英国金融サービス企業がセキュアなデータ通信管理でDORA規格にどう対応しているか

デジタル・オペレーショナル・レジリエンス法（DORA）は、欧州連合内で事業を展開する金融機関に対して拘束力のある要件を定めています。Brexit以降、DORAは大半の英国金融サービス企業には直接適用されませんが、多くの英国機関は自発的にDORA基準と自社のオペレーショナルレジリエンスフレームワークを整合させています。この整合は戦略的な意味を持ちます。EU子会社を持つ英国企業はそれらの組織にDORAを適用する必要があり、EU機関にICTサービスを提供する企業は第三者プロバイダーとしてDORA義務を負い、EU顧客を持つ企業はDORA整合によってオペレーショナルマチュリティを示します。

本記事では、英国金融サービス企業がDORA基準に整合するために、セキュアなデータ通信アーキテクチャの導入、コンテンツ認識型アクセス制御の徹底、サードパーティリスクの自動監視、不変な監査証跡の生成といった取り組みを、DORAの5つの柱に直接対応させる形で解説します。

エグゼクティブサマリー

英国金融サービス企業は、直接的な法的義務がない場合でも、DORA基準に整合する強い戦略的・商業的理由を持っています。EU子会社や支店を持つ企業にとっては、それらの組織でDORA準拠が必須です。EU金融機関の第三者ICTサービスプロバイダーとして活動する企業は、顧客との関係を通じてDORA義務が発生します。より広範な英国市場にとっても、自発的なDORA整合はオペレーショナルマチュリティの証明となり、国境を越えたビジネスを円滑にし、将来的な英国とEUの規制枠組みの収斂にも備えることができます。

英国にはすでに独自の厳格なオペレーショナルレジリエンスフレームワークがあり、金融行為規制機関（FCA）と健全性監督機構（PRA）が英国規制企業向けに拘束力のあるオペレーショナルレジリエンス要件を定めています。DORAは同様の原則（ICTセキュリティリスク管理、インシデント報告、レジリエンステスト、サードパーティリスク管理、情報共有）を基盤としつつ、ICTコントロールや報告期限に関してより具体的な規定があります。英国企業が既存のFCA/PRAコンプライアンスプログラムをDORA要件に照らしてマッピングすると、多くの部分で重複が見られ、大規模なプログラム再設計をせずとも整合が可能です。

通信セキュリティの集約、ポリシー施行の自動化、不変な監査証跡の生成を実現する企業は、英国およびEU双方の規制義務を軽減しつつ、DORA基準との継続的な整合を証明できます。

主なポイント

• DORA整合には、英国金融機関がすべての通信チャネル（メール、ファイル転送、マネージドファイル転送、APIなど）にわたるICT依存性をセキュアに保つことが求められます。組織は、機密データの漏洩を防ぐコンテンツ認識型コントロールを徹底し、規制要件に直接対応する監査証跡を維持しなければなりません。
• DORAのサードパーティリスク管理では、サービスプロバイダーの継続的な監視が求められ、年次評価では不十分です。企業は、どのベンダーが重要業務を担っているかを追跡し、契約上のデータ保護条項を徹底し、関係期間を通じて第三者による機密情報アクセスの証拠を維持する必要があります。
• デジタル・オペレーショナル・レジリエンステストは、単なる災害復旧訓練にとどまりません。金融機関は、脅威主導型ペネトレーションテスト、シナリオベースのテスト、通信チャネルがサイバー攻撃やデータ流出の試みにどのように耐えるかを評価する演習を実施し、重要業務の中断を防ぐ必要があります。
• インシデント報告義務では、技術的詳細、影響評価、根本原因分析を厳格な期限内で記録する構造化されたワークフローが必要です。自動化されたインシデント検知、集中型ケース管理、規制報告システムとの連携により、開示期限を遵守できます。
• ICTリスク管理フレームワークは、メール、ファイル共有、コラボレーションプラットフォームを通じてやり取りされる非構造化データにも拡張されなければなりません。組織内外のチームや第三者サービスプロバイダーをつなぐ通信チャネルをセキュアにしなければ、オペレーショナルレジリエンスは実現できません。

