DORA規則とは何か？EUデジタルレジリエンスフレームワーク

DORA規制とは何か？

EUの金融機関は、2025年1月17日から施行された義務的なコンプライアンスフレームワークに直面しており、違反した場合は最大500万～1,000万ユーロまたは年間売上高の5～10%の罰金が科されます。デジタル運用レジリエンス法（DORA、正式名称：規則（EU）2022/2554）は、EUの金融機関全体におけるICTリスク管理の統一要件を定めています。公式規則文によれば、DORAは金融機関に対し、高度で共通のデジタル運用レジリエンスを達成すること、すなわち情報通信技術に関わるあらゆる障害に耐え、対応し、回復する能力を証明することを義務付けています。

DORAは、対象となる金融機関（銀行、決済サービス提供者、投資会社、暗号資産サービス提供者、保険会社、ICTサードパーティサービスプロバイダーなど）を規制します。EU金融セクターで事業を行っている場合、DORAがセキュリティ運用を規定している可能性が高いです。

業界調査によると、金融機関のうちICTサードパーティリスク管理要件に完全準拠していると報告する割合はごくわずかであり、これはDORAの全ての柱の中で最も準拠率が低い分野の一つです。2025年4月30日のサードパーティ報告期限までに、これらのギャップに対応していない場合は対策が必要です。

この規制が存在する理由を理解することで、その要件の範囲を把握しやすくなります。

金融機関にとってDORAが重要な理由

DORAは、EU金融セクター全体で統一されたデジタル運用レジリエンス要件を確立し、従来の断片化によるコンプライアンスの複雑さやセキュリティギャップを解消します。最近の金融機関へのサイバー攻撃は、この規制の必要性を明確に示しています。

2016年、攻撃者はSWIFTメッセージングシステムを悪用してバングラデシュ銀行から8,100万ドルを盗み、DORAが現在対処しているサードパーティICTリスク管理の重大な弱点を露呈しました。2019年のCapital One侵害では、誤設定されたクラウド環境を通じて1億件以上の顧客情報が漏洩し、ハイブリッドインフラ全体で統一されたICTリスクフレームワークの必要性が浮き彫りになりました。2018年には、攻撃者が破壊的なマルウェアを用いてBanco de Chileのスタッフを攪乱しつつ、偽のSWIFT取引で1,000万ドルを盗み、運用障害が金融詐取の隠れ蓑となることを示しました。

• システミックリスクの低減：DORAは統一されたICTリスク管理基準を義務付けることで、1つの機関での運用障害が金融システム全体に波及する確率を低減します。この統一的アプローチにより、金融機関はICT障害に耐え、対応し、回復できるようになります。
• サードパーティリスクの透明性：重要なサードパーティプロバイダー監督フレームワークは、金融セクターが限られたICTプロバイダーに依存することで生じる集中リスクに対応します。 EIOPA監督フレームワークによれば、記事31～44で重要なICTサードパーティサービスプロバイダー（CTPP）への直接的な規制監督が初めてこの規模でEUに導入されました。
• インシデント対応の標準化：4時間以内の通知要件により、金融機関がセキュリティインシデントを処理する方法に一貫性が生まれます。ICT関連の重大インシデントがシステミックな影響を持つ場合、当局は欧州システミックサイバーインシデント調整フレームワーク（EU-SCICF）を通じて対応を調整します。
• 顧客保護の強化：DORAは金融機関に対し、重大なICT関連インシデントや重要なサイバーセキュリティ脅威を所管当局に報告することを義務付けていますが、顧客への通知義務はDORA自体ではなく、GDPRやPSD2など他のセクター法に基づく場合にのみ発生します。

これらのメリットは金融セクター全体に広く適用されますが、まず自組織がDORAの適用範囲に該当するかどうかを判断することが第一歩です。

DORAの遵守義務者は誰か？

DORAはEU内で事業を行う21種類の金融機関に適用され、金融サービスのサイバーセキュリティにおける最も広範な規制範囲の一つを形成しています。 記事2で対象となる機関の全リストが定義されています。

従来型の金融機関（銀行、決済機関、電子マネー機関、投資会社、中央証券保管機関）が中核となります。保険会社・再保険会社、保険仲介業者、職域年金機関もDORAの要件下にあります。さらに、暗号資産サービス提供者、クラウドファンディングサービス提供者、証券化リポジトリも対象です。

市場インフラ機関（取引所、取引リポジトリ、中央カウンターパーティ、データ報告サービス提供者）も遵守が必要です。信用格付機関、重要ベンチマーク管理者、口座情報サービス提供者も金融機関カテゴリを構成します。

