DORA（デジタルオペレーションレジリエンス法）に準拠したデータセキュリティ

デジタルオペレーショナルレジリエンス法とは？

デジタルオペレーショナルレジリエンス法は、金融セクターのオペレーショナルレジリエンスに関する規則を調和させるものであり、20の異なるタイプの金融機関およびICTサードパーティサービスプロバイダーに適用され、EU全体で推定2万2,000の組織を対象としています。

DORAは、銀行、保険会社、投資会社などの金融機関のITセキュリティを強化し、サイバー攻撃の増大と深刻化に直面している欧州の金融セクターのレジリエンスを確保することを目的としています。この新規制は、金融機関およびその重要なICTサプライヤーに対し、同セクターのデジタルオペレーショナルレジリエンスのレベルを向上させるために、契約上、組織上、技術上の対策を実施することを求めています。

DORAは2023年1月16日に発効し、2025年1月17日からEU加盟27か国すべてに適用されます。

DORAの主な柱とは？

DORAは5つの柱で構成されており、それぞれが金融サービスのデジタルオペレーショナルレジリエンスの明確な側面に対処するように設計されています。

ICTリスク管理およびガバナンス：DORAは、経営陣と取締役会メンバーに対し、より大きなデジタルオペレーショナルレジリエンスを効果的に実現するためのICTリスク管理フレームワークを定義、実施、維持する責任を課します。DORAは、金融機関に対し、ICTリスクを効果的かつ慎重に管理するための内部ガバナンスと統制フレームワークを整備することを義務付けています。
インシデントの報告：金融サービス組織は、攻撃を評価し、顧客や業務への影響を軽減し、当局に報告するために、ICT関連のインシデントを監視、管理、記録、分類、報告するシステムを確立する必要があります。
デジタルオペレーショナルレジリエンステスト：金融機関は、包括的なデジタルオペレーショナルレジリエンスのテストプログラムを毎年実施する必要があります。DORAはまた、金融機関は、該当する場合、デジタルオペレーショナルレジリエンステストにICTサードパーティプロバイダーを関与させる必要があると概説しています。
ICTサードパーティリスク：DORAは、ICTサードパーティリスクとリスク軽減におけるその役割に重点を置いています。金融機関は、複数のクラウドプロバイダーなど、EU域外に所在する可能性のある外部のICTプロバイダーに大きく依存しています。従って、金融機関は、ICTサードパーティリスクをICTリスク管理フレームワークの不可欠な要素として含める必要があります。
情報共有：DORAはまた、業界のデジタルオペレーショナルレジリエンスを高めるため、サイバー脅威情報とインテリジェンスに関する自発的な情報共有を奨励しています。

対象事業者

DORAは、銀行、信用機関、決済機関、電子マネー機関、投資会社、暗号資産サービスプロバイダーなどの幅広い金融サービスプロバイダーに適用されます。重要なのは、DORAが金融機関に提供される重要なICTサービスを定義していることです。組織が金融機関にとって重要なICTサービスのプロバイダーである場合、その組織は、DORAフレームワークに基づき、規制の直接的な監督対象となります。これには、クラウドプラットフォームやデータ分析サービスなどが含まれ、たとえそれらがEU域外に拠点を置いていたとしても該当します。

コンプライアンス違反に対する罰則

DORAはEUの規制であり、2025年1月17日よりEUにおける法律となります。EUの指令とは異なり、DORAはEU加盟国の国内法に翻訳する必要はありません。DORAに準拠しない場合、厳しい罰則が課されます：

DORAに違反した場合、金融機関は全世界での年間総売上高の最高2%、個人は最高100万ユーロの罰金を科される可能性があります。罰金額は、違反の重大性と、当局への金融機関による協力状況に応じて決まります。
DORAに準拠しない場合、欧州監督当局によって「重要」と指定されたサードパーティのICTサービスプロバイダーは最高500万ユーロ、個人の場合は最高50万ユーロの罰金を科される可能性があります。ESAはこの罰金を科す権限を持ちます。

ホワイトペーパー

デジタルオペレーショナルレジリエンス法（DORA）

情報通信技術（ICT）リスク管理、インシデント報告などに対応し、金融セクターにおけるDORAへの準拠達成を支援するソリューションをご紹介します。

ホワイトペーパーを入手する

DORAへの準拠達成のためにThalesがお手伝いできること

Thalesのソリューションは、コンプライアンスを簡素化し、セキュリティを自動化してセキュリティおよびコンプライアンスチームの負担を軽減することで、金融機関やサードパーティのICTプロバイダーがDORAに準拠できるよう支援します。ICTリスク管理およびガバナンス、インシデント報告、ICTサードパーティリスク管理など、規則第8条、第9条、第10条、第11条、第19条、第28条に基づくサイバーセキュリティリスク管理の必須要件への対応を支援します。

当社は「アプリケーションセキュリティ」、「データセキュリティ」、「IDおよびアクセス管理」のサイバーセキュリティの3つの主要分野で包括的なサイバーセキュリティソリューションを提供しています。

NIS2コンプライアンスソリューション

アプリケーションセキュリティ

クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品ポートフォリオには、Webアプリケーションファイアウォール（WAF）、分散型サービス拒否（DDoS）攻撃や悪意のあるボット攻撃に対する防御、APIセキュリティ、安全なコンテンツデリバリーネットワーク（CDN）、ランタイムアプリケーションセルフプロテクション（RASP）などがあります。

データセキュリティ

ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。

IDおよびアクセス管理

顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。