このブログは2025年に掲載されたものです。.
デジタル・オペレーショナル・レジリエンス法(DORA)がEUで採択されたとき、金融機関がサイバーセキュリティ、リスク管理、業務継続にどのように取り組まなければならないかという根本的な転換が示された。規制当局は初めて、単にIDセキュリティについて言及しただけでなく、コンプライアンスに直接組み込んだのである。
この進化は、多くのセキュリティ専門家が長年にわたって認識してきた現実、すなわちアイデンティティがデジタル・セキュリティの基盤であり、業務回復力の要であるということを認識させるものです。何が変わったのか、DORAがアイデンティティ・セキュリティに与える影響、金融機関が直面する課題、2025年の期限までに組織がDORAの要件を満たすためにCISOがどのように準備しなければならないのかを見てみよう。
DORAの下では、金融機関内のすべてのデジタル業務(決済から顧客オンボーディング、取引システムに至るまで)は、安全で弾力性があり、継続的に利用可能でなければならない。そして、アイデンティティのセキュリティが最重要課題となっている。なぜなら、誰が、いつ、どこから、何にアクセスしているかを検証できなければ、アイデンティティ戦略は崩壊してしまうからだ。
新たな DORA 規制の現実において、ID はもはやバックオフィスの IT 機能ではない。リスク・リーダー、コンプライアンス・オフィサー、および経営幹部が同様に所有する戦略的必須事項となっている。
DORAのいくつかの条項では、強固なIDおよびアクセス管理(IAM)機能を直接的または暗黙的に要求している。例えば
- アクセス制御とガバナンス:DORAは、機関に対し、ユーザーのアクセス権をリアルタイムで管理し、特権のクリープや不正アクセスを防止するために、定期的なアクセスレビューを実施することを義務付けている。
- 認証要件:多要素認証(MFA)のような強力な認証方法は、不正アクセスからシステムを保護することが期待されている。
- 事業継続性:機関は、サイバーインシデント、停電、または混乱が発生しても、重要な機能が利用可能で あることを保証しなければならない。これには、強迫下での ID サービスの維持も含まれる。
- 監視と異常検知:組織はサイバーインシデントを迅速に検出し、対応し、回復しなければならない。異常なアクセスパターンなど、アイデンティティに関連する異常は極めて重要な指標である。
これらの要件は、リスクを認識した最新の ID セキュリティ・プログラムの必要性を強調し ている。
つまり、DORAを遵守しない組織には、全世界の平均売上高の2%、または1日の平均売上高の1%の罰金が課され、さらに遵守を達成するまで毎日罰金が課されることになる。 今や賭け金は高い。
セキュリティへの投資が増加しているにもかかわらず、多くの金融機関は、セキュリティと 業務機能における ID 関連のギャップに苦慮している:
- レガシーIAMシステム 適応性と視認性に欠ける
- サイロ化されたIDツール オンプレミス環境とクラウド環境にまたがる
- 脆弱な認証方法 フィッシングに弱い
- 手作業によるガバナンス・プロセス コンプライアンス報告に時間がかかり、ミスが起こりやすい
このような課題により、組織は攻撃者だけでなく、規制当局の監視やコンプライアンスの罰金にもさらされることになる。
金融部門の CISO は、ID 戦略を DORA と整合させるために主導権を握らなければならない。つまり
- 採用 リスク・ベース・アクセス コンテキストと行動に基づいてコントロールを調整するモデル
- 確保 事業継続 認証とアクセスのハイブリッドフェイルオーバー
- 強化 ガバナンス 自動化されたプロビジョニング、レビュー、アクセス認証
- 抱擁 パスワードレス認証 一般的な攻撃ベクトルを排除する
DORAの規制文言は明確ですが、その実施方法は各組織の規模、組織構造、および現状によって異なります。以下のシナリオでは、さまざまな特徴を持つ金融サービス企業が、実際にDORAへの準拠にどのように取り組んでいるかを示しています。.
シナリオ1:DORAへの対応準備を進める欧州の大手銀行
課題 12カ国で事業を展開するEUの大手リテール銀行は、ある共通の問題に直面しています。それは、数十年にわたる買収によってID管理インフラが肥大化し、7つの別々のIAMシステムが存在すること、事業部門ごとにMFAポリシーに一貫性がないこと、そしてアクセス権限の見直しに最大30日もかかることです。 DORAの第9条で定められたアクセス制御および継続的なガバナンスの要件に照らすと、このような断片化はコンプライアンス上のギャップであると同時に、オペレーショナルリスクも孕んでいる。.