英国規制の背景：FCA/PRA要件とDORA整合

DORAの5つの柱を検証する前に、それらが英国の既存オペレーショナルレジリエンスフレームワークとどのように関係するかを理解しておく価値があります。

FCAとPRAは2022年に英国規制企業向けに拘束力のあるオペレーショナルレジリエンス要件を導入し、組織に対して重要な業務サービスの特定、障害時の影響許容度の設定、そして2025年3月までに深刻かつ現実的な障害シナリオ下でもその許容度内にとどまれることの証明を求めています。これらの要件はDORAと大きな概念的重複があり、両フレームワークとも企業に対し、重要機能を基盤となる技術依存性にマッピングし、ストレス下でのレジリエンスをテストし、重要サービスを支える第三者関係を統治することを求めています。

DORAがさらに踏み込んでいるのは、その具体性です。DORAは詳細なICTリスク管理フレームワークを規定し、特定のインシデント報告期限（重大インシデントの4時間以内の初期通知を含む）、構造化された脅威主導型ペネトレーションテストプログラム、契約上の最低基準を含むきめ細かな第三者監督義務を課しています。FCA/PRAルールのみが適用される英国企業はこれらの具体的要件を法的に満たす必要はありませんが、それを実施することでEUビジネス獲得やEUカウンターパーティのオンボーディング、EU規制機関向けICTサービスプロバイダーとしての地位確立で優位性を得られます。

Brexit以降、英国は金融規制の主要分野でEUと概ね同等の基準を維持する意向を示しています。正式な同等性判断は不透明ですが、DORAに積極的に整合する英国企業は、今後の英国規制政策の動向にかかわらず有利な立場を築けます。

DORAの5つの柱とそのオペレーション上の意味

DORAは金融サービス分野全体にわたるデジタル・オペレーショナル・レジリエンスの統一フレームワークを確立します。従来の指令がサイバーセキュリティやオペレーショナルリスクを個別に扱っていたのに対し、DORAはICTリスク管理、インシデント対応、レジリエンステスト、第三者監督、脅威インテリジェンス共有を単一のコンプライアンス義務として統合しています。

1. ICTリスク管理は、金融機関に対し、ガバナンス・リスク・コンプライアンスフレームワークを構築し、技術リスクを特定・分類・軽減することを求めます。これには、重要業務機能を基盤となるICTシステムにマッピングし、通信チャネルがそれらの機能をどう支えるかを評価し、不正アクセスやデータ損失を防ぐコントロールを実装することが含まれます。
2. インシデント報告は、ICT関連インシデントの検知・分類・当局への開示に関する構造化されたプロセスを義務付けます。企業は、重大インシデントを分類から4時間以内に報告し、中間報告や最終的な根本原因分析も提出しなければなりません。
3. デジタル・オペレーショナル・レジリエンステストは、サイバー攻撃やオペレーショナル障害に耐える能力を評価する定期的なアセスメントの実施を求めます。企業は、脆弱性スキャン、ペネトレーションテスト、実際の攻撃手法を模したシナリオベースの演習を行う必要があります。
4. サードパーティリスク管理は、ICTサービスプロバイダーによるシステミックリスクに対応します。金融機関は、第三者契約前のデューデリジェンス、セキュリティ基準を徹底する契約条項の設定、関係期間中のベンダーパフォーマンス監視を実施しなければなりません。
5. 情報共有は、金融機関が業界固有のフォーラムを通じてサイバー脅威インテリジェンスを交換することを奨励します。この柱は直接的なコンプライアンス義務は少ないものの、組織が業界団体に参加し、リスク評価に役立つインテリジェンスフィードを活用する必要性を強調しています。

