DORA、デジタル・リスク、金融サービスにおける新たなアイデンティティの義務化

このブログは2025年に掲載されたものです。.

デジタル・オペレーショナル・レジリエンス法（DORA）がEUで採択されたとき、金融機関がサイバーセキュリティ、リスク管理、業務継続にどのように取り組まなければならないかという根本的な転換が示された。規制当局は初めて、単にIDセキュリティについて言及しただけでなく、コンプライアンスに直接組み込んだのである。

この進化は、多くのセキュリティ専門家が長年にわたって認識してきた現実、すなわちアイデンティティがデジタル・セキュリティの基盤であり、業務回復力の要であるということを認識させるものです。何が変わったのか、DORAがアイデンティティ・セキュリティに与える影響、金融機関が直面する課題、2025年の期限までに組織がDORAの要件を満たすためにCISOがどのように準備しなければならないのかを見てみよう。

DORAの下では、金融機関内のすべてのデジタル業務（決済から顧客オンボーディング、取引システムに至るまで）は、安全で弾力性があり、継続的に利用可能でなければならない。そして、アイデンティティのセキュリティが最重要課題となっている。なぜなら、誰が、いつ、どこから、何にアクセスしているかを検証できなければ、アイデンティティ戦略は崩壊してしまうからだ。

新たな DORA 規制の現実において、ID はもはやバックオフィスの IT 機能ではない。リスク・リーダー、コンプライアンス・オフィサー、および経営幹部が同様に所有する戦略的必須事項となっている。

DORAのいくつかの条項では、強固なIDおよびアクセス管理（IAM）機能を直接的または暗黙的に要求している。例えば

• アクセス制御とガバナンス:DORAは、機関に対し、ユーザーのアクセス権をリアルタイムで管理し、特権のクリープや不正アクセスを防止するために、定期的なアクセスレビューを実施することを義務付けている。
• 認証要件:多要素認証（MFA）のような強力な認証方法は、不正アクセスからシステムを保護することが期待されている。
• 事業継続性:機関は、サイバーインシデント、停電、または混乱が発生しても、重要な機能が利用可能で あることを保証しなければならない。これには、強迫下での ID サービスの維持も含まれる。
• 監視と異常検知:組織はサイバーインシデントを迅速に検出し、対応し、回復しなければならない。異常なアクセスパターンなど、アイデンティティに関連する異常は極めて重要な指標である。

これらの要件は、リスクを認識した最新の ID セキュリティ・プログラムの必要性を強調し ている。

つまり、DORAを遵守しない組織には、全世界の平均売上高の2%、または1日の平均売上高の1%の罰金が課され、さらに遵守を達成するまで毎日罰金が課されることになる。 今や賭け金は高い。

セキュリティへの投資が増加しているにもかかわらず、多くの金融機関は、セキュリティと 業務機能における ID 関連のギャップに苦慮している：

• レガシーIAMシステム 適応性と視認性に欠ける
• サイロ化されたIDツール オンプレミス環境とクラウド環境にまたがる
• 脆弱な認証方法 フィッシングに弱い
• 手作業によるガバナンス・プロセス コンプライアンス報告に時間がかかり、ミスが起こりやすい

このような課題により、組織は攻撃者だけでなく、規制当局の監視やコンプライアンスの罰金にもさらされることになる。

金融部門の CISO は、ID 戦略を DORA と整合させるために主導権を握らなければならない。つまり

• 採用 リスク・ベース・アクセス コンテキストと行動に基づいてコントロールを調整するモデル
• 確保 事業継続 認証とアクセスのハイブリッドフェイルオーバー
• 強化 ガバナンス 自動化されたプロビジョニング、レビュー、アクセス認証
• 抱擁 パスワードレス認証 一般的な攻撃ベクトルを排除する

DORAの規制文言は明確ですが、その実施方法は各組織の規模、組織構造、および現状によって異なります。以下のシナリオでは、さまざまな特徴を持つ金融サービス企業が、実際にDORAへの準拠にどのように取り組んでいるかを示しています。.

シナリオ1：DORAへの対応準備を進める欧州の大手銀行

課題 12カ国で事業を展開するEUの大手リテール銀行は、ある共通の問題に直面しています。それは、数十年にわたる買収によってID管理インフラが肥大化し、7つの別々のIAMシステムが存在すること、事業部門ごとにMFAポリシーに一貫性がないこと、そしてアクセス権限の見直しに最大30日もかかることです。 DORAの第9条で定められたアクセス制御および継続的なガバナンスの要件に照らすと、このような断片化はコンプライアンス上のギャップであると同時に、オペレーショナルリスクも孕んでいる。.

