DORAは、重要なサイバーセキュリティのギャップを埋めるために、サードパーティのリスク管理に焦点を当てている。金融機関とICTプロバイダー間のサプライチェーンのセキュリティギャップを埋めることは、両者のレジリエンスを高めることになる。
サプライチェーンのサイバー攻撃が世界的に増加する中、欧州連合(EU)は新たな規制によって地域全体のリスク管理に取り組んでおり、その中でも最も顕著なものがデジタル・オペレーショナル・レジリエンス法(DORA)である。
DORAは金融市場のサイバーセキュリティ・リスク管理を支援することを目的としているが、第三者サービス・プロバイダーも対象としている。電気通信事業者は、業界の日常業務において基本的な役割を担っており、サイバー攻撃の広範な標的となっていることから、この法律は電気通信事業者に大きな焦点を当てている。EUの金融市場との関係を維持するためには、情報通信技術(ICT)のサードパーティプロバイダーは、金融機関の顧客がDORAを遵守するための積極的なパートナーとなる必要がある。
EUは、主要な傾向と脅威を特定し、規制に反映させるため、サイバーセキュリティの脅威状況に関する年次報告書を作成している。その最新報告書によると、サプライチェーンへのサイバー攻撃の数は著しく増加しており、2020年には侵入の1%未満であったものが、2021年には17%に増加している。
EUは、協調的なサイバーセキュリティ戦略と、DORAを含む新規制の導入により、この脅威の状況に対応している。
DORAは、EUのサイバー空間をサイバー攻撃に対してより強靭にし、サイバーセキュリティインシデントへの対応能力を高め、EU加盟国および世界の同盟国間の情報共有を促進することを目的としている。
金融部門はサイバー攻撃の主要な標的であり、金融機関自身だけでなく、そのサードパーティのICTプロバイダーも標的となる。金融機関は非常に機密性の高いデータを蓄積しており、一般的にサイバーセキュリティの脅威に対して非常に高度な保護を行っている。電気通信事業者のようなサードパーティICTプロバイダーは、同じ機密データを扱い、処理しているが、潜在的な「攻撃対象領域」が大きいため、標的になりやすい可能性がある。なぜなら、サードパーティICTプロバイダーは複数の金融機関とコンタクトポイントを共有しており、セキュリティ・インシデントが発生した場合、拡散と混乱のリスクが高まるからである。
DORAは、サードパーティのICTリスクを管理する金融機関の責任を規定している。金融機関は、あらゆるICTサービス・プロバイダーについて、契約前のデューデリジェンス、コンプライアンス監査、継続的なリスク分析を行わなければならない。さらに、金融機関は、サービスの重要性に関する情報を含め、契約しているICTサービス・プロバイダーの登録簿を維持しなければならない。このため、完全な第三者リスク管理戦略が必要となり、特に重要なサービスについては、サービスの変更によって金融サービスの利用が妨げられないようにするための出口戦略が必要となる。
金融セクターとの関係を維持または拡大しようとするサードパーティ企業は、義務化された契約前審査に確実に合格しなければならない。そのためには、すでに多くの企業が導入しているであろうICTやサイバーセキュリティ対策に加えて、DORAの要求事項への完全かつ証明可能な準拠を確保するための業務の精査が必要となる。DORAは、新たなインシデント報告システム、事業継続計画、契約したICTサードパーティプロバイダーの金融機関によるパフォーマンス監視の実施を求めている。これらはICTサービス・プロバイダーにとって、ISO27001のような現行の情報・サイバーセキュリティ基準を超える重大な追加義務である。
DORAが電気通信事業者に適用されるのは、主として金融セクターのバックボーンとしてのICTの重要な役割を反映したものである。電気通信事業者が提供する多種多様なサービス(公共ネットワークやデータセンターを介したデータ転送サービスなど)は、異種かつ広範囲に分散した資産を使用するため、サイバー攻撃対象が大きくなる。金融サービスの安定性と継続性は、これらのサービスに決定的に依存している。重要インフラに指定されたことで、ICTサービス・プロバイダーはEU安全保障当局(ESA)の監視下に置かれ(第32~33条)、金融顧客に与えるリスクを管理する義務が追加された。さらに、より革新的なサービス(モバイル決済や金融取引サービスなど)は、フィンテックと電気通信の境界線を曖昧にする。フィンテック・サービスを提供する事業者は、それ自体が金融サービス・プロバイダーとしてDORAの直接の対象となる。
DORAは2023年1月に導入され、重要なICTサービスプロバイダーと金融機関は2025年1月までに準拠しなければならない。
アナリシスメイソンは、重要な電気通信事業者がDORAへの準拠を達成するために不可欠な具体的活動を簡単にまとめた:
図 1: DORA コンプライアンスを達成するために重要な通信事業者と金融機関が取るべき行動
DORAは、通信事業者が遵守しなければならない一連の画期的な規制文書の一つに過ぎない。アナリシスメイソンは約40年にわたり、TMT業界の各企業と協力し、技術や規制の変化に対応してきました。当社は、欧州の電気通信事情を形成してきた規制の策定と実施に貢献してきただけでなく、事業者が進化する市場で成功するための支援も行ってきた。アナリシスメイソンが契約再交渉、RMSの構想・導入、リスク関連データ分析・管理報告用ツールの構築でどのようにお役に立てるかについての詳細は、アニカ・ニッチェ(エキスパート・コンサルタント)またはタレク・ベナマール(コンサルタント)までお問い合わせください。
執筆者:Annika Nitschke、Tarek Benamar(Analysys Mason社)
お問合せ:Analysys Masonに関するお問合せはデータリソース(office@dri.co.jp)までご連絡下さい。