2026年に英国の銀行がDORA運用レジリエンス要件を満たす方法

EU規制下で事業を展開する、またはEU顧客にサービスを提供する英国の銀行は、デジタル・オペレーショナル・レジリエンスが技術的な課題から規制上の義務へと進化し、重大な影響をもたらす環境に直面しています。デジタル・オペレーショナル・レジリエンス法（DORA）は、ICTリスク管理、インシデント報告、サードパーティ監督、脅威主導型ペネトレーションテストにわたる包括的な要件を定めています。これらの要件は、技術、リスク、規制コンプライアンス機能全体にわたり、アーキテクチャの変更、ガバナンスの再構築、新たな能力の導入を求めています。

DORAを単なるコンプライアンス対応と捉える銀行は、規制当局の厳しい監視や、顧客の機密データが露出する運用上のインシデントに苦しむことになります。オペレーショナル・レジリエンスを技術戦略、ベンダーリスク管理フレームワーク、インシデント対応ワークフローに組み込む銀行は、規制要件と事業継続目標の双方を満たす体制を構築できます。本記事では、英国の銀行がDORAコンプライアンス要件を、監査対応可能な証拠と測定可能なリスク低減を実現する具体的なガバナンス構造、アーキテクチャ上の意思決定、コントロールフレームワークを通じてどのように運用化しているかを解説します。

エグゼクティブサマリー

DORAは、EU規制下で事業を展開する、またはEU顧客にサービスを提供する英国の銀行に対し、拘束力のあるオペレーショナル・レジリエンス義務を課しています。コンプライアンスには、ICTリスク管理フレームワークの導入、インシデント分類・報告プロセスの確立、重要なサードパーティサービスプロバイダーの監督、脅威主導型ペネトレーションテストの実施が求められます。これらの義務は、イングランド銀行のオペレーショナル・レジリエンスフレームワーク下の既存の英国規制要件と重複し、統合されたガバナンスと中央集約型の監査証跡機能が必要となります。銀行は、機密データの転送時セキュリティ、コンテンツ認識型コントロールの強制、規制義務にマッピングされた改ざん不可能な監査ログの生成、SIEM・SOAR・ITSMプラットフォームとの統合による検知・対応・報告ワークフローの自動化などの技術を導入しなければなりません。

主なポイント

1. ICTリスク管理フレームワーク。 DORAは、英国の銀行に対し、技術資産をビジネスインパクトにマッピングする包括的なICTリスク管理フレームワークの導入を義務付けています。依存関係マトリックスや自動検出ツールを活用し、継続的な可視性と監査対応力を確保します。
2. インシデント報告ワークフロー。 銀行は、SIEMプラットフォームや自動検知を統合した構造化ワークフローを確立し、規制で定められた期間内に重大インシデントを分類・報告し、改ざん不可能な監査証跡で裏付ける必要があります。
3. サードパーティ監督。 DORAは、契約上の監査権限や中央集約型プラットフォームを通じて、重要なサードパーティプロバイダーのパフォーマンスやセキュリティインシデントをリアルタイムで継続的に監視することを求めています。
4. 脅威主導型ペネトレーションテスト。 銀行は、重要機能に対して現実的なペネトレーションテストを実施し、検知・対応能力を検証し、是正措置を文書化してオペレーショナル・レジリエンスを証明する必要があります。

DORAオペレーショナル・レジリエンスがアーキテクチャとガバナンスの変革を要求する理由

DORAのオペレーショナル・レジリエンス要件は、従来の事業継続計画を超えたものです。本規則は、サイバー攻撃、システム障害、サードパーティの停止など、深刻な障害シナリオ下でも銀行が継続的なデジタル運用能力を維持することを義務付けています。この変化により、銀行はアプリケーション、データ、インフラ各層のアーキテクチャを再考する必要があります。単一障害点や手動復旧手順に依存するレガシーシステムは、規制リスクを生み出します。銀行は冗長性を設計し、自動フェイルオーバー機能を実装し、重要機能に対する規制期待に沿ったリカバリータイム目標を設定する必要があります。