通信チャネルは、顧客オンボーディングや取引処理、規制報告、危機管理に至るまで、あらゆる金融サービス機能の重要な依存要素です。DORA整合には、コアシステムと同等の厳格さでこれらチャネルをセキュアにすることが求められます。メール、セキュアMFT、セキュアなファイル共有、APIはすべて機密データを伝送しており、侵害されれば重大インシデントとして規制開示が必要となる可能性があります。

機密データの移動をセキュアにするICTリスク管理フレームワークの実装

ICTリスク管理は、機密データが組織境界を越えてどこを移動しているかの特定から始まります。金融サービス企業は、顧客の財務記録、個人識別情報、決済カード情報、アカウント認証情報、独自の取引アルゴリズムなどを扱います。これらのデータは、メール添付、ファイル共有リンク、マネージドファイル転送ワークフロー、API連携などを通じて移動します。

組織は、規制コンプライアンス要件、ビジネスインパクト、脅威露出度に基づきデータを分類しなければなりません。データ分類スキームは、公開情報、社内業務文書、顧客機密データ、データレジデンシー義務のある規制対象情報を区別する必要があります。各分類層は、暗号化強度、アクセス制御の細かさ、保持期間、監査証跡の詳細度など、特定の取扱要件にマッピングされるべきです。

分類スキームが確立されたら、組織はポリシー主導のコントロールを施行し、機密データが承認済みチャネル以外に流出しないようにします。コンテンツ認識型データ損失防止機能は、転送中のファイルを検査し、正規表現や機械学習モデルに基づいて機密データを特定し、ポリシー違反の送信をブロックします。

アクセス制御は、ゼロトラスト・アーキテクチャの原則に基づき、ユーザー認証、デバイス状態の検証、最小権限原則に基づくアクション認可を実装する必要があります。多要素認証は初回ログインだけでなく、大量の顧客データダウンロードや外部パートナーとのファイル共有など高リスク操作時のステップアップ認証にも拡張すべきです。

監査証跡は、機密データへのすべての操作（アップロード、ダウンロード、共有、アクセス許可、ポリシー違反、管理変更）を記録しなければなりません。これらの証跡には、ユーザーID、デバイス情報、ネットワーク状況、タイムスタンプ、操作種別、ファイルメタデータ、結果が含まれるべきです。不変なログ記録により、攻撃者が証拠を消去できず、組織は規制監査時に継続的な整合を証明できます。

通信チャネル監視によるサードパーティリスクの自動化

DORA下でのサードパーティリスク管理では、組織がICTサービスプロバイダーを追跡し、そのセキュリティ体制を評価し、重要システムへのアクセスを監視することが求められます。通信チャネルは、第三者が機密データとどう関わり、ベンダーが契約上のセキュリティ要件を遵守しているかの可視性を提供します。

組織は、すべての第三者関係、各ベンダーが支援する業務機能、アクセスするデータ種別、利用する通信チャネルを記録した集中型レジストリを維持すべきです。これらのレジストリは、重要サービスプロバイダーと非重要ベンダーを区別して分類する必要があります。

契約条項では、第三者が承認済み通信手段を利用し、暗号化基準を遵守し、継続的な監査権限を付与することを義務付けるべきです。契約には、セキュリティインシデント時の最大対応時間、侵害開示義務、業務中断なく関係を終了できる退出条項も明記する必要があります。

継続的な監視では、第三者のアクセス頻度、ダウンロードデータ量、通信パターン、ポリシー違反を追跡します。組織は、ベンダーの通常行動のベースラインを確立し、逸脱時にセキュリティチームへアラートを発報すべきです。ベンダーリスク管理プラットフォームとの連携により、通信セキュリティイベントと財務安定性や公表された侵害など広範なリスク指標を相関させられます。

