DORA とは

2025 年 1 月 17 日の時点で、欧州連合 (EU) の金融主体と、指定された時点で、欧州監督当局によって "重大" として指定された ICT サードパーティサービス プロバイダーは、 EU デジタル運用回復法 (EU ) 2022/2554 - 'DORA' に準拠する準備ができている必要があります。 DORA は、金融主体がサイバーセキュリティ インシデントを報告する方法を標準化し、デジタル運用の回復性をテストし、金融サービス部門と EU 加盟国全体で ICT サードパーティのリスクを管理します。

DORAは、ICTプロバイダーの役割に対する明確な期待を確立することに加えて、指定された重要なICTプロバイダーに対して直接監督権限を欧州監督当局(ESA)に提供します。 Microsoft は、DORA の適用される規定に準拠する "重要な ICT サード パーティ サービス プロバイダー" として指定される準備が整っており、規制対象金融機関が独自の要件を満たすのに役立ちます。

DORAは、企業がサイバー攻撃、IT障害、その他の運用リスクを含む幅広い脅威や中断に耐え、適応できるようにすることで、金融サービス業界(FSI)の「高レベルのデジタル運用回復性」を実現するための調和したアプローチを提供することを目指しています。 DORAは、銀行、保険機関、証券取引所、取引プラットフォームなど、幅広いFSIエンティティに適用されます。

重要な点

1. DORAの目的:DORAは、FSIエンティティがサイバーリスクを含む運用リスクを管理および軽減するための効果的な措置を講じられるようにすることで、FSIセクターの回復性と安定性を高めることを目指しています。 これは、消費者、投資家、および広範なFSIシステムを、セクター内の大きな混乱や障害の潜在的に深刻な結果から保護することを目的としています。
2. スコープ： DORAは、欧州連合で活動するFSIエンティティと、後者がどこから運営されているかにかかわらず、EUでサービスを提供するICTサードパーティプロバイダーに適用されます。 また、ESA によって指定された重要なサード パーティ プロバイダー (CSP) にも適用されます。これは、3 つの ESA (EBA、EIOPA、または ESMA のいずれか) の毎日の監視に委託されます。
3. 主要なプロビジョニング: DORA には、主に次の 3 つの要件が含まれます。
   1. ICT リスク管理、主要な ICT インシデントの通知、脅威主導の侵入テストなどの運用回復性テストなどの FSI エンティティに適用される要件。
   2. 指定された ICT サードパーティのサービス プロバイダーと FSI エンティティとの間で締結される契約上の取り決めに関連する要件
   3. FSI エンティティにサービスを提供する場合の重要な ICT サード パーティ プロバイダー (CSP) の監視フレームワークの確立と実施に関する規則。
4. コンプライアンス: Microsoft は、CTPP として適用される要件と、Microsoft が通常の重要な ICT サービスを使用して FSI エンティティにサービスを提供することが期待される DORA 要件に従って、サービスの提供に適用されるすべての法律と規制に準拠しています。 Microsoft オンライン サービスを使用して重要または重要な機能を実行するための契約上の取り決めを行っている FSI エンティティは、DORA および該当する金融サービス規制要件に基づくすべての義務の遵守に対して引き続き責任を負うものとします。 Microsoft では、コンプライアンス義務を有効にし、それに適用される要件に準拠するために FSI エンティティをサポートしています。
5. クラウド サービスとプロバイダー: DORA はテクノロジに依存しないように設計されており、DORA の要件は FSI エンティティだけでなく、ICT サービスのサード パーティ プロバイダーにも適用されます。
6. 契約上のコミットメント: DORA は、ICT サード パーティのサービス プロバイダーと FSI エンティティの間で特定の契約上の要件を義務付けています。 Microsoft は、必要に応じて、契約上の規定が DORA の要件と一致していることを確認します。 さらに、Microsoft は既に EBA、ESMA、EIOPA のガイダンスに基づいて発行された要件に準拠しており、このようなガイダンス自体が DORA の要件のベースライン フレームワークとして機能します。
7. 監視: DORA は、要件と見なされた場合の監査を含む、テクノロジ プロバイダーの監視から FSI エンティティを軽減しません。 Microsoft は、Microsoft をテクノロジ プロバイダーとして評価するのに役立つ、サード パーティの構成証明、パフォーマンス データ、インシデント情報、年次および四半期ごとのレポートなどの豊富な保証情報を顧客に提供します。 Compliance Program for Microsoft Cloud (CPMC) は、メンバーが直面する可能性のあるより具体的で複雑なシナリオに対処するのに役立つプレミアム サポート サービスです。 必要に応じて、Microsoft は、お客様が監査を実行し、クラウド サービスの継続的な監視と監視のための透明性と保証のレベルを提供する上で、お客様をサポートする豊富な経験を持っています。

