DORA の移行期間が始まった今、Google Cloud が実施している対策

※この投稿は米国時間 2023 年 1 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

本日より、EU によるデジタル オペレーショナル レジリエンスに関する規制（DORA）の 2 年間の移行期間が始まりました。欧州連合（EU）の金融機関とその重要な ICT プロバイダは、2025 年 1 月 17 日までに DORA を遵守する体制を整える必要があります。Google Cloud は、欧州の金融サービス業界のデジタル イノベーションを加速するには DORA が不可欠であると確信しています。2020 年 9 月以来、Google Cloud は DORA について政策立案者との話し合いを続けてきました。現在は、お客様や規制当局と協力して、期限前に新しい DORA 要件を運用化することを目指しています。  

2025 年の期限が迫るなか、新しいリソースとコンプライアンス リソース センターの最新情報でお客様を引き続きサポートしていく所存です。こうしたリソースとして、まず新しい DORA カスタマー ガイドをご紹介します。このガイドには、お客様が DORA 規制に対処する方法に関する有用な情報が記載されています。

DORA が欧州の金融業界に求めるもの

DORA は、金融機関によるサイバーセキュリティ インシデント報告、デジタル オペレーショナル レジリエンス検証、情報通信技術（ICT）サードパーティ リスク管理の方法を、金融サービス業界と EU 加盟国全体にわたり標準化するものです。また、ICT プロバイダに求められる役割を明確に定めるだけでなく、EU 金融規制当局が重要な ICT プロバイダを直接監督することを可能にします。条件が合致する部分においては、この規制は Google Cloud のようなクラウド サービス プロバイダにも適用されます。   

Google Cloud の DORA への対応

この 2 年間、Google Cloud チームは DORA が欧州の金融業界のデジタル オペレーショナル レジリエンスをどのように改善するかについて、政策立案者や規制当局の考え方を理解するため、話し合いをしてきました。

DORA の最終案がまとまったことを受け、Google Cloud の部門横断型チーム（リスクとコンプライアンス、セキュリティ、法務、政府関連業務、プロダクトに関するサブジェクト マター エキスパートを含む）は詳細を確認し、必要に応じたコンプライアンス計画を準備しています。この計画は、Google のセキュリティ、レジリエンス、サードパーティ リスク管理といった分野における強固な基盤の上に構築されています。この基盤は、EU の金融サービスのお客様による厳格な規制上の要件への対応をすでに可能にしています。

この移行期間を利用して、次に示す DORA の各重点分野で機能をさらに強化していく予定です。

• 監視: Google Cloud は、重要な ICT プロバイダとして指定される可能性に加え、それに続く年次的な取り組み（監視計画、視察、勧告など）に向けて準備を進めています。Google Cloud は、この体系的な対話が、お客様および金融業界全体のリスク管理とレジリエンスの向上につながると確信しています。お客様とその規制当局に対する現在のアプローチと同様に、継続的な透明性、コラボレーション、保証へのコミットメントを持ち、主要監督者との関係を構築していきます。

• インシデント報告: Google Cloud は、DORA に基づくインシデント報告要件でどうお客様を支援するかという問題に重点的に取り組んでいます。特に、業界トップクラスの情報セキュリティ オペレーションや、高度なセキュリティ モニタリング ツールおよびソリューションを、お客様にさらに便利にお使いいただけるようにする方法を模索しています。Mandiant が Google Cloud ファミリーに加わったことで、インシデントの前後および最中に脅威の緩和とビジネスリスクの低減をサポートするための、包括的なインシデント対応と技術面での保証に関して、実績のあるグローバルな専門知識を提供できるようになりました。お客様の DORA コンプライアンス確保にこれらの機能をぜひご活用ください。

• デジタル オペレーショナル レジリエンス検証: Google Cloud はサイバー レジリエンスの検証は必須だと考えています。正しく行えば、脅威ベースのペネトレーション テストのようなアクティビティはパワフルな手法になり得ます。共同検証は、パブリック クラウド分野において明白なメリットを示しているため、Google Cloud が強い関心を寄せている検討事項です。お客様は Google Cloud の共同監査で継続的な成果を上げています。そのことから、類似した協調的でスケーラブルな手法により、堅牢かつ効果的な検証が可能になるものと確信しています。

• サードパーティ リスク管理: Google Cloud の EU 域内の金融機関向け契約は、EBA アウトソーシング ガイドライン、EIOPA クラウド アウトソーシング ガイドライン、ESMA クラウド アウトソーシング ガイドライン、およびその他の加盟国要件における契約上の要件に対応済みです。Google Cloud は、DORA には ICT プロバイダとの契約要件も含まれていると認識しています。今後、金融機関との契約に及ぼす影響を把握するために、このような要件について入念に確認しています。

今後の展望

お客様たちと同様に、現在 Google Cloud は DORA の主な問題について検討しています。ただし、こうした分野の詳細は、今後の規制および技術標準で十分に定義される必要があると認識しています。Google Cloud は、DORA に関する話し合いに参加したときと同様、率直かつ建設的な方法でこれらの基準に関する議論に参加していく所存です。

目標は、欧州の組織が自社の条件に基づいて持続可能なデジタル トランスフォーメーションを実現するうえで Google Cloud が最適なサービスになるようにすることであり、今後もさらに多くの改善を加えていく予定です。