適用されるDORA要件

• 第9条：ICTリスク管理フレームワーク、アクセス制御、および最小権限の徹底
• 第10条：異常な活動およびICT関連インシデントの検知
• 第17条：ICT関連インシデント管理プロセス

実装手順

1. ID管理システムを単一のプラットフォームに統合する（RSA ID Plus) すべての子会社において、クラウド、オンプレミス、およびハイブリッド環境をサポートしています。.
2. フィッシング対策機能を備えたMFAを導入する（RSA iShield Key 2 シリーズ) 90日以内に、すべての特権アカウントおよび管理者アカウントについて。.
3. 以下の機能を使用して、アクセス認証およびプロビジョニングのワークフローを自動化します。 RSAガバナンスとライフサイクル, 、手作業によるスプレッドシートを用いた確認作業に取って代わる。.
4. 有効にする RSAリスクAI 継続的な行動分析およびリアルタイムの異常検知のために。.
5. DORAコンプライアンス報告ダッシュボードに直接連携する、一元化されたIAM監査証跡を構築する。.

成功指標

• 審査期間を30日から3日に短縮
• プラットフォームの導入から60日以内に、フィッシング対策機能を備えた多要素認証（MFA）に登録された特権アカウント：100%
• 四半期ごとに自動的に生成される、監査対応済みのアクセス認証レポート
• DORAによる初の規制検査において、認証関連のインシデントは1件も指摘されなかった

重要な教訓 統合は単なるコンプライアンスプロジェクトではなく、レジリエンス向上のためのプロジェクトです。統合されたIAMプラットフォームは、相互に連携していないシステム間の継ぎ目に存在する死角を解消します。まさにその死角こそが、攻撃者が隙を探し求める場所なのです。.

シナリオ 2：ハイブリッドインフラを運用する中規模の金融サービス企業

課題 オンプレミス上のコア取引システム、Azure上の顧客向けアプリケーション、そして事業全体でSaaSツールが混在しています。これまで、クラウドの障害やオンプレミスネットワークの障害が発生すると、認証エラーによりスタッフが重要なシステムに数時間にわたりアクセスできなくなる事態が生じていました。これは、DORA第11条に定める事業継続要件に明らかに違反するものです。.

適用されるDORA要件

• 第11条：ICTの事業継続および災害復旧
• 第9条：ネットワークおよびシステムへのアクセス制御
• 第30条：ICT第三者サービスプロバイダーに関する契約上の要件

実装手順

1. デプロイ RSA ID Plusハイブリッドフェイルオーバー クラウドまたはオンプレミスのコンポーネントに障害が発生した場合でも、認証サービスが利用可能な状態を維持するため、環境間の自動フェイルオーバーを60秒以内に実行します。.
2. 実装する RSAモバイルロック モバイル端末や管理対象外の端末から取引システムにアクセスする従業員に対し、端末の状態確認を義務付ける。.
3. ICTにおけるすべての第三者認証への依存関係を洗い出し、第30条に基づく契約上のDORA準拠性を検証する。.
4. 認証システムの障害シナリオを含む四半期ごとの災害復旧シミュレーションを実施し、規制当局による審査に備えて、復旧時間目標（RTO）および復旧時点目標（RPO）を文書化する。.

成功指標

• インフラの停止時における認証の可用性が、67%から99.9%へと向上しました。
• IDサービスのRTOが4時間から3分未満に短縮された
• 12か月の準備期間内に、すべてのICT関連の第三者契約を更新し、DORAで義務付けられたレジリエンスに関する条項を盛り込んだ。
• 復旧シミュレーションの結果が文書化され、所管当局による審査の準備が整っている

重要な教訓 DORAに基づく業務継続性とは、単に攻撃を防ぐことだけでなく、攻撃が発生している間も機能を維持することにあります。認証におけるハイブリッドフェイルオーバーは、強力な認証そのものと同様に、DORAへの準拠にとって極めて重要です。.