ICTサードパーティサービスプロバイダーは、EU金融機関にサービスを提供する場合、拠点がどこであってもDORA要件の対象となります。EU域外のテクノロジー企業がEUの銀行にクラウドサービス、ソフトウェア、マネージドサービスを提供する場合も、DORAの契約要件を満たす必要があります。ESAはシステミックな重要性に基づき一部プロバイダーを重要サードパーティプロバイダー（CTPP）に指定し、直接的な規制監督の対象とします。

記事4の比例原則により、小規模機関は規模・リスクプロファイル・複雑性に応じた要件の実装が認められています。マイクロ企業は記事16(3)に基づき簡易化されたICTリスク管理フレームワークの適用対象ですが、インシデント報告やサードパーティ監督義務は引き続き課されます。

DORAが自組織に適用されると判断した場合、次に問われるのは具体的なセキュリティ義務です。

DORAのサイバーセキュリティ要件

DORAは、金融セクターの業務プロセスを支えるネットワークおよび情報システムのセキュリティを明確に規定しています。ICT関連の障害やサイバー脅威は、金融の安定性、業務継続性、顧客保護に重大なリスクをもたらします。

記事15は明確なサイバーセキュリティ要件を定めており、ネットワーク利用パターン、時間帯、IT活動、不明なデバイスにわたる異常行動の監視が求められます。公式規則文によれば、金融機関は適切な指標を用いてICTリスクに関連する異常行動の監視を実施しなければなりません。

インシデント報告要件は従来のサイバーセキュリティフレームワークを超えています。 記事19および20では、インシデントおよび脅威報告に脅威アクターの特定を含めることが求められています。インシデントを4時間以内に重大か否か分類し、その後速やかに所管当局へ初期通知を提出する必要があります。

DORAは金融セクターにおけるlex specialisとして機能し、NIS2より優先されます。ISO 27001は基盤を提供しますが、DORAは必須の脅威アクター特定、顧客通知義務、システミック集中リスクに対応するサードパーティ監督メカニズムなど、追加要件を課しています。

これらのサイバーセキュリティ要件は、DORAのより広範な規制構造の一部であり、義務は5つの明確な柱に整理されています。

DORAの仕組み

DORAは、欧州監督当局が調整する各国の所管当局によって強制される義務的な技術要件を通じて運用されます。

自組織のICTリスク管理フレームワークには、戦略、方針、手順が必要です。経営陣はDORAの規制要件全体を通じてICTリスク監督の最終責任を負います（ Citiの規制ブリーフィング参照）。

インシデント発生時には、事前定義された基準を用いて即座にインシデントを分類します。重大インシデントの場合、分類から4時間以内に所管当局へ初期通知を提出し、その後状況の進展に応じて順次通知を行います。

レジリエンステストプログラムは定められたサイクルで運用されます。多くの機関では、リスクプロファイルに応じた定期的な評価やシナリオベースのテストを実施します。規制当局が自組織を重要機関と認定した場合、少なくとも3年ごとにTLPTを実施します。テスト完了後は、要約結果と是正計画（期限付き）を文書化します。

サードパーティ監督は契約要件と規制指定を通じて機能します。ICTサービスプロバイダーと契約する前に、DORAの情報セキュリティ基準への準拠を確認します。 記事30によれば、契約には以下を含める必要があります：

• パフォーマンス指標付きサービスレベル合意
• セキュリティ基準およびコンプライアンス要件
• 監査権およびアクセス条項
• 退出戦略および移行計画

ESAはシステミックな重要性に基づき一部プロバイダーを重要サードパーティプロバイダー（CTPP）に指定し、これらCTPPは所在地に関わらず直接的な規制監督を受けます。

DORAの5つの柱のうち、セキュリティチームにとって最も運用上重要なのはICTリスク管理とインシデント報告です。

DORAにおけるICTリスク管理

ICTリスク管理はDORAの規制フレームワークの基盤を形成します。 記事6は、金融機関に対し、ICTリスク管理フレームワークを全体の リスク管理システムの不可欠な構成要素として確立し、経営陣に直接的な責任を割り当てることを求めています。

経営陣は、ICTリスク管理体制の定義、承認、監督、責任を負わなければなりません。これにはリスク許容度の設定、ICT事業継続方針の承認、デジタル運用レジリエンスのための十分な予算配分が含まれます。DORAは、ICTリスクが取締役会レベルの責任であり、IT部門の機能ではないことを明確にしています。