適用されるDORA要件
- 第9条:ICTリスク管理フレームワーク、アクセス制御、および最小権限の徹底
- 第10条:異常な活動およびICT関連インシデントの検知
- 第17条:ICT関連インシデント管理プロセス
実装手順
- ID管理システムを単一のプラットフォームに統合する(RSA ID Plus) すべての子会社において、クラウド、オンプレミス、およびハイブリッド環境をサポートしています。.
- フィッシング対策機能を備えたMFAを導入する(RSA iShield Key 2 シリーズ) 90日以内に、すべての特権アカウントおよび管理者アカウントについて。.
- 以下の機能を使用して、アクセス認証およびプロビジョニングのワークフローを自動化します。 RSAガバナンスとライフサイクル, 、手作業によるスプレッドシートを用いた確認作業に取って代わる。.
- 有効にする RSAリスクAI 継続的な行動分析およびリアルタイムの異常検知のために。.
- DORAコンプライアンス報告ダッシュボードに直接連携する、一元化されたIAM監査証跡を構築する。.
成功指標
- 審査期間を30日から3日に短縮
- プラットフォームの導入から60日以内に、フィッシング対策機能を備えた多要素認証(MFA)に登録された特権アカウント:100%
- 四半期ごとに自動的に生成される、監査対応済みのアクセス認証レポート
- DORAによる初の規制検査において、認証関連のインシデントは1件も指摘されなかった
重要な教訓 統合は単なるコンプライアンスプロジェクトではなく、レジリエンス向上のためのプロジェクトです。統合されたIAMプラットフォームは、相互に連携していないシステム間の継ぎ目に存在する死角を解消します。まさにその死角こそが、攻撃者が隙を探し求める場所なのです。.
シナリオ 2:ハイブリッドインフラを運用する中規模の金融サービス企業
課題 オンプレミス上のコア取引システム、Azure上の顧客向けアプリケーション、そして事業全体でSaaSツールが混在しています。これまで、クラウドの障害やオンプレミスネットワークの障害が発生すると、認証エラーによりスタッフが重要なシステムに数時間にわたりアクセスできなくなる事態が生じていました。これは、DORA第11条に定める事業継続要件に明らかに違反するものです。.
適用されるDORA要件
- 第11条:ICTの事業継続および災害復旧
- 第9条:ネットワークおよびシステムへのアクセス制御
- 第30条:ICT第三者サービスプロバイダーに関する契約上の要件
実装手順
- デプロイ RSA ID Plusハイブリッドフェイルオーバー クラウドまたはオンプレミスのコンポーネントに障害が発生した場合でも、認証サービスが利用可能な状態を維持するため、環境間の自動フェイルオーバーを60秒以内に実行します。.
- 実装する RSAモバイルロック モバイル端末や管理対象外の端末から取引システムにアクセスする従業員に対し、端末の状態確認を義務付ける。.
- ICTにおけるすべての第三者認証への依存関係を洗い出し、第30条に基づく契約上のDORA準拠性を検証する。.
- 認証システムの障害シナリオを含む四半期ごとの災害復旧シミュレーションを実施し、規制当局による審査に備えて、復旧時間目標(RTO)および復旧時点目標(RPO)を文書化する。.
成功指標
- インフラの停止時における認証の可用性が、67%から99.9%へと向上しました。
- IDサービスのRTOが4時間から3分未満に短縮された
- 12か月の準備期間内に、すべてのICT関連の第三者契約を更新し、DORAで義務付けられたレジリエンスに関する条項を盛り込んだ。
- 復旧シミュレーションの結果が文書化され、所管当局による審査の準備が整っている
重要な教訓 DORAに基づく業務継続性とは、単に攻撃を防ぐことだけでなく、攻撃が発生している間も機能を維持することにあります。認証におけるハイブリッドフェイルオーバーは、強力な認証そのものと同様に、DORAへの準拠にとって極めて重要です。.
