新たな監督フレームワークの対象となります。
DORA が金融サービス業界のお客様に及ぼす影響
金融サービス業界のお客様は、DORA から多数の新規要件や高度な要件に従うことが求められます。たとえば次のようなものがあります。
- 情報通信技術 (ICT) サービス プロバイダーのリスク管理
自社の全社的なリスク管理システムに統合された、包括的な ICT リスク管理フレームワークを確立する必要があります。このフレームワークは、テクノロジとセキュリティに関する主要な検討事項 (特定、保護、検知、対応、復旧など) をカバーしたものであり、システム、情報資産、データの安全性と回復力を維持するための戦略、方針、手順、ツールを網羅している必要があります。 - インシデントの管理と報告
主な ICT 関連のインシデントを検知、管理し、厳密に定められた期限に則って当局に報告する必要があります。サイバーセキュリティ侵害、サービス中断、データ損失などのインシデントは、影響を受ける利用者の数、期間、経済的影響などの基準で評価します。 - オペレーショナル レジリエンス テスト
重要な ICT システムやアプリケーションに対する脅威ベースのペネトレーション テスト (TLPT) や脆弱性評価などのデジタル運用テストの実施が義務付けられます。これらは、障害発生時の迅速な復旧とビジネス継続性の証明を目的としたテストです。 - 契約上の取り決め
DORA は、ICT サービス プロバイダーと金融サービス事業者間の契約に関して特定の要件を課しています。これには、監査、ビジネス継続性、出口戦略、主要な下請け業者の利用に関する要件などが含まれます。さらに、金融サービス事業者は ICT プロバイダーと契約を締結する前に、そのプロバイダーのセキュリティ対策、コンプライアンス状況、財務面の安定性について評価するなど、契約前のリスク評価を実施する必要があります。
お客様の DORA 準拠に対するマイクロソフトの支援
マイクロソフトは、大手 ICT サービス プロバイダーとして堅牢な内部ガバナンス プロセスを確立し、重要なサードパーティ テクノロジ ベンダーに適用される規定への対応準備を進めています。また同時に、規制対象の金融機関の皆様が DORA の定める要件を満たせるようサポートを提供していきます。これには、契約条項と DORA の要件の整合性を取ることや、マイクロソフトの幅広いクラウドおよびエンタープライズ製品に ICT リスク管理機能を組み込むことなどが含まれます。
お客様の DORA 対応についてマイクロソフトが提供する主な支援方法は次の 3 つです。
- お客様が DORA の下で契約責任を果たせるよう支援する。マイクロソフトは現在、この新たな規制によって要求および適用される契約条件の更新に取り組んでいます。これには、マイクロソフトの製品およびサービスの契約締結前のリスク評価の円滑化や、マイクロソフトの製品およびサービスに関連する個々の義務を詳細に定義することなどが含まれます。また、お客様と連携しながら必要に応じて契約を更新し、DORA のフレームワークの目的に適合する内容になるよう調整しています。
- お客様が ICT リスクを管理し、内部ガバナンスと統制のフレームワークを構築できるよう支援する。DORA から要求される広範な ICT リスク管理機能をマイクロソフトの製品およびサービスに組み込んで提供します。たとえば、情報保護の面では、Microsoft Defender for Cloud で脅威に対する継続的な評価、検出、対応を行い、Microsoft セキュア スコアでワークロード全体のセキュリティ態勢を評価、強化できます。また、インシデント管理、レジリエンス テスト、インシデント情報共有の面では、それぞれ Microsoft Purview、Microsoft 365 サービス正常性ダッシュボード、Azure Service Health で重要な機能を提供します。
- お客様のインシデントの管理、分類、報告を支援する。効率的なインシデントの検出や調査のためのツールやサービスを含む、インシデント管理要件に対応するための高度な機能をマイクロソフトのセキュリティ製品やコンプライアンス製品で提供し、インシデントの報告や対応を適時行えるようにします。たとえば、Azure Security Center (英語) は迅速な検知と対応を可能にします。また、Microsoft 365 正常性ダッシュボードと Microsoft Defender の組み合わせることで、インシデントの管理、分類、報告に対して包括的にアプローチできます。
DORA がグローバル金融サービスにとって重要な理由
DORA は、金融サービス業界のオペレーショナル レジリエンスを強化させる大きな 1 歩です。DORA の目的は、企業における管理方法、報告方法、協力体制を標準化することによって ICT のリスクを最小化し、さまざまな脅威や混乱から金融システムを保護することです。
DORA は、単に EU の新たな規制フレームワークではなく、世界中の広範な金融サービスの回復力維持のための重要なマイルストーンの 1 つです。クラウドと AI の能力を最大限に引き出しながら、企業とその顧客の安全性を高めるための情報共有、透明性、連帯責任の重要性をさらに強調させるものです。
DORA 準拠を支援するマイクロソフトのコミットメント
マイクロソフトは、金融サービス業界のお客様がスムーズかつ生産的な方法で DORA 準拠に取り組んでいただけるよう緊密に連携を取る一方、マイクロソフトが重要な ICT サービス プロバイダーに指定されることによって今後適用される DORA の要件を満たすための準備を進めています。
これは、変化する規制環境の中で私たちが長年続けてきた取り組みの一部であり、10 年以上前から規制当局と協力して共通のニーズや課題に対処し、金融サービス業界のお客様のサイバー レジリエンスの強化 (英語) を支援する製品を構築してきました。
DORA は金融サービスにおけるオペレーショナル レジリエンスを強化するための自然なステップであり、マイクロソフトは、DORA との調和を図る措置を講じている英国などの他の裁判管轄地の規制当局とも引き続き協力して取り組んでいきます。
