次の方法で共有

DORA とは

  • [アーティクル]

2025 年 1 月 17 日の時点で、欧州連合 (EU) の金融エンティティと、欧州監督機関によって "重大" として指定された ICT サードパーティのサービス プロバイダーは、 EU デジタル運用回復性法 (EU ) 2022/2554 - 'DORA' に準拠する準備ができている必要があります。 DORA は、金融主体がサイバーセキュリティ インシデントを報告する方法を標準化し、デジタル運用の回復性をテストし、金融サービス部門と EU 加盟国全体で ICT サードパーティのリスクを管理します。

DORAは、ICTプロバイダーの役割に対する明確な期待を確立することに加えて、指定された重要なICTプロバイダーに対して直接監督権限を欧州監督当局(ESA)に提供します。 Microsoft は、"重要な ICT サード パーティ サービス プロバイダー" として指定される準備をしており、DORA の適用される条項に準拠し、規制対象金融機関が独自の要件を満たすのを支援します。

規制フレームワーク

DORAは、企業がサイバー攻撃、IT障害、その他の運用リスクを含む幅広い脅威や中断に耐え、適応できるようにすることで、金融サービス業界(FSI)の「高レベルのデジタル運用回復性」を実現するための調和したアプローチを提供することを目指しています。 DORAは、銀行、保険機関、証券取引所、取引プラットフォームなど、幅広いFSIエンティティに適用されます。 また、初めて、金融庁に重要なサービスを提供することで、金融システムにとって重要と見なされる「重要なICTサードパーティサービスプロバイダー」またはCPPを指定し、そのような指定された企業の直接規制監督を行います。

重要な点

  1. DORAの目的:DORAは、FSIエンティティがサイバーリスクを含む運用リスクを管理および軽減するための効果的な措置を講じられるようにすることで、FSIセクターの回復性と安定性を高めることを目指しています。 これは、消費者、投資家、および広範なFSIシステムを、セクター内の大きな混乱や障害の潜在的に深刻な結果から保護することを目的としています
  2. スコープ: DORAは、欧州連合で活動するFSIエンティティ、およびEUでサービスを提供するICTサードパーティプロバイダーに適用されます。 また、ESA によって指定された重要なサード パーティ プロバイダー (CSP) にも適用されます。これは、3 つの ESA (EBA、EIOPA、または ESMA のいずれか) の毎日の監視に委託されます。
  3. 主要な規定: DORA には、主に 3 つの要件が含まれます。(i) FSI エンティティに適用される要件 (ICT リスク管理の分野、主要な ICT インシデントの通知、運用回復性テスト (つまり脅威主導の侵入テスト))、(ii) 指定された ICT サード パーティサービス プロバイダーと FSI エンティティ間で締結された契約上の取り決めに関する要件、および (iii) 指定された ICT 第三者サービス プロバイダーと FSI エンティティの間で締結された契約上の取り決めに関する要件、(iii) 監督フレームワークの確立と実施に関する規則FSI エンティティにサービスを提供する場合の重要な ICT サード パーティ プロバイダー (CSP)。
  4. コンプライアンス: Microsoft は、CTPP として適用される要件に従って、サービスの提供に適用されるすべての法律と規制を遵守します。 Microsoft オンライン サービスを使用して重要または重要な機能を実行するための契約上の取り決めを行っている FSI エンティティは、DORA および該当する金融サービス規制要件に基づくすべての義務の遵守に対して引き続き責任を負うものとします。 Microsoft は、FSI エンティティをサポートしてコンプライアンス義務を有効にし、それに適用される要件に準拠します。
  5. クラウド サービスとプロバイダー: DORA はテクノロジに依存せず、DORA の要件は FSI エンティティだけでなく、CSP として指定されている ICT サービスのサード パーティ プロバイダーにも適用されます。 特定の Microsoft Azure クラウド サービス (IAAS など) と Exchange や Teams などの特定の Microsoft 365 サービスは DORA でカバーされる可能性がありますが、まだ決定されていません。
  6. 契約上のコミットメント: DORA は、ICT サード パーティのサービス プロバイダーと FSI エンティティの間で特定の契約上の要件を義務付けています。 Microsoft は、必要に応じて、契約上の規定が DORA の要件と一致していることを確認します。 さらに、Microsoft は既に EBA、ESMA、EIOPA のガイダンスに基づいて発行された要件に準拠しており、そのようなガイダンス自体が DORA の要件のベースライン フレームワークとして機能します。
  7. 監視: DORA は、監査を含むテクノロジ プロバイダーの監視から FSI エンティティを軽減しません。 Microsoft は、お客様が監査を実行し、クラウド サービスの継続的な監視と監視のための透明性と保証のレベルを提供する上で、お客様をサポートする豊富な経験を持っています。