シナリオ3:DORAに基づきサイバーインシデントに対応する投資運用会社
課題 運用資産総額(AUM)が400億ユーロに上るEU拠点の資産運用会社が、自社のファンド管理プラットフォームを標的とした認証情報に基づく攻撃を受けた。中間者攻撃(Adversary-in-the-Middle)型のフィッシング攻撃によりサービスアカウントが侵害され、ネットワーク内での横方向の移動が可能となった。 DORAのインシデント分類および報告枠組みに基づき、当該組織は、当該インシデントを「重大」と分類してから24時間以内に所管当局へ通知するとともに、72時間以内に中間報告書を、1ヶ月以内に最終報告書を提出しなければならない。.
適用されるDORA要件
- 第17条:ICT関連インシデントの管理、分類、および報告
- 第19条:重大事案の報告義務および報告期限
- 第9条:インシデント発生中も稼働を維持しなければならない認証およびアクセス制御
事件の経緯と対応
- 0時間目: RSA Risk AI は、異常な認証動作(通常とは異なる地理的位置からサービスアカウントがログインし、通常のアクセスパターンとは異なるシステムにアクセスしている状態)を検知します。調査が完了するまで、アクセスは自動的に停止されます。.
- 第2時間: セキュリティチームが侵害を確認した。RSA ID Plus を通じて、60秒以内に当該アカウントのアクセス権限が解除された。横方向の移動は封じ込められた。.
- 第6時間: 内部の分類に基づき、コアシステムの可用性への影響を考慮すると、本件はDORAの「重大インシデント」の基準を満たしていることが確認されました。.
- 18時間目: 24時間以内の要件に従い、所管当局に対して、事象の種類、分類の根拠、および直ちに講じた封じ込め措置を含む初期報告を提出する。.
- 60時間目: 72時間以内の提出要件を満たし、インシデントの全経緯、根本原因分析(侵害されたアカウントにおけるフィッシング攻撃の標的となりやすい多要素認証)、影響を受けたシステム、および是正措置を記載した中間報告書を提出した。.
- 第4週: 事後検証、実施された管理上の改善措置(すべてのサービスアカウントにフィッシング対策機能を備えた多要素認証を導入)、および監視閾値の変更を含む、最終的なインシデント報告書を提出しました。.
成功指標
- 事案は発見から2時間以内に収束した
- DORAの報告期限3つすべてを遵守しました—24時間以内の初期報告、72時間以内の中間報告、1か月以内の最終報告
- 認証のフェイルオーバーにより、本件発生中もファンド管理サービスに支障は一切生じなかった
- 直ちに行う是正措置:インシデント発生から30日以内に、サービスアカウント「100%」をフィッシング対策認証に移行する
重要な教訓 DORAのインシデント報告要件は、迅速な検知と封じ込めにすでに投資を行っている組織を評価するものです。. RSAリスクAI 行動分析の導入により、攻撃の開始から封じ込めまでの時間が、平均で最大254日(認証情報漏洩における業界の標準値)から2時間未満に短縮され、コンプライアンスに関する説明も「侵害を受けた」から「DORAの枠組みに基づき、検知・封じ込め・報告を行った」へと一変した。“
RSAでは、金融機関がレジリエンスの柱としてIDを運用できるよう支援しています。セキュリティ・ファーストのアイデンティティ・プラットフォームです、 RSA ID Plus, これは、金融のような規制された環境向けに構築されている。
- RSAリスクAI 行動と文脈のシグナルを分析し、適応的なアクセス・ポリシーを実施する。
- RSAモバイルロック 管理されていないデバイスや危険なデバイスからのアクセスを保護
- RSA iShield Key 2 シリーズ フィッシングに強いFIDO認証とOTP認証を可能にする認証機能
- RSAガバナンスとライフサイクル アクセスガバナンスとコンプライアンスのワークフローを自動化
- RSAハイブリッドフェイルオーバー 停電時にも認証を中断しない
これらのソリューションは、DORAに適合するために必要な統制を提供し、コンプライアンスを超えて組織を強化します。
DORA は金融サービスにおけるアイデンティティの転換点となる。DORA は、IAM を技術的な関心事から規制上の義務付けに格上げし、運用の弾力性を戦略的に実現するものである。
IDファーストのセキュリティ戦略を採用する金融機関は、DORAの要件を満たすだけでなく、セキュリティ、敏捷性、顧客の信頼において競争上の優位性を得ることができる。DORAの施行が始まる前の今こそ、アイデンティティ態勢を見直す時です。
「デジタル・オペレーショナル・レジリエンス法(DORA)」は2023年1月16日に発効し、 2025年1月17日 — この日付をもって、対象となるすべての金融機関および重要なICT第三者プロバイダーは要件を遵守することが義務付けられ、EU加盟27カ国すべてにおいて執行権限が発動された。まだ要件を満たしていない機関に対する猶予期間は設けられておらず、所管当局は当該日付以降、調査を開始し、罰則を科すことができる。.