記事8は、ICTサードパーティ依存から生じるリスクを含む、全てのICTリスク源の特定を義務付けています。ICT資産の完全なインベントリを維持し、システム間の相互依存関係をマッピングし、ICTが支える全業務機能を文書化する必要があります。このマッピングにより、集中リスクやクリティカルサービスを中断させる単一障害点が明らかになります。

記事9の保護・予防要件では、金融機関が以下の領域でICTセキュリティ方針を実装することを規定しています：

• 転送中および保存中データの情報セキュリティ
• ネットワークセキュリティ管理およびセグメンテーション
• アクセス制御方針および認証メカニズム
• パッチおよびアップデート管理手順
• ICT資産の物理的・環境的セキュリティ

これらのコントロールは、独立した対策ではなく統合されたシステムとして機能しなければなりません。

検知能力も同様に重要です。 記事10は、ICTネットワークのパフォーマンス問題やICT関連インシデントなど、異常な活動を迅速に発見するメカニズムを要求しています。検知インフラは適切な指標を用いて異常行動を監視し、複数層のコントロールを可能にする必要があります。

記事11および12の対応・復旧手順によりフレームワークが完成します。ICT事業継続方針、災害復旧計画、バックアップ方針を実装し、定期的にテストし、障害・レジリエンステスト・監査結果から得られた教訓に基づき更新する必要があります。

これらのICTリスク管理義務を満たすことで、DORAの厳格なインシデント報告要件への基盤が築かれます。

DORAにおけるインシデント報告要件

DORAは、従来の規制下で多くの金融機関が実装してきたものを超える、構造化された期限付きインシデント報告フレームワークを確立しています。 記事17～23で、分類基準、報告期限、ICT関連インシデントの通知義務が定義されています。

まず、全てのICT関連インシデントを記事18で定義された基準に基づき分類する必要があります。分類要素には、影響を受けた顧客数、インシデントの継続時間と地理的広がり、データ損失、影響を受けたサービスの重要性、経済的影響などが含まれます。この評価に基づき、インシデントがDORAの閾値で「重大」となるかどうかを判断します。

重大インシデントの場合、報告期限は厳格です：

• 初期通知： インシデント分類から4時間以内
• 中間報告： 初期通知から72時間以内に進捗、暫定的な根本原因分析、暫定措置を報告
• 最終報告： 中間報告から1か月以内に確定した根本原因分析、実際の影響評価、是正措置を報告

効果的な インシデント対応プロセスがこれらの期限遵守に不可欠です。記事19および20では、インシデントおよび脅威報告に脅威アクターの特定を含めることも求められており、 脅威インテリジェンスの報告ワークフローへの統合が必要となります。

重大インシデント以外にも、DORAは記事19で重要なサイバー脅威の自主的報告を導入しています。金融機関は、金融システムに関連性があると判断したサイバー脅威を、インシデントに至っていなくても所管当局に通知することができます。

これらの報告義務には執行上の影響が伴い、DORAの罰則フレームワークにつながります。

DORAの罰則と執行

DORAの執行は、欧州監督当局（EBA、ESMA、EIOPA）が調整する各国の所管当局によって行われます。各EU加盟国はDORAの枠組み内で独自の罰則フレームワークを実装しており、最大罰金額や執行アプローチに違いがあります。

罰則構造は加盟国ごとに大きく異なります。 DLA Piperの分析によれば、ベルギーは最大500万ユーロまたは純年間売上高の10%の罰金を科します。スウェーデンは、100万ユーロ、年間純売上高の10%、または違反による利益の3倍のうち最も高い額を適用します。ドイツの枠組みでは、法人に最大500万ユーロ、経営者個人に最大50万ユーロの罰金が科されます。

執行権限は金銭的罰則を超えます。所管当局は以下を行うことができます：

• 即時是正を求める停止命令の発出
• 非準拠機関名を公表する警告の発表
• ICTリスク監督の失敗に責任を持つ取締役の解任

これらのレピュテーションリスクは、長期的な事業影響において直接的な金銭的罰則を上回る場合が多いです。

記事54は、所管当局に対し、行政罰の決定を公式ウェブサイトで公表し、違反の種類・性質・責任者の情報を含めることを義務付けています。この公開メカニズムは透明性を生みますが、非準拠組織にとって重大なレピュテーションリスクにもなります。

重要サードパーティプロバイダーは、ESAが指定するリードオーバーシアによる直接監督を受けます。CTPPが監督勧告に従わない場合、金融機関とは別に、コンプライアンス達成まで定期的な罰金支払いが科されます。

