Skip to content
検索
  • There are no suggestions because the search field is empty.
キャンセル
採用情報

    KnowBe4 ブログ

    EU全加盟国でDORA適用開始、金融業界に求められる「レジリエンス文化」

    2025年1月17日より、デジタルオペレーションレジリエンス法(DORA:Digital Operational Resilience Act)が欧州連合(EU)の全加盟国で施行され、銀行、保険会社、投資会社などの金融機関におけるITセキュリティの強化を目的としています。

    blog.knowbe4.comhubfssocial-suggested-imagesblog.knowbe4.comhubfsSocial Image RepositoryEvangelist Blog Social GraphicsEvangelists-Javvad Malik-1.

    この規則は、金融機関に対するサイバーセキュリティインシデントの報告、オペレーショナルレジリエンステスト、サードパーティリスクの管理方法を標準化することを目指しています。

    DORAはEU全域に適用されるものの、その実施と執行の状況は国ごとに異なります。中には新しい枠組みに素早く適応し、国内ガイドラインや追加の措置を導入した国もあれば、規制インフラの整備に課題を抱える国もあります。各地域の組織がDORAの影響に備える中、導入へ向けての重要なポイントを理解することが不可欠です。

    DORAの本質とは
    この法律の目的は、金融セクターにおけるICTリスクの管理に関する包括的なフレームワークの確立です。デジタル技術への依存度が高まる中で、金融機関がデータ侵害やシステム障害といった多くのサイバー脅威にさらされている現実を踏まえ、DORAはリスク管理、インシデント報告、サードパーティの監督に関する要件を設定することで、業界全体の防御力とレジリエンスを高めようとしています。

    導入状況はどうか
    この法律はEU全域に適用されますが、各国の執行体制にはばらつきがあります。各加盟国はそれぞれに監督機関を指定し、コンプライアンスや罰則の適用にあたっていますが、その厳しさや適用範囲には差異があります。

    ドイツやオランダはなどは、積極的な対応を見せており、詳細な国内ガイドラインを策定し、監督体制の強化を通じて規制の導入を支援しています。ドイツの金融庁(BaFin)は法令、ノート、FAQを掲載した専用ポータルを開設し、それぞれの金融機関に明確な指針とリソースを提供しています。

    一方で、既存の法律との整合性の課題やリソース不足といった理由から、DORAの導入に遅れが生じている国もあります。国による導入状況の違いは、複数国で事業を展開する金融機関にとっては大きな問題となり、対策が必要になります。このような状況は、規制のアービトラージ(規制回避)を引き起こす可能性があり、特定国の監督が緩いことを逆手にとる企業も出てくることで、DORAが目指す調和とレジリエンスのある金融セクターという目標が損なわれかねません。

    組織にとっての影響
    新たな法律や規制が導入される際、その影響は広範に及びます。DORAの導入により、多くの組織は自社の統制体制を見直し、新しい要件や他の法規との整合性を確認する必要があります。

    明らかになった課題については、是正または代替措置が求められます。

    中でも特に大きな影響のひとつが、DORAがクラウドサービス提供事業者や外部委託先などのサードパーティベンダーの強靭性に強く焦点を当てている点です。金融機関は、サードパーティとの関係において、より厳密なデューデリジェンスや継続的な監視を実施し、セキュリティ基準への適合状況を確認することが求められます。

    このような高度な監視体制によって、サイバーセキュリティ対策の整った、DORAへの準拠を実証できるベンダーへ移行が進み、金融業界におけるベンダー構造の変化が起きる可能性があります。

    DORA理念の受け入れ
    この法律に定められた具体的な要件はもちろん重要ですが、それ以上に、その背景にある理念を受け入れることが大切になります。DORAは単なる技術的対策のチェックリストではなく、金融業界におけるサイバーセキュリティへのアプローチそのものの変革を促すものです。DORAの中でも重要視されているレジリエンスとは、単にインシデントを防ぐことではなく、検知、対応、回復までの能力を備えることだという認識を強調しています。

    この理念を体現するためには、すべてのレベルでサイバーセキュリティに対する意識と責任感を持つ企業文化を育むことが求められます。全ての従業員に、脅威の兆候を識別し、報告するための知識やスキルを提供し、インシデント対応における明確な意思決定プロセスとコミュニケーションラインを構築する必要があります。加えて、脅威の動向を継続的に監視し、それに応じて防御策を適応させるプロアクティブなリスク管理が不可欠です。

    また、各組織はDORAを、自社のサイバーセキュリティ体制を強化し、顧客やステークホルダーとの信頼関係を深めるための機会として捉えるべきです。

    今後の展望
    DORAの施行を受け、EUの金融機関は”準備段階”から”完全準拠”へと移行し、規制の厳格な要件を満たす必要があります。そのためには、IT、リスク管理、コンプライアンス部門が密接に連携し、包括的なサイバーセキュリティ体制を確立することが求められます。多くの組織は、ベストプラクティスを洗練させ、進化する規制環境に対応するために、外部の専門家や同業界の他の組織と協働しています。

    ただ、加盟国の中にはDORAの導入への法整備が進んでいない国もあり、適用や執行の遅れが見られます。こうした状況は、複数国で活動する企業にとって不安を生むため、柔軟に適応する姿勢が求められます。

    DORAの成功は、金融セクターが単にコンプライアンスを満たすだけでなく、その理念を真に受け入れるかどうかにかかっています。組織がレジリエンスの文化を築くことで、サイバー脅威の増大する時代において、デジタル防御力を高め、長期的な安定性を確保することが可能になります。

    DORAのような法律を通じて、EUは透明性、説明責任、オペレーショナルレジリエンスを求める規制の導入の先導役を担い続けており、加盟国の対応に差がある中でも、金融セクターのサイバーセキュリティにおける新たな基準を確立しようとしています。

    原典:Javvad Malik著 2025年4月1日発信 https://blog.knowbe4.com/exploring-the-implications-of-dora

    Topics: フィッシング, KnowBe4 SATブログ, セキュリティ文化

     

    KnowBe4ブログに戻る

    Get the latest about social engineering

    Subscribe to CyberheistNews