完全なコンプライアンス達成に向けてまだ取り組んでいる組織にとって、優先すべきは、文書化され、着実に進展しているコンプライアンス・プログラムを証明することです。特に、一夜にして近代化できない複雑なレガシーのIDインフラについては、その重要性が際立っています。.
DORAは、2段階の罰則制度を定めている。. 金融機関 最大 全世界の年間総売上高の2% いただくか、 世界全体の1日平均取引高の1%—所管当局の評価に基づき該当するいずれか—を、遵守が達成されるまで継続的な罰金として日額で適用する。違反の責任があると認定された個々の上級管理職には、最大 €1,000,000.
重要なサードパーティICTプロバイダー(CTPP) 欧州監督当局によって指定された機関は、より大きなリスクにさらされており、その額は最大で €5,000,000 違反1件につき、個人に対する罰金は最大 €500,000, 、さらに最大 世界の1日平均取引高の1% 最長6か月間。金銭的な罰則に加え、所管当局はDORA違反を公表する場合があり、これにより生じる評判リスクは、規制対象の金融機関にとって、罰金そのものの金銭的コストを上回る可能性もある。.
DORAは、EUの金融セクターのほぼすべてに適用されます。 対象となる事業体には、信用機関、決済機関および電子マネー機関、投資会社、暗号資産サービス提供者(CASPs)、中央証券保管機関、中央清算機関、取引所、代替投資ファンド運用会社、保険会社および再保険会社、信用格付け機関、公益事業体の監査法人、ならびにクラウドファンディングサービス提供者が含まれます。.
重要な点として、DORAの適用範囲はEUに本拠を置く金融機関にとどまりません。 EU域内で事業を行う非EUの金融機関、およびEUの適用対象となる金融機関にサービスを提供するICTサードパーティサービスプロバイダー(クラウドプロバイダーを含む)も、第30条の契約規定に基づき、DORAの要件の対象となります。EU域内で事業を展開している、あるいはEU域内に顧客を持つ米国拠点の金融サービス企業は、自社の事業が適用範囲外であると安易に想定すべきではありません。.
DORAは特定の技術を規定しているわけではありませんが、第9条および第10条に定められたリスク管理およびアクセス制御の要件は、そのまま必須のIAM機能に直結します。金融機関は、以下の措置を講じなければなりません。
- 強力な認証 すべてのシステムについて:多要素認証(MFA)に関するポリシーとプロトコルの策定が明確に求められており、特権アクセスや高リスクのアクセスについては、フィッシング攻撃に耐性のある手法が推奨されます。.
- 最小権限のアクセス制御: ユーザーおよびシステムには、その機能に必要なアクセス権のみを付与し、それらを継続的に見直し、リアルタイムで調整すべきである。.
- アクセスガバナンス: 特権の拡大を防ぐため、定期的かつ文書化されたアクセスレビューと認証サイクルが必要であり、プロビジョニングおよびプロビジョニング解除は自動化される必要があります。.
- 異常検知: 認証やアクセスパターンを継続的に監視することで、システムへの侵入を示唆する異常な活動を検知し、適切に対応することが可能になります。.
- IDサービスの事業継続性: 認証インフラは、サイバーインシデントやシステム停止時においても利用可能な状態を維持しなければならず、復旧目標を文書化しておく必要がある。.
- 監査証跡の管理: すべてのIDおよびアクセスイベントに関する、包括的かつ改ざん防止機能を備えたログを、規制当局による審査やインシデント調査のために用意しておかなければならない。.
金融サービス向け RSA ID Plus これらの要件のそれぞれに直接対応しています。.