これらの執行リスクを踏まえ、実務上のコンプライアンス障壁を理解することが不可欠です。

DORA実装の課題

業界調査によると、金融セクター全体で体系的な実装障壁が存在し、ICTサードパーティリスク管理とデジタル運用レジリエンステストの準拠率が最も低いことが明らかになっています。

1. サードパーティリスク管理の複雑性：ICTサードパーティリスク管理はDORA全柱の中で最も準拠率が低い分野です。組織は、ベンダーがDORAのセキュリティ基準に準拠しているかを確認するため、数千件に及ぶ契約の技術支援付き法的レビューを実施する必要に直面しています。
2. テストプログラムの不備：デジタル運用レジリエンステストも同様に懸念される準拠率を示しています。これは、組織がDORAで要求される脅威主導型ペネトレーションテスト（TLPT）フレームワークの実装に苦慮していることを示しています。
3. マルチクラウド可視性のギャップ：複雑で分離・分割されたICTシステムの全体像を把握することは大きな課題です。マルチクラウド環境からのメタデータ取り込み、オンプレミスインフラ統合、完全な資産インベントリが必要です。マルチクラウドおよびオンプレミス環境全体の監視を統合する可視化プラットフォームがこの課題解決に役立ちます。
4. インシデント特定要件：インシデント報告に 脅威アクター特定を含める義務は、従来のインシデント対応を超える運用負担を生みます。この要件は、脅威インテリジェンスフィードや特定専門家へのアクセス、顧客通知を含むマルチステークホルダー通知を支援する自律的な報告ワークフローを必要とします。
5. タイムラインプレッシャー：インシデント分類から4時間以内の通知要件は大きな運用負荷を生みます。自律機能を備えたセキュリティプラットフォームは、手動介入なしで脅威を発見・分類し、対応時間を短縮します。インシデントが午前2時に発生した場合でも、4時間以内に重大度分類、影響評価、脅威アクター特定、初期通知提出が求められます。

これらの障壁を回避するには、DORAの最も厳しい要件に対応する戦略的アプローチが必要です。

DORAのベストプラクティス

DORAの成功実装には、ガバナンス・運用・技術の各側面で構造化されたアプローチが求められます。

サードパーティリスク管理を優先：サードパーティリスク管理の準拠率が最も低いことから、全ICTサービスプロバイダー契約の技術支援付き法的レビューを実施してください。重要プロバイダーには個別アプローチを適用し、サードパーティの継続的な準拠監視と集中リスクへの分散戦略を確立します。

自律型インシデント対応を実装：記事15が義務付けるネットワークパターン、時間帯、IT活動、不明なデバイスにわたる異常行動を監視する行動AIを展開するセキュリティプラットフォームは、迅速なインシデント対応を可能にします。 セキュリティプラットフォームで自律的に脅威を発見・分類し、4時間以内の通知タイムライン遵守を支援します。インフラには、記事19-20で求められる脅威アクター特定分析を支援する脅威インテリジェンス統合も必要です。

リスクプロファイルに応じたテストプログラム構築：特定された重要システムには少なくとも3年ごとに脅威主導型ペネトレーションテスト（TLPT）を実施してください。テストプログラムには以下を含めます：

• 定期的なシナリオベースのレジリエンス演習
• 要約結果を含むテスト結果の文書化
• 具体的な期限付き是正計画
• 事業継続計画との統合

統合可視化プラットフォームの導入：マルチクラウドおよびオンプレミス環境全体で中央集約型の可視性を確立します。ICT資産の完全なインベントリを維持し、継続的なポスチャ管理を実施します。業界推奨に基づき、マルチクラウド・ハイブリッドインフラの可視化課題に対応する単一の信頼できる情報源を作成します。

継続的コンプライアンスの確立：単発の評価ではなく、継続的な コンプライアンス監視プログラムを構築します。テストからリスク管理へのフィードバックループを作り、監督当局の期待の変化を常に把握します。規制技術基準の更新を計画し、当局による重要サードパーティプロバイダー指定を監視します。

これらの運用実践と並行して、DORAのコンプライアンスタイムラインを理解することで実装優先順位を明確にできます。

DORAのコンプライアンスタイムラインと主要期限

DORAは、公布から始まり、継続的な規制技術基準の更新を経て段階的に実装されるタイムラインを採用しています。これらの期限を先取りすることがコンプライアンス維持に不可欠です。