DORAは、FSIセクターの運用回復力を強化し、企業が広範な脅威や混乱に耐え、適応できるようにリスク管理を強化することを目指しています。 Microsoft は、CTTP として適用される要件に従って、クラウド サービスを提供するために適用されるすべての法律と規制を遵守します。 ICT の第三者サービスの使用に関して契約上の取り決めを行っている FSI エンティティは、DORA に基づくすべての義務と、Microsoft が必要に応じてサポートする該当する金融サービス規制要件の遵守に対して引き続き責任を負います。

DORAにおける顧客検討の主な領域

ICT リスク管理フレームワーク

デジタルオペレーショナルレジリエンス法(DORA)は、金融主体が遵守する必要があるICTリスクの包括的な管理メカニズムを確立します。これには、そのようなリスクの特定、保護と防止、検出、対応、回復が含まれます。 金融主体は、ICT リスク管理のための内部ガバナンスと制御フレームワークを確立し、ICT リスクの継続的な監視に取り組む必要があります。 これらの ICT リスク管理と監視の要件は、サード パーティ プロバイダーによって提供される ICT サービスの使用にまで及びます。

この ICT リスク管理フレームワークの要素には、広く次のものが含まれます。

  • ICT リスク管理のための内部ガバナンスと制御フレームワーク: 金融主体には、ICT リスクの効果的かつ慎重な管理を保証する内部ガバナンスと制御フレームワークが必要です。
  • ICT リスク管理フレームワークのコンポーネントと要件: ICT リスク管理フレームワークには、ICT システム、情報資産、データの回復性、継続性、可用性を保護および確保するために必要な戦略、ポリシー、手順、ICT プロトコル、ツールが含まれている必要があります。
  • ICT システム、プロトコル、ツールの仕様: 金融主体は、活動やサービスに必要なデータを適切、信頼性、回復性、および処理できる最新の ICT システム、プロトコル、ツールを使用して維持する必要があります。 また、ネットワークとデータのセキュリティを確保し、ICT 関連のインシデントを防ぐことを目的とする ICT セキュリティ ポリシー、手順、プロトコル、ツールも実装する必要があります。
  • ICT リスクソースと依存関係の特定: 金融エンティティは、ICT リスクに関連して、サポートされているすべての ICT ビジネス機能、情報資産と ICT 資産、およびそれらの役割と依存関係を特定、分類、文書化する必要があります。 また、ICT リスク、サイバー脅威、ICT の脆弱性のすべてのソースを特定し、ICT の中断の潜在的な影響を評価する必要があります。
  • ICT 関連のインシデントと異常の検出: 金融エンティティには、異常なアクティビティ、ICT ネットワーク パフォーマンスの問題、ICT 関連のインシデントを迅速に検出し、潜在的な単一障害点を特定するメカニズムが必要です。 また、ICT 関連のインシデント対応プロセスをトリガーして開始するためのアラートのしきい値と条件も定義する必要があります。
  • ICT 関連インシデントからの対応と復旧: 金融主体には、重要または重要な機能の継続性を確保し、ICT 関連のインシデントを迅速かつ効果的に解決し、損害と損失を最小限に抑えるための包括的な ICT ビジネス継続性ポリシーと関連する ICT 対応と復旧計画が必要です。 また、計画と対策を定期的にテスト、レビュー、更新し、必要に応じて管轄当局に報告する必要があります。

Microsoft がリスク管理にどのように役立つか

Microsoft は、現在、サービスに組み込みの ICT リスク管理機能の幅広いセットを既に提供しています。 これには、例として、クラウドのMicrosoft DefenderMicrosoft 365 Service Health ダッシュボードMicrosoft Secure ScoreAzure Service HealthMicrosoft PurviewMicrosoft Purview コンプライアンス マネージャーが含まれます。