DORAは、FSIセクターの運用回復力を強化し、企業が広範な脅威や混乱に耐え、適応できるようにリスク管理を強化することを目指しています。 Microsoft は、CTPP として適用される要件に従って、クラウド サービスを提供するために適用されるすべての法律と規制に準拠しています。 ICT の第三者サービスの使用に関して契約上の取り決めを行っている FSI エンティティは、DORA に基づくすべての義務と、Microsoft が必要に応じてサポートする該当する金融サービス規制要件の遵守に対して引き続き責任を負います。

DORAにおける顧客検討の主な領域

ICT リスク管理フレームワーク

デジタルオペレーショナルレジリエンス法(DORA)は、金融主体が遵守する必要があるICTリスクの包括的な管理メカニズムを確立します。これには、そのようなリスクの特定、保護と防止、検出、対応、回復が含まれます。 金融主体は、ICT リスク管理のための内部ガバナンスと制御フレームワークを確立し、ICT リスクの継続的な監視に取り組む必要があります。 これらの ICT リスク管理と監視の要件は、サード パーティ プロバイダーによって提供される ICT サービスの使用にまで及びます。

この ICT リスク管理フレームワークの要素には、広く次のものが含まれます。

• ICT リスク管理のための内部ガバナンスと制御フレームワーク: 金融主体には、ICT リスクの効果的かつ慎重な管理を保証する内部ガバナンスと制御フレームワークが必要です。
• ICT リスク管理フレームワークのコンポーネントと要件: ICT リスク管理フレームワークには、ICT システム、情報資産、データの回復性、継続性、可用性を保護および確保するために必要な戦略、ポリシー、手順、ICT プロトコル、ツールが含まれている必要があります。
• ICT システム、プロトコル、ツールの仕様: 金融主体は、活動やサービスに必要なデータを適切、信頼性、回復性、および処理できる最新の ICT システム、プロトコル、ツールを使用して維持する必要があります。 また、ネットワークとデータのセキュリティを確保し、ICT 関連のインシデントを防ぐことを目的とする ICT セキュリティ ポリシー、手順、プロトコル、ツールも実装する必要があります。
• ICT リスクソースと依存関係の特定: 金融エンティティは、ICT リスクに関連して、サポートされているすべての ICT ビジネス機能、情報資産と ICT 資産、およびそれらの役割と依存関係を特定、分類、文書化する必要があります。 また、ICT リスク、サイバー脅威、ICT の脆弱性のすべてのソースを特定し、ICT の中断の潜在的な影響を評価する必要があります。
• ICT 関連のインシデントと異常の検出: 金融エンティティには、異常なアクティビティ、ICT ネットワーク パフォーマンスの問題、ICT 関連のインシデントを迅速に検出し、潜在的な単一障害点を特定するメカニズムが必要です。 また、ICT 関連のインシデント対応プロセスをトリガーして開始するためのアラートのしきい値と条件も定義する必要があります。
• ICT 関連インシデントからの対応と復旧: 金融主体には、重要または重要な機能の継続性を確保し、ICT 関連のインシデントを迅速かつ効果的に解決し、損害と損失を最小限に抑えるための包括的な ICT ビジネス継続性ポリシーと関連する ICT 対応と復旧計画が必要です。 また、計画と対策を定期的にテスト、レビュー、更新し、必要に応じて管轄当局に報告する必要があります。