「決済サービス指令2(PSD2)」は、特にデジタル決済のセキュリティ確保に重点を置き、決済サービス事業者に対し、重大なインシデントを検知してから2時間以内に規制当局へ報告することを義務付けました。 DORAは、両方の枠組みの対象となるすべての事業体について、PSD2のインシデント報告規則に取って代わるものである。欧州銀行監督局(EBA)は、2025年1月17日付でPSD2の重大インシデント報告ガイドラインを正式に廃止し、DORAの調和化された枠組みに置き換えた。.
主な違いは適用範囲にあります。PSD2は決済のセキュリティを対象としていましたが、DORAはすべての金融機関のICTリスク態勢全体を対象とし、決済関連のものに限らず、あらゆる運用上およびセキュリティ上のインシデントを網羅しています。また、DORAにおけるインシデント報告のタイムラインも、より体系化されています: 24時間 初回通知については、, 72時間 中間報告として、および 1か月 最終報告書のため。DORAでは、重要なICT第三者事業者に対する直接的な監督権限も導入されており、これはPSD2には類例のない説明責任の仕組みである。.
DORA第17条および第19条に基づき、各機関は定められたインシデント対応および報告プロセスに従わなければなりません。 まず、インシデントを検知し、記録し、分類する必要があります。DORAでは、サービスの可用性への影響、影響を受けたクライアントの数、地理的な広がり、および経済的影響に基づいて、「重大」なインシデントを構成する基準を定義しています。重大と分類されると、報告のタイムリミットが開始されます:
- 初回通知 管轄当局に対し、~以内に 24時間 重大事案としての分類について
- 中間報告書 内 72時間 当該事案の詳細な経緯、実施された封じ込め措置、および初期の根本原因評価を含む
- 最終報告書 内 1か月 中間報告書の内容(事後分析の全容、恒久的な是正措置、および得られた教訓を含む)
インシデント発生中も、本人確認および認証サービスは稼働し続けなければならない。DORAでは、事業継続計画にアクセスおよび認証システムを含むICTインフラを盛り込むことを明示的に義務付けており、機関は、発生中のインシデントを理由に認証システムが利用できない状態を正当化することはできない。.
はい。ただし、そのクラウドベースのソリューションおよび契約条件が、DORA第30条に定める第三者ICTプロバイダーの要件を満たしていることが条件となります。クラウドIDプロバイダーは、サービスの可用性、インシデント通知のタイムライン、監査権、およびデータポータビリティに関して、契約上の保証を提供しなければなりません。 ハイブリッドなフェイルオーバー機能を備えていないクラウド認証サービスにのみ依存している機関は、DORAが求める業務継続性を立証するのに苦労する可能性があります。.
RSA ID Plus この課題に特化して設計されており、単一のプラットフォームからクラウド、ハイブリッド、オンプレミスの認証をサポートし、 ハイブリッドフェイルオーバー クラウドへの接続が途絶えた場合でも、認証サービスが利用可能な状態を維持すること。これにより、クラウド管理がもたらすコンプライアンス上のメリット(一元管理、自動更新、拡張性)を享受しつつ、規制当局が厳しく監視している「単一障害点」のリスクを回避できます。.
DORAでは、金融機関に対し、以下の書類を保管し、要求に応じて提示できることを義務付けています:
- ICTリスク管理フレームワークに関する文書—DORAの要件に照らして策定された方針、手順、および統制措置について、経営陣が少なくとも年1回、検討・承認を行うこと
- レビュー記録にアクセスする—最小権限の原則が確実に適用され、退職した従業員や役割が変更された従業員に対して適時にアクセス権限の解除が行われていることを示す、記録付きかつタイムスタンプ付きのアクセス認証サイクル
- インシデント登録簿—ICT関連のすべてのインシデント、その分類、時系列、対応措置、および結果に関する完全な記録
- 重大事案報告書—DORAの「重大」分類基準を満たすあらゆる事象について、提出されたすべての通知(初期、中間、最終)
- 第三者とのICT契約—クラウド認証およびID管理ベンダーを含む、すべてのICTサービスプロバイダーとの間で、第30条に準拠した契約を締結すること
- 事業継続計画および災害復旧計画—認証システムの可用性を網羅した、文書化および検証済みの計画。シミュレーションによるRTO/RPOの結果が記録されている。
RSAガバナンスとライフサイクル アクセス審査記録やコンプライアンス報告書の作成・管理を自動化し、監査対応可能な書類の作成にかかる時間を数週間から数時間に短縮します。.