通信セキュリティを評価するデジタル・オペレーショナル・レジリエンステストの実施

デジタル・オペレーショナル・レジリエンステストは、ICTシステムがサイバー攻撃やオペレーショナル障害に耐え、重要業務機能を損なわないかを検証します。DORAは、金融機関に対し定期的な脆弱性評価、ペネトレーションテスト、シナリオベースの演習を義務付けています。通信チャネルは、機密データを伝送し、内部システムと外部パートナーを接続するため、攻撃対象として魅力的です。

• 脆弱性評価では、メールゲートウェイ、ファイル転送プロトコル、暗号化実装、認証機構の弱点を特定すべきです。自動スキャンツールで、ソフトウェアの旧バージョン、アクセス制御の設定ミス、弱い暗号化方式、未修正の脆弱性などを検出できます。重大な脆弱性は、定められたサービスレベル合意内で修正すべきです。
• ペネトレーションテストでは、通信チャネルを悪用する攻撃シナリオ（メール添付によるマルウェア配信のフィッシング、ファイル転送の中間者攻撃、認証情報詰め込み攻撃によるアカウント侵害など）を模擬します。テスターは、機密データの流出、権限昇格、システム間の横移動を試みます。
• シナリオベーステストでは、メールのサービス妨害攻撃、ファイルリポジトリのランサムウェア攻撃、セキュアファイル共有を妨げる第三者障害など、通信チャネル障害への対応を評価します。組織は、インシデント対応プレイブックの発動、事業継続計画の実行、バックアップ通信チャネルによる重要業務の維持を検証すべきです。
• 脅威主導型ペネトレーションテストは、持続的標的型攻撃者が用いる戦術・技術・手順を再現する独立したセキュリティ研究者によって実施されます。テスターは、顧客データベースや経営層の通信など高価値資産を標的とします。脅威主導型テストに合格した組織は、高度な攻撃者へのレジリエンスを示し、DORAの最も厳格なテスト要件を満たします。

レジリエンステストで得られた指摘事項には、構造化された是正ワークフローが必要です。組織は、重大度、悪用可能性、ビジネスインパクトに基づき指摘事項を分類すべきです。顧客データへの不正アクセスを可能にする重大な指摘は、即時の是正措置を要します。是正の進捗管理は、担当チームへの割り当てや進捗監視が可能なITサービス管理プラットフォームと連携すべきです。セキュリティチームは、再テストによる是正確認も実施します。

DORA開示要件を満たすインシデント報告ワークフローの構築

DORAのインシデント報告要件は、ICT関連インシデントの検知・分類・当局への開示を行う構造化されたワークフローを義務付けます。金融機関は、重大インシデントを分類から4時間以内に報告し、中間報告や最終的な根本原因分析も提出しなければなりません。

インシデント検知は、通信チャネル、ネットワークインフラ、アプリケーションログ、脅威インテリジェンスフィードからのセキュリティイベントを相関させる自動監視から始まります。相関ルールは、複数回の認証失敗後の成功アクセスや、異常な場所からの大量データダウンロードなど、侵害を示すパターンを特定すべきです。

インシデント分類には、技術的重大度、ビジネスインパクト、規制上の影響、開示義務を評価するトリアージワークフローが必要です。組織は、顧客影響、データ損失量、サービス停止時間などの基準で重大インシデントを定義した分類マトリクスを策定すべきです。分類判断には、セキュリティチーム、事業部門リーダー、法務、コンプライアンス担当が関与します。

重大と分類されたインシデントは、技術的詳細、影響評価、封じ込め措置、是正手順を記録する構造化ワークフローに入ります。組織は、対応活動を調整するインシデントコマンダーを任命し、集中型ケースドキュメントを維持すべきです。インシデント管理プラットフォームは、すべての対応履歴を記録し、規制開示に資する監査証跡を生成します。