ICTリスク管理フレームワークは技術判断とビジネスインパクトを結び付ける必要がある

DORAは、銀行に対し、すべての技術システムとサービスにわたるリスクを特定・分類・軽減する包括的なICTリスク管理フレームワークの確立を求めています。このフレームワークは、ICT資産をビジネス機能にマッピングし、依存関係を特定し、各資産が侵害または利用不可となった場合のビジネスへの影響を評価することで、技術リスクとビジネスインパクトを結び付ける必要があります。

銀行は、アプリケーション、データフロー、インフラ構成要素、重要なビジネスサービス間の関係を文書化する依存関係マトリックスを作成することでこれを実現します。これらのマトリックスにより、リスクチームは技術的な深刻度だけでなく、ビジネスインパクトに基づいてコントロールの優先順位を決定できます。効果的なICTリスク管理フレームワークは、既存のエンタープライズリスク管理プラットフォームと統合し、統合的な可視性を提供します。銀行は、自動検出ツールを導入して資産インベントリを正確に維持し、構成変更や不正な修正を追跡することで、ドキュメントが時点のスナップショットではなく現状を反映するようにしています。

インシデント分類と報告には自動検知と構造化ワークフローが必要

DORAは、ICT関連の重大インシデントを規制当局に分類・報告するための具体的な閾値とタイムラインを定めています。銀行は、サービス停止期間、影響を受けた顧客数、データ侵害の範囲などの基準に基づき、定められた期間内にインシデントが重大かどうかを判断しなければなりません。

この判断には、検知、トリアージ、影響評価、エスカレーションを統合した構造化ワークフローが必要です。銀行は、SIEMプラットフォーム、インシデント対応計画、規制報告テンプレートを統合したプロセスを構築し、これらのワークフローを実装します。自動検知ルールは、システムのダウンタイムが許容限度を超えた場合や顧客データへの不正アクセスなど、事前定義された閾値に基づき潜在的なインシデントを特定します。検知後、インシデントはトリアージプロセスを経て深刻度が割り当てられ、関係者への通知や影響評価が開始されます。構造化ワークフローは、意思決定ポイント、証拠、対応内容を記録し、報告義務のコンプライアンスを示す改ざん不可能な監査証跡を作成します。銀行は、テーブルトップ演習や事後レビューを通じて分類基準を洗練し、過少報告や通知遅延のリスクを低減しています。

DORA下のサードパーティリスク管理は継続的な監督と契約コントロールを要求

DORAは、特に重要なサービスプロバイダーに対し、ICTサードパーティリスク管理に厳格な要件を課しています。銀行は、サードパーティとの契約前にデューデリジェンスを実施し、監督や監査権限を可能にする契約条項を設け、関係期間中のパフォーマンスを継続的に監視しなければなりません。本規則は、代替可能性や重要機能への影響などの要素に基づき、重要なサードパーティサービスプロバイダーを区別します。銀行は、すべてのICTサードパーティ契約の台帳を維持し、それぞれの重要度に基づいて分類し、監督活動を文書化する必要があります。

契約条項は監査権限と規制当局のアクセスを可能にしなければならない

DORAは、銀行がICTサードパーティサービスプロバイダーとの契約に特定の条項を盛り込むことを求めています。これらの条項は、銀行にサードパーティのコントロールを監査する権利を付与し、規制当局が必要に応じてサードパーティの業務を検査できるようにする必要があります。銀行は、測定可能な指標を含むサービスレベル契約、規制要件に沿ったセキュリティ要件、セキュリティインシデントやシステム変更時の通知義務などを契約に盛り込みます。また、データの可搬性や移行支援を含む明確な退出戦略も契約で定めなければなりません。

クラウドサービスプロバイダーに対しては、銀行はデータ主権、暗号鍵管理、顧客データの分離に関する条件を交渉します。契約条項は、サブコントラクターへの再委託にも対応し、重要機能の委託前に通知を義務付けます。大手テクノロジープロバイダーが標準契約を提供する場合、銀行がこれらの条件を交渉するのは困難です。交渉力のある銀行は個別条件を獲得できますが、中小規模の銀行は標準契約にサイドレターを追加することで対応することが多いです。この場合、銀行は補完的コントロール、強化されたモニタリング、コンティンジェンシープランニングを通じて残存リスクを軽減します。