シナリオ3：DORAに基づきサイバーインシデントに対応する投資運用会社

課題 運用資産総額（AUM）が400億ユーロに上るEU拠点の資産運用会社が、自社のファンド管理プラットフォームを標的とした認証情報に基づく攻撃を受けた。中間者攻撃（Adversary-in-the-Middle）型のフィッシング攻撃によりサービスアカウントが侵害され、ネットワーク内での横方向の移動が可能となった。 DORAのインシデント分類および報告枠組みに基づき、当該組織は、当該インシデントを「重大」と分類してから24時間以内に所管当局へ通知するとともに、72時間以内に中間報告書を、1ヶ月以内に最終報告書を提出しなければならない。.

適用されるDORA要件

• 第17条：ICT関連インシデントの管理、分類、および報告
• 第19条：重大事案の報告義務および報告期限
• 第9条：インシデント発生中も稼働を維持しなければならない認証およびアクセス制御

事件の経緯と対応

• 0時間目: RSA Risk AI は、異常な認証動作（通常とは異なる地理的位置からサービスアカウントがログインし、通常のアクセスパターンとは異なるシステムにアクセスしている状態）を検知します。調査が完了するまで、アクセスは自動的に停止されます。.
• 第2時間: セキュリティチームが侵害を確認した。RSA ID Plus を通じて、60秒以内に当該アカウントのアクセス権限が解除された。横方向の移動は封じ込められた。.
• 第6時間: 内部の分類に基づき、コアシステムの可用性への影響を考慮すると、本件はDORAの「重大インシデント」の基準を満たしていることが確認されました。.
• 18時間目: 24時間以内の要件に従い、所管当局に対して、事象の種類、分類の根拠、および直ちに講じた封じ込め措置を含む初期報告を提出する。.
• 60時間目: 72時間以内の提出要件を満たし、インシデントの全経緯、根本原因分析（侵害されたアカウントにおけるフィッシング攻撃の標的となりやすい多要素認証）、影響を受けたシステム、および是正措置を記載した中間報告書を提出した。.
• 第4週: 事後検証、実施された管理上の改善措置（すべてのサービスアカウントにフィッシング対策機能を備えた多要素認証を導入）、および監視閾値の変更を含む、最終的なインシデント報告書を提出しました。.

成功指標

• 事案は発見から2時間以内に収束した
• DORAの報告期限3つすべてを遵守しました—24時間以内の初期報告、72時間以内の中間報告、1か月以内の最終報告
• 認証のフェイルオーバーにより、本件発生中もファンド管理サービスに支障は一切生じなかった
• 直ちに行う是正措置：インシデント発生から30日以内に、サービスアカウント「100%」をフィッシング対策認証に移行する

重要な教訓 DORAのインシデント報告要件は、迅速な検知と封じ込めにすでに投資を行っている組織を評価するものです。. RSAリスクAI 行動分析の導入により、攻撃の開始から封じ込めまでの時間が、平均で最大254日（認証情報漏洩における業界の標準値）から2時間未満に短縮され、コンプライアンスに関する説明も「侵害を受けた」から「DORAの枠組みに基づき、検知・封じ込め・報告を行った」へと一変した。“

RSAでは、金融機関がレジリエンスの柱としてIDを運用できるよう支援しています。セキュリティ・ファーストのアイデンティティ・プラットフォームです、 RSA ID Plus, これは、金融のような規制された環境向けに構築されている。

• RSAリスクAI 行動と文脈のシグナルを分析し、適応的なアクセス・ポリシーを実施する。
• RSAモバイルロック 管理されていないデバイスや危険なデバイスからのアクセスを保護
• RSA iShield Key 2 シリーズ フィッシングに強いFIDO認証とOTP認証を可能にする認証機能
• RSAガバナンスとライフサイクル アクセスガバナンスとコンプライアンスのワークフローを自動化
• RSAハイブリッドフェイルオーバー 停電時にも認証を中断しない

これらのソリューションは、DORAに適合するために必要な統制を提供し、コンプライアンスを超えて組織を強化します。

DORA は金融サービスにおけるアイデンティティの転換点となる。DORA は、IAM を技術的な関心事から規制上の義務付けに格上げし、運用の弾力性を戦略的に実現するものである。

IDファーストのセキュリティ戦略を採用する金融機関は、DORAの要件を満たすだけでなく、セキュリティ、敏捷性、顧客の信頼において競争上の優位性を得ることができる。DORAの施行が始まる前の今こそ、アイデンティティ態勢を見直す時です。