DORAは EU官報で2022年12月27日に公布され、2023年1月16日に発効しました。金融機関およびICTサードパーティサービスプロバイダーには、規則要件の実装に2年間の移行期間が与えられました。

主な執行日は2025年1月17日でした。この日以降、全ての対象金融機関はDORAの中核要件（ICTリスク管理フレームワーク、インシデント報告手順、レジリエンステストプログラム、サードパーティリスク管理義務）への準拠を証明しなければなりません。

執行後の主な期限：

• 2025年1月17日： 全対象機関の完全準拠が必要
• 2025年4月30日： ICTサードパーティ契約情報登録簿の初回提出期限
• 継続（3年ごと）： 重要機関に対する脅威主導型ペネトレーションテスト（TLPT）
• 継続： ICTサードパーティ登録簿の年次更新およびサードパーティ準拠の継続的監視

欧州監督当局は、DORAの具体的義務に関する詳細なガイダンスを提供する規制技術基準（RTS）および実施技術基準（ITS）を継続的に公表しています。 最初のRTSバッチ（ICTリスク管理、インシデント分類、サードパーティリスク対応）は2024年初頭に確定し、TLPT要件や高度なテストフレームワークを扱う第2バッチが続きました。

金融機関は、技術基準や監督ガイダンスの更新を監視し、時間とともにコンプライアンス要件が精緻化される可能性に備える必要があります。DORAは、金融機関が同時に対応しなければならない他のEU規制フレームワークとも交差しています。

DORAと関連するEU規制

DORAは、金融機関のサイバーセキュリティおよび運用レジリエンスの状況を形成する複数のEU規制と並行して運用されます。これらのフレームワークの相互作用を理解することで、重複作業を防ぎ、完全な規制対応を確保できます。

• DORAとNIS2：DORAは金融セクターにおけるlex specialisとして機能し、その適用範囲内の機関に対してはネットワーク・情報セキュリティ指令（NIS2）より優先されます。両規制が適用される場合、DORAの金融セクター固有要件がNIS2の一般的サイバーセキュリティ規定に優先します。ただし、CTPPに分類されないICTサービスプロバイダーは、NIS2で重要または重要機関と見なされる場合、NIS2義務の対象となる可能性があります。
• DORAとGDPR：一般データ保護規則は、特に個人データ侵害通知に関してDORAと並行して適用されます。ICT関連インシデントで個人データが関与する場合、DORAのインシデント報告タイムライン（4時間以内の所管当局への初期通知）とGDPRの72時間以内のデータ保護当局への通知の両方に準拠する必要があります。両報告は異なるタイムライン・宛先・内容要件で並行して運用されます。
• DORAとサイバーレジリエンス法（CRA）：CRAは、EU市場に投入されるデジタル要素を持つ製品のサイバーセキュリティ要件に焦点を当てています。DORAが金融機関のICTリスク運用管理を規定する一方、CRAはそれら機関が調達するハードウェア・ソフトウェア製品のセキュリティを扱います。両者により、製品メーカーがCRA基準を満たし、金融機関がDORAの下でサプライヤー準拠を検証するサプライチェーンセキュリティフレームワークが形成されます。
• DORAとISO 27001：ISO 27001は任意の情報セキュリティ管理システムフレームワークですが、DORAは必須要件を課します。ENISAはDORA要件とISO 27001コントロールの対応表を公式に提供しています。ISO 27001認証済み金融機関は有利なスタートを切れますが、DORAが特に義務付ける脅威アクター特定、顧客通知プロトコル、サードパーティ集中リスク管理、TLPT要件には依然としてギャップが残ります。

これらのベストプラクティスの実装と規制重複のナビゲートには、継続的監視と迅速な対応に対応したセキュリティインフラが必要です。

主なポイント

DORAは、2025年1月17日から施行されるEU金融機関全体のデジタル運用レジリエンスを義務付けています。本規則は、取締役会レベルの責任を伴うICTリスク管理フレームワーク、重大インシデントの4時間以内の分類・報告（脅威アクター特定を含む）、重要機関に対する少なくとも3年ごとのTLPTによるレジリエンステスト、2025年4月30日から開始されるICTプロバイダー報告を含むサードパーティ監督、サイバー脅威インテリジェンス交換のための情報共有メカニズムを要求します。

サードパーティリスク管理とレジリエンステストは金融セクター全体で最も準拠率が低く、重大な規制リスクを生み出しています。異常行動の監視、脅威インテリジェンス統合、迅速なインシデント対応を可能にするセキュリティプラットフォームは、組織がDORAの厳格な要件を満たすのに役立ちます。