Microsoft がリスク管理にどのように役立つか

Microsoft は、現在、次のような広範な組み込みの ICT リスク管理機能をサービスに提供しています。

• Microsoft Defender for Cloud
• Microsoft 365 Service Health ダッシュボード
• Microsoft セキュア スコア
• Azure Service Health
• Microsoft Purview
• Microsoft Purview コンプライアンス マネージャー

CPMC はリスク評価のサポートも提供し、メンバーがコントロール フレームワークと要件を Microsoft の実装にマップするのに役立ちます。

Microsoft では、次のようなリスク管理をより広範に支援するために、財務エンティティに対して追加のソリューションを提供しています。

• Microsoft Entraは、強化された保護機能を備えた統合された ID、アクセス、および承認管理を提供し、Microsoft Cloud サービスを支えます。 Microsoft Entraに関する詳細な DORA ガイダンスを必ずチェックしてください。
• Microsoft Defenderは、マルチクラウド、電子メール、コラボレーション プラットフォーム、ID、エンドポイント全体で統合されたクロスドメイン脅威検出、保護、応答を提供します。
• Microsoft 365 Purview には、データ損失防止、Information Protection、情報バリア、インサイダー リスク管理、コミュニケーション コンプライアンス、電子情報開示、データ ライフサイクル、レコード管理などの包括的なデータ セキュリティとコンプライアンス ソリューションが用意されています。
• Microsoft Intuneは、Windows、Android、macOS、iOS、Linux オペレーティング システム全体でクラウドに接続されたエンドポイントを管理および保護します。
• Microsoft Copilot for Security では、AI を利用した生成型の支援を利用して、大規模かつ迅速に脅威を保護し、対応します。
• Microsoft Purview と Azure Arc は 、オンプレミス、Azure、およびマルチクラウド環境全体でデータ資産を管理、保護、管理するのに役立ちます。 また、データ ガバナンスを Microsoft 365 SaaS にシームレスに拡張します。
• Azure Backup、Azure Site Recovery、Azure ビジネス継続性センターは、デプロイされた Azure リソースに対するビジネス継続性と回復のための特定のソリューションを提供します。 Microsoft 365 バックアップは、非構造化データのバックアップです。

ICTの第三者リスクを健全に管理するための重要な原則

金融主体は、ICT リスク管理フレームワークの一環として ICT サードパーティのリスクを管理し、重要または重要な機能をサポートする ICT サービスの使用に関する戦略とポリシーを採用し、ICT サードパーティサービス プロバイダーとの契約上のすべての取り決めに関する情報の登録を維持することが期待されます。

• 契約を締結する前の事前評価: 金融主体は、主要な ICT サードパーティサービス プロバイダーと契約するリスクを評価する必要があります。
• 主要な契約上の規定:金融主体は、契約上の取り決めには、特に、機能とサービスの説明、重要なサービスの提供を支える主要な下請業者のデータ処理と保管、管理と監督、データ保護とセキュリティ対策、サービスレベルの説明とパフォーマンス目標、終了権利と終了戦略、 財務団体および管轄当局のアクセス権、検査権、監査権。

Microsoft は、セクター向けの ICT サード パーティのサービス プロバイダーであり、これらの要件に対応するお客様をサポートしています。

Microsoft がサードパーティのリスク管理にどのように役立つか

Microsoft は、ESA からのガイダンスに沿った実質的な契約上のコミットメントを提供し、第 30 条を含む DORA の規定と一致します。 マイクロソフトとの契約契約は、当社のエンタープライズ契約、 Microsoft 製品およびサービスデータ保護補遺 (DPA)、 当社の製品条項 の該当するセクション、および規制対象の金融主体に対して、金融サービス修正は、DORA に必要な主要な要素をカバーします。 お客様が DORA の要件を満たすのに役立つ調整が行われました。 Microsoft の連絡先を通じて要求に応じて入手できる DORA マッピング ドキュメントは、契約上のコミットメントが DORA とどのように一致しているかを明確にしています。 継続的なコンプライアンスを確保するために、引き続きお客様のニーズに対応します。