規制開示ワークフローは、当局ポータルと連携し、対応中に記録されたインシデント詳細をテンプレートに自動入力できるべきです。4時間以内の初期報告には、検知時刻、分類根拠、影響システム、初期影響評価を含めます。中間報告では封じ込め進捗や是正スケジュール、最終報告では根本原因分析と再発防止策を詳細に記載します。

インシデント調査を支える不変な監査証跡の生成

インシデント調査には、攻撃者の行動を再現し、侵害されたデータを特定するフォレンジック証拠が不可欠です。通信チャネルはしばしば攻撃の初期経路や流出経路となるため、その監査証跡は調査において極めて重要です。組織は、すべてのアクセスイベント、ポリシー違反、管理変更を記録した不変なログを生成しなければなりません。

不変なログ記録により、攻撃者が証拠を削除・改ざんして痕跡を隠すことが防止されます。組織は、ログ改ざんを防ぐ書き込み専用ストレージ、未承認変更を検知する暗号署名、調査担当者のみがログにアクセスできるアクセス制御を実装すべきです。

監査証跡は、攻撃者がどのファイルにアクセスしたか、いつアクセスしたか、どの認証情報を使用したか、どの操作を行ったかなど、調査上の疑問に答えられる十分な詳細を記録すべきです。きめ細かなログにより、機密データの流出や横移動の有無を特定できます。

セキュリティ情報イベント管理（SIEM）プラットフォームとの連携により、通信セキュリティイベントと広範な脅威インテリジェンスを相関できます。例えば、メール添付のダウンロード後に既知のコマンド＆コントロールサーバーへの外部接続が発生した場合、即時の封じ込めが必要なマルウェア感染を示唆します。

通信セキュリティコントロールとDORA整合要件のマッピング

DORA整合には、金融サービス企業が技術的コントロールを規制義務にマッピングし、継続的な遵守を示す証拠を生成することが必要です。通信セキュリティコントロールは、複数のDORAの柱を同時に支え、集中管理による運用効率化を実現します。

• ICTリスク管理フレームワークは、通信セキュリティコントロールがデータ流出、不正アクセス、サービス障害リスクをどう軽減するかを文書化すべきです。リスクレジスターには、通信チャネルが業務機能の重要依存要素として記載されるべきです。組織は、暗号化、アクセス制御、データ損失防止、監査証跡導入後の残存リスクを評価します。
• インシデント報告ワークフローは、検知・分類・開示を可能にする通信セキュリティコントロールを参照すべきです。自動監視が通信チャネルのイベントを脅威インテリジェンスと相関し、監査証跡が規制報告の証拠となることを文書化します。
• デジタル・オペレーショナル・レジリエンステスト計画は、通信セキュリティコントロールを評価するシナリオを明記すべきです。テスト計画には、脆弱性評価の範囲、ペネトレーションテスト手法、通信チャネル障害を模擬するシナリオ演習が含まれます。テスト結果は、コントロールの有効性と是正措置を記録します。
• サードパーティリスク管理フレームワークは、通信チャネル監視がベンダーの継続的監視をどう支えるかを説明すべきです。契約条項で承認済み通信手段の使用を義務付け、監査証跡でベンダーアクセスを追跡し、異常行動がリスク再評価を促す仕組みを文書化します。
• 整合マッピングは、各DORA要件を特定のコントロール、ポリシー、手順、証拠アーティファクトにリンクすべきです。組織は、規制ガイダンスや技術的コントロールの変化に応じて進化する「生きた」整合マッピングを維持します。コントロール有効性評価では、インシデント検知までの平均時間や自動ブロックされたポリシー違反の割合などの指標で、導入コントロールが意図した成果を達成しているかを定期的に評価します。