サードパーティパフォーマンスの継続的監視には中央集約型の可視化が必要

DORAは、サードパーティサービスプロバイダーの定期的な評価ではなく、継続的な監視を求めています。銀行は、サービスの可用性、インシデントの頻度と深刻度、脆弱性の修復までの平均時間、契約サービスレベルの遵守状況などのパフォーマンス指標やセキュリティインシデント、コンプライアンス証明、サービス提供の変更を追跡しなければなりません。銀行は、複数の情報源からパフォーマンスデータやリスク指標を集約する中央集約型サードパーティリスク管理プラットフォームを構築し、継続的監視を実現します。これらのプラットフォームは、ベンダー提供のダッシュボードやセキュリティ評価サービスと連携し、サードパーティリスクのリアルタイム可視化を提供します。

銀行は、各指標に閾値を設定し、超過時にはリスク・調達チームに迅速な通知が届くようにし、パフォーマンス低下や新たなリスクの早期発見を実現します。この継続的監視は、銀行が関係期間を通じてサードパーティリスクを把握し続けるという規制期待を満たし、規制審査時に監督活動を証明することを可能にします。

脅威主導型ペネトレーションテストと英国オペレーショナル・レジリエンスフレームワークへのマッピング

DORAは、一般的な脆弱性評価ではなく、現実的な攻撃シナリオを模擬する脅威主導型ペネトレーションテストの実施を銀行に求めています。このテストは、実際の脅威アクターが用いる戦術を模倣する独立したテスターによって行われなければなりません。脅威主導型ペネトレーションテストは、包括的なインフラ全体のスキャンではなく、重要機能や重要なビジネスサービスに焦点を当てます。テスターは、最新の脅威インテリジェンスに基づき、オペレーショナル・レジリエンスに重大なリスクをもたらす特定の攻撃ベクトルを標的としたシナリオを設計します。例えば、特権ユーザーを狙ったフィッシング攻撃、決済処理システムの侵害、顧客機密データの持ち出しなどを模擬します。

効果的な脅威主導型ペネトレーションテストは、予防的コントロールだけでなく、検知・対応能力も検証します。テスターは、セキュリティオペレーションセンターが定められた期間内に攻撃活動を検知できるか、インシデント対応チームが確立された手順に従って対応できるかを評価します。銀行は、ペネトレーションテストの結果を活用してコントロールを改善し、インシデント対応プレイブックを更新し、是正投資の優先順位を決定します。DORAは、テストが運用責任から適切に分離された独立したテスターによって実施されることを求めています。銀行は、テスト手法、発見事項、是正措置を文書化し、コンプライアンスを証明します。これには、テスト計画、特定された脆弱性の詳細レポート、責任者を明記した是正計画、脆弱性が解消されたことを確認する検証テストが含まれます。

統合ガバナンス構造がICTリスクと事業継続を結び付ける

DORAの適用を受ける英国の銀行は、イングランド銀行のオペレーショナル・レジリエンスフレームワークにも準拠する必要があります。このフレームワークは、重要なビジネスサービスの特定やインパクト許容値の設定などを要求します。これらのフレームワークは類似した目的を持ちますが、用語や義務が異なります。銀行は、両フレームワークへのコンプライアンスを重複なく確保するガバナンス構造を構築しなければなりません。

銀行は、規制フレームワーク全体のオペレーショナル・レジリエンスを監督するクロスファンクショナルな委員会を設置することで、統合ガバナンスを実現しています。この委員会には、技術、リスク、コンプライアンス、事業継続の各担当者が参加し、すべての観点を考慮した意思決定を行います。委員会は、規制報告間で一貫性を保つため、重要機能やICT資産の定義を統一します。統合ガバナンスは、文書化や報告にも及びます。銀行は、コンプライアンス活動の証拠を一元的に保管し、フレームワークごとの要件に基づく規制報告を自動生成できる中央リポジトリを導入し、事務負担の軽減と提出内容の一貫性を確保しています。