DORA の下の ICT サードパーティのリスク管理は、Microsoft を超え、また、金融主体の観点から他のサード パーティも対象としています。 サード パーティのリスクに幅広く対処するために役立つソリューションがいくつかあります。

• Microsoft Defender for Cloud Appsは、サードパーティのアプリとサービスの包括的な可視性、制御、評価機能を提供し、外部の ICT プロバイダーに関連するリスクを軽減します。 クラウド アプリ検出では、使用中のサード パーティ製アプリ (シャドウ IT) を検出し、リスク評価レポートを提供できます。
• Microsoft Purview は、Microsoft クラウド ソリューション以外の統合データ ガバナンスに役立ちます。 また、サード パーティのクラウドでデータ資産を管理、保護、管理することもできます。
• Microsoft Purview Compliance Manager は 、300 以上の標準、ガイドライン、規制に対するサードパーティのリスク評価とベンダー コンプライアンス管理を支援し、Microsoft クラウドとハイブリッドおよびマルチクラウド環境のギャップを特定し、リスクを軽減するための分析情報とアクションを提供します。 また、他のクラウド ベンダー向けの評価テンプレートも備えています。

また、Microsoft は、地域および国固有のガイダンスを探している金融サービス業界のお客様向けの Service Trust Portal でチェックリストを利用できるようにします。

ICT - 関連するインシデント管理、分類、およびレポート

ICT インシデント管理、分類、およびレポートに関する EU の金融主体には、次のようなさまざまな要件が義務付けられています。

• ICT 関連のインシデント管理プロセス: 金融エンティティには、ICT 関連のインシデントを検出、管理、通知し、優先順位と重大度に従って記録するプロセスが必要です。
• ICT 関連のインシデントとサイバー脅威の分類: 金融主体は、影響を受けるクライアントの数、期間、地理的な広がり、データ損失、サービスの重要度、経済的影響などの基準に基づいて、ICT 関連のインシデントとサイバー脅威を分類する必要があります。
• 主要な ICT 関連インシデントの報告と重大なサイバー脅威の自発的な通知: 金融機関は、標準的なフォームとテンプレートを使用して、主要な ICT 関連インシデントを関連する管轄機関に報告し、インシデントと軽減策についてクライアントに通知する必要があります。 また、金融機関は、関連する管轄機関に対して、自発的に重大なサイバー脅威を通知する場合もあります。
• 報告内容とテンプレートの調和: ESA は、共同委員会を通じて、ENISA および ECB と協議して、共通の規制草案を作成し、コンテンツ、制限時間、および ICT 関連のインシデントとサイバー脅威に関するレポートと通知の形式を指定する技術基準を実装する必要があります。
• 主要なICT関連インシデントの報告の一元化:ESAは、共同委員会を通じて、ECBとENISAと協議して、金融主体による主要なICT関連インシデント報告のための単一のEUハブの設立を通じてインシデント報告をさらに一元化する可能性を評価する共同報告書を作成する。

Microsoft は、ICT 関連の中断を特定、保護、検出、対応、復旧するための包括的な ICT リスク管理フレームワークの確立に役立ちます。

• Microsoft Sentinelは、セキュリティ上の脅威に対するリアルタイムの分析、検出、対応を可能にし、インシデント 報告要件への準拠を容易にするクラウドネイティブ SIEM システムです。
• Microsoft Defender XDRは、インシデントの優先順位付け、管理、対応に役立ちます。
• Microsoft Purview インサイダー リスク管理は、ユーザーによる危険な行動に関するポリシー、トリガー、アラートでインサイダー リスクをカバーするエンド ツー エンドのプラットフォームを提供します。