統合通信セキュリティアーキテクチャによるオペレーショナルレジリエンスの強化

英国金融サービス企業は、ポリシー施行の集中管理、監視の自動化、防御可能な監査証跡の生成を実現する統合通信セキュリティアーキテクチャの導入により、実質的なDORA整合を達成しています。ツールが分断されている組織は、通信チャネル間でイベントを相関したり、一貫したポリシーを施行したりするのが困難です。統合アーキテクチャは、運用の複雑さを軽減し、セキュリティ体制を向上させ、コンプライアンスコストを削減します。

• 集中型ポリシー管理により、組織はデータ分類スキーム、アクセス制御ルール、暗号化基準、保持要件を一元的に定義し、すべての通信チャネルで一貫して施行できます。集中管理は設定のドリフトを防ぎ、ポリシー更新の均一適用を実現します。
• 自動監視は、メール、ファイル共有、マネージドファイル転送、APIからのセキュリティイベントを相関し、通信セキュリティ体制の全体像を可視化します。相関ルールは、複数チャネルにまたがる攻撃パターンを検出すべきです。自動監視は、インシデント検知までの平均時間を短縮し、プロアクティブな脅威ハンティングを可能にします。
• 統合監査証跡は、すべての通信チャネルからの証拠を集中リポジトリに統合し、フォレンジック調査、規制開示、コンプライアンス報告を支援します。組織は、どの第三者が顧客データにアクセスしたか、ポリシー違反がセキュリティインシデントに先行したかなどの疑問に、監査証跡のクエリで答えられます。
• SIEMプラットフォームとの連携により、通信セキュリティイベントが広範な脅威検知・インシデント対応ワークフローに活用されます。組織は、通信セキュリティアラートをSIEMに送信して相関し、逆に脅威インテリジェンスを受信してポリシー施行に反映する双方向連携を構成すべきです。

統合通信セキュリティが継続的なDORA整合を実現する理由

英国金融サービス企業は、定期監査や手作業ドキュメントだけでは持続的なDORA整合を達成できません。EU組織向けの義務履行でも、戦略的優位性を狙った自発的整合でも、標準は、移動中の機密データ保護、ゼロトラストアクセス原則の徹底、ポリシー施行の不変な証拠生成といった技術的コントロールによる継続的なオペレーショナルレジリエンスを要求します。

Kiteworksのプライベートデータネットワークは、金融サービス組織に、メール、ファイル共有、マネージドファイル転送、ウェブフォーム、APIをセキュアに管理できる統合プラットフォームを提供します。通信セキュリティを集約することで、Kiteworksはすべてのチャネルで一貫したポリシー施行、自動監視による異常検知、DORA要件に直接対応する不変な監査証跡を実現します。組織は、機密データが環境内をどう移動するか、どの第三者が重要情報にアクセスしたか、通信チャネルがレジリエンステストシナリオに耐えられるかをリアルタイムで把握できます。

コンテンツ認識型コントロールは、転送中のファイルを検査し、規制定義やカスタム分類子に基づいて機密データを特定、データ機密性を守る暗号化基準を徹底します。ゼロトラストアクセス制御は、多要素認証によるユーザー認証、デバイス状態の検証、最小権限原則に基づくアクション認可を実装します。監査証跡は、インシデント調査や規制開示義務を支える十分なフォレンジック詳細で、すべてのアクセスイベントを記録します。

SIEMプラットフォームとの連携により、通信セキュリティイベントが脅威検知ワークフローに活用され、ITサービス管理プラットフォームとの連携で是正追跡も自動化されます。整合マッピングは、KiteworksコントロールをDORA要件にリンクし、継続的な遵守を示す証拠アーティファクトを生成します。プライベートデータネットワークを導入した組織は、運用の複雑さを軽減し、セキュリティ体制を向上させ、規制当局の期待に応える防御可能なレジリエンスフレームワークを構築できます。

カスタムデモを予約し、Kiteworksが英国金融サービス企業の機密通信のセキュリティ強化、DORA整合ワークフローの自動化、規制監査や進化するサイバー脅威に耐えるオペレーショナルレジリエンス構築をどのように支援するかをご体験ください。