監査証跡はコントロールを特定の規制義務にマッピングする必要がある

DORAは、銀行に対し、コンプライアンス活動の包括的な文書化を義務付けています。効果的な監査証跡は、コントロール、評価、是正措置を特定の規制義務にマッピングし、審査時にコンプライアンスを証明できるようにします。銀行は、関連する規制条項への参照を付与して文書や証拠をタグ付けすることで、この機能を実現します。規制当局が特定要件へのコンプライアンス証拠を求めた際、銀行は中央システムからすべての関連文書を迅速に取得できます。

改ざん不可能な監査証跡は、作成後に文書が変更できないことを保証し、規制当局に証拠の真正性を担保します。銀行は、バージョン管理された文書管理システムやコンプライアンスプラットフォーム内の監査証跡機能を活用してこれを実現します。これらの機能は、審査負担の軽減、ガバナンス成熟度の証明、規制調査時の防御力向上に寄与します。

転送中の機密データ保護はDORAの複数義務に対応

DORAの多くの要件は、システム間やサードパーティ、ユーザー間で移動する機密顧客データの保護と密接に関連しています。銀行は、データのライフサイクル全体、特に外部送信時に、機密性・完全性・可用性を確保しなければなりません。従来の境界型セキュリティでは、転送中データの保護は不十分です。銀行は、データの機密性、受信者の身元、ビジネスコンテキストに基づきポリシーを強制するコンテンツ認識型コントロールを実装する必要があります。

コンテンツ認識型コントロールは、ファイル内容や送信状況を分析し、不正な開示や改ざんを防ぐポリシーを適用します。これらのコントロールは、顧客の個人情報や決済カード情報などの機密データを識別し、事前定義されたルールに基づき暗号化、アクセス制御、送信ブロックなどを実施します。銀行は、規制要件やリスク露出に基づきデータを分類し、コンテンツ認識型コントロールを導入します。データ分類スキームは、公開、内部、機密、制限付きデータを区別し、それぞれに適したポリシーを適用します。

ユーザーが分類済みデータを共有しようとする際、コンテンツ認識型コントロールは、受信者の身元、認証強度、ビジネス上の正当性を評価します。ポリシーに基づき、暗号化付き送信を許可したり、追加承認を要求したり、送信自体をブロックすることも可能です。このアプローチにより、サードパーティサービスプロバイダーや規制当局、ビジネスパートナーと共有される機密データは、受信者環境に関係なく保護されます。また、誰が、いつ、どのデバイスから、どの目的でデータにアクセスしたかを記録する監査証跡が作成され、DORAコンプライアンスやインシデント調査を支援します。

データセキュリティコントロールとSIEMプラットフォームの連携により、異常なデータアクセスや持ち出し試行をリアルタイムで検知できます。コンテンツ認識型コントロールがポリシー違反や不審なアクセスパターンを検知した場合、セキュリティイベントをSIEMに送信します。SIEMの相関ルールは、これらのイベントをネットワークトラフィックや認証ログと組み合わせて分析し、調査が必要なインシデントを特定します。インシデント特定後は、SOARプラットフォームが対応ワークフローを自動化し、影響システムの隔離、アクセス権の無効化、関係者への通知などを実施します。これらの自動化ワークフローにより、検知から修復までの平均時間が短縮され、オペレーショナル・レジリエンスと規制コンプライアンスの双方が強化されます。

継続的コンプライアンスと証拠生成による規制対応力の構築

DORAコンプライアンスは、コントロールの実装だけでなく、規制期待を満たす証拠による有効性の実証まで求められます。銀行は、リスク評価、テスト活動、是正措置の証拠を継続的に生成し、定期的なスナップショットに頼らない体制を構築しなければなりません。規制審査では、銀行が実質的なオペレーショナル・レジリエンスを維持しているか、単にコンプライアンス活動を文書化しているだけかが評価されます。審査官は、ガバナンスの質、リスク分析の深さ、是正プログラムの有効性を重視します。

銀行は、コンプライアンスプラットフォームを設定し、コントロール実行や評価結果を継続的に収集することで、自動化された証拠収集を実現します。これらのプラットフォームは、技術システムと連携し、ログ、構成スナップショット、パフォーマンス指標を手動介入なしで収集します。自動収集により、手動転記ミスを排除し、コンプライアンス状況のリアルタイム可視化と証拠の正確性を確保します。証拠収集は、規制期待を満たす十分な詳細を確保しつつ、過剰なデータでチームを圧迫しないように設計する必要があります。