Microsoft の Online Services の場合は、正常性を監視し、サービス内で中断が直接発生した場合に通知を設定できます。

• Microsoft 365 Service Health ダッシュボード: Microsoft 365 管理センターの [サービス正常性] ページで、Office on the web、Microsoft Teams、Exchange Online、Microsoft Dynamics 365など、Microsoft サービスの正常性を表示できます。
• Azure Service Health: Azure には、クラウド リソースの正常性に関する情報を保持するための一連のエクスペリエンスが用意されています。 この情報には、サービスに影響を与えるイベント、計画メンテナンス、可用性に影響を与える可能性があるその他の変更など、現在および今後の問題が含まれます。

デジタル運用の回復性テスト

DORA では、脅威主導の侵入テスト (TLPT) を通じて、重要な ICT システムとアプリケーションに対して毎年 3 年単位で実施する必要があるデジタル運用テストを導入しています。 この新しいテスト アプローチは、金融エンティティのテスト機能を強化し、タイムリーな回復とビジネス継続性を促進します。 Microsoft では、お客様が侵入テスト プログラムを通じてこれを行うことができます。 Microsoft クラウド侵入テストのエンゲージメントルールとバグ報奨金プログラムの詳細をご覧ください。 Microsoft は、DORA で要求されるこのテスト体制の要件を満たすためのテスト要件をさらに処理し、サポートします。これは、Microsoft Cloud の安全性、整合性、セキュリティ、運用上の回復性を確保する原則と一致します。

Microsoft が運用回復性テストにどのように役立つか

Microsoft では、オンライン サービスを提供するシステムの潜在的な脆弱性を特定するために、社内およびサードパーティの侵入テストを定期的に実施しています。 該当する Microsoft Online Services のサード パーティの侵入テスト レポートは、Service Trust Portal でダウンロードできます。

脆弱性テストに加えて、 Microsoft はオンライン サービスの回復性 を少なくとも年単位でテストします。 Microsoft は、選択したオンライン サービスの BCDR プランの検証とメンテナンスについて説明する、サービス 信頼ポータルでビジネス継続性とディザスター リカバリー 計画の検証レポートを提供します。

DORA でコンプライアンスを有効にする Microsoft のコミットメント

Microsoft は、DORA の要件 (該当する場合) と、クラウド サービスを重要または重要な機能に使用する財務エンティティに提供する主要サービスを満たす準備をしています。 Microsoft は、10 年以上にわたって、Microsoft クラウド サービスを使用する際に金融機関が規制上の義務を果たすのを支援するために、アウトソーシングに関する ESAs ガイドラインと一致した商用契約から、 Service Trust Portal やその他のリソースを通じたクラウド サービスの透明性と保証、クラウド サービスの無数の組み込みセキュリティ機能に大きく投資してきました。 DORA の要素は、お客様がリスクを管理し、クラウド サービスの使用を継続的に監視するのに役立つ幅広い機能と組み合わせて、運用の回復性を維持し、Microsoft クラウド サービスを自信を持って使用するための自然な一歩です。 また、DORA と同様の措置を実施しており、これらの要件を満たす準備をしている英国などの管轄区域の他の規制当局とも協力しています。

運用の回復性の強化は、単に DORA コンプライアンスを確保するだけでなく、ベンダーと集中のリスクに対処するだけでなく、リスク管理と、回復性を念頭に置いてテクノロジを展開し、プロセスを最適化する方法に関するビューとリンクする戦略とビジョンを必要とする広範なトピックです。 クラウド テクノロジと AI などのイノベーションは、予期しない停止からの保護を強化し、サービスと運用の全体的な信頼性を高め、サイバーセキュリティを強化するために役立つ重要な役割を果たす重要な役割を担っていると考えています。 次の手順として、運用の回復性を構築するために実行できる 6 つの手順について説明する Microsoft の デジタル運用回復性法 (DORA) E-Book を確認することを検討してください。