ICT - 関連するインシデント管理、分類、およびレポート

ICT インシデント管理、分類、およびレポートに関する EU の金融主体には、次のようなさまざまな要件が義務付けられています。

  • ICT 関連のインシデント管理プロセス: 金融エンティティには、ICT 関連のインシデントを検出、管理、通知し、優先順位と重大度に従って記録するプロセスが必要です。
  • ICT 関連のインシデントとサイバー脅威の分類: 金融主体は、影響を受けるクライアントの数、期間、地理的な広がり、データ損失、サービスの重要度、経済的影響などの基準に基づいて、ICT 関連のインシデントとサイバー脅威を分類する必要があります。
  • 主要な ICT 関連インシデントの報告と重大なサイバー脅威の自発的な通知: 金融機関は、標準的なフォームとテンプレートを使用して、主要な ICT 関連インシデントを関連する管轄機関に報告し、インシデントと軽減策についてクライアントに通知する必要があります。 また、金融機関は、関連する管轄機関に対して、自発的に重大なサイバー脅威を通知する場合もあります。
  • 報告内容とテンプレートの調和: ESA は、共同委員会を通じて、ENISA および ECB と協議して、共通の規制草案を作成し、コンテンツ、制限時間、および ICT 関連のインシデントとサイバー脅威に関するレポートと通知の形式を指定する技術基準を実装する必要があります。
  • 主要なICT関連インシデントの報告の一元化:ESAは、共同委員会を通じて、ECBとENISAと協議して、金融主体による主要なICT関連インシデント報告のための単一のEUハブの設立を通じてインシデント報告をさらに一元化する可能性を評価する共同報告書を作成する。

デジタル運用の回復性テスト

DORA では、脅威主導の侵入テスト (TLPT) を通じて、重要な ICT システムとアプリケーションに対して毎年 3 年単位で実施する必要があるデジタル運用テストを導入しています。 この新しいテスト アプローチは、金融エンティティのテスト機能を強化し、タイムリーな回復とビジネス継続性を促進します。 Microsoft では、お客様が侵入テスト プログラムを通じてこれを行うことができます。 Microsoft クラウド侵入テストのエンゲージメントルールバグ報奨金プログラムの詳細をご覧ください。 Microsoft は、DORA で要求されるこのテスト体制の要件を満たすためのテスト要件をさらに処理し、サポートします。これは、Microsoft Cloud の安全性、整合性、セキュリティ、運用上の回復性を確保する原則と一致します。

Microsoft が運用回復性テストにどのように役立つか

Microsoft では、オンライン サービスを提供するシステムの潜在的な脆弱性を特定するために、社内およびサードパーティの侵入テストを定期的に実施しています。 該当する Microsoft Online Services のサード パーティの侵入テスト レポートは、Service Trust Portal でダウンロードできます。

脆弱性テストに加えて、 Microsoft はオンライン サービスの回復性 を少なくとも年単位でテストします。 Microsoft は、選択したオンライン サービスの BCDR プランの検証とメンテナンスについて説明する、サービス 信頼ポータルでビジネス継続性とディザスター リカバリー 計画の検証レポートを提供します。

ICTの第三者リスクを健全に管理するための重要な原則

金融主体は、ICT リスク管理フレームワークの一環として ICT サードパーティのリスクを管理し、重要または重要な機能をサポートする ICT サービスの使用に関する戦略とポリシーを採用し、ICT サードパーティサービス プロバイダーとの契約上のすべての取り決めに関する情報の登録を維持することが期待されます。

  • 契約を締結する前の事前評価: 金融主体は、主要な ICT サードパーティサービス プロバイダーと契約するリスクを評価する必要があります。
  • 主要な契約上の規定:金融主体は、契約上の取り決めには、特に、機能とサービスの説明、重要なサービスの提供を支える主要な下請業者のデータ処理と保管、管理と監督、データ保護とセキュリティ対策、サービスレベルの説明とパフォーマンス目標、終了権利と終了戦略、 財務団体および管轄当局のアクセス権、検査権、監査権。

Microsoft がサードパーティのリスク管理にどのように役立つか

Microsoft は既に、それぞれの ESA からのガイダンスと整合し、DORA の第 30 条に基づく条項と一致する実質的な契約上のコミットメントを提供しています。 Microsoft 製品およびサービスデータ保護補遺製品使用条件 、および金融サービスの修正は、これらの重要な要素をカバーしています。 お客様と連携し、今後もさらなるお客様のニーズに対応していきます。

DORA でコンプライアンスを有効にする Microsoft のコミットメント

Microsoft は、DORA の要件 (該当する場合) と、クラウド サービスを重要または重要な機能に使用する財務エンティティに提供する主要サービスを満たす準備をしています。 Microsoft は 10 年以上にわたり、Microsoft クラウド サービスを使用する際に金融機関が規制上の義務を果たすのを支援するために、アウトソーシングに関する ESAs ガイドラインと一致した商用契約から、サービス トラスト ポータルやその他のリソースを通じたクラウド サービスの透明性と保証、クラウド サービスの無数の組み込みセキュリティ機能に大きく投資してきました。 DORA の要素は、お客様がリスクを管理し、クラウド サービスの使用を継続的に監視するのに役立つ幅広い機能と組み合わせて、運用の回復性を維持し、Microsoft クラウド サービスを自信を持って使用するための自然な一歩です。 また、DORA と同様の措置を実施しており、これらの要件を満たす準備をしている英国などの管轄区域の他の規制当局とも協力しています。