銀行は、複数の規制フレームワークに同時対応できるプラットフォームを導入することで、報告負担を軽減しています。これらのプラットフォームは、DORAやオペレーショナル・レジリエンス要件、その他の関連規格の規制要件ライブラリを保持しています。銀行がコントロールを文書化したり是正活動を完了した際、プラットフォームは証拠に関連する規制参照を自動タグ付けします。これにより、各フレームワークごとに別々の文書を作成することなく、要件に基づいて証拠をフィルタリングし、フレームワーク固有の報告書を生成できます。規制審査時には、中央検索機能を使ってすべての関連証拠を迅速に取得し、情報要求に効率的に対応できます。

2026年のオペレーショナル・レジリエンスは統合プラットフォームと自動化ワークフローが不可欠

DORAのオペレーショナル・レジリエンス要件を満たす英国の銀行は、断片的なツールや手作業プロセスから脱却しなければなりません。コンプライアンスには、ICTリスク管理、インシデント対応、サードパーティ監督、データセキュリティを統合ワークフローで接続し、中央集約型の可視化と自動化された証拠生成を実現する統合プラットフォームが求められます。オペレーショナル・レジリエンスを技術アーキテクチャに組み込み、規制フレームワークを横断するガバナンス構造を構築し、データのライフサイクル全体で機密データを保護するコントロールを導入する銀行は、規制コンプライアンスと実質的な運用継続性の双方を実現できます。DORA要件と既存の英国義務の交差は複雑さを生みますが、同時に、ガバナンスの近代化、リスク低減、継続的コンプライアンスと監査対応力に特化したプラットフォームによる効率向上の機会ももたらします。

Kiteworksプライベートデータネットワークが英国銀行のDORAコンプライアンスを実現

英国の銀行は、機密データの保護、監査対応可能な証拠の生成、エンタープライズセキュリティおよびコンプライアンスワークフローとの統合が可能な統合プラットフォームを必要とする重複した規制義務に直面しています。Kiteworksプライベートデータネットワークは、メール、ファイル共有、マネージドファイル転送、ウェブフォーム、APIを横断して転送中の機密コンテンツを保護し、コンテンツ認識型ゼロトラストコントロールを強制し、DORAを含む規制フレームワークにマッピングされた改ざん不可能な監査証跡を生成する、目的特化型プラットフォームを提供します。

Kiteworksは、データ分類、受信者の身元、ビジネスコンテキストに基づくきめ細かなアクセス制御を銀行に提供し、サードパーティサービスプロバイダー、規制当局、ビジネスパートナーと共有される機密顧客情報を外部環境に関係なく保護します。プラットフォームは、SIEM、SOAR、ITSMシステムと連携し、検知・対応ワークフローを自動化することで、検知から修復までの平均時間を短縮し、規制審査時にインシデント対応の有効性を示す包括的な監査証跡を作成します。

プライベートデータネットワークは、外部関係者向けの専用ポータルを提供し、アクセス制御の強制、データアクセス・共有活動の追跡、契約義務のコンプライアンス文書化により、サードパーティリスク管理も支援します。これらの機能により、銀行は重要なサードパーティ関係の継続的監督を証明し、関係期間全体を通じたデューデリジェンスの証拠を規制当局に提供できます。

Kiteworksは、DORAやオペレーショナル・レジリエンス要件、その他の関連規格に事前マッピングされたコンプライアンスフレームワークを維持し、銀行が規制報告書を効率的に作成し、審査要求にも包括的な証拠で対応できるようにします。プラットフォームの改ざん不可能な監査ログは、すべてのデータアクセス、共有イベント、ポリシー強制アクションを記録し、銀行が単なるコンプライアンス文書化ではなく、実質的なオペレーショナル・レジリエンスを証明するための規制対応力を提供します。

Kiteworksプライベートデータネットワークが、御社のDORAオペレーショナル・レジリエンス要件の運用化、機密顧客データの保護、規制報告の効率化にどのように貢献できるかについては、カスタムデモを予約してご相談ください。