アイデンティティとセキュリティ

金融業界のデジタル オペレーショナル レジリエンス: DORA の制定に向けた各方面との取り組み

※この投稿は米国時間 2020 年 11 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

欧州連合(EU)の金融機関にとって現在特に気になるトピックといえば、欧州委員会から草案が提出された、金融業界のデジタル オペレーショナル レジリエンスに関する新規制 Digital Operational Resilience for the Financial Sector(DORA)ではないでしょうか。DORA は情報通信技術(ICT)の分野で現在施行されているリスク管理要件を統合およびアップグレードすることを目指し、EU の金融サービス監督機関がビジネス クリティカルな ICT サービス プロバイダを直接監視するための新しいフレームワークを提供します。条件が合致する部分においては、この規制は Google Cloud のようなクラウド サービス プロバイダにも適用されます。

ただし、DORA はまだ草案の段階にあり、制定に向けた手続きが進められている最中です。現時点において、DORA に基づいて金融機関や ICT サービス プロバイダに課される新たな要件はまだ存在しません。Google Cloud は提案されている規制要件を注視し、DORA が欧州委員会で優先的に審議されるよう、DORA の形成に関する議論にも参加しています。

欧州金融システムのデジタル レジリエンスを強化する

DORA はインシデント報告やオペレーショナル レジリエンスの検証から外注リスクの管理に至るまで、欧州金融システムのデジタル レジリエンスを高めることを目的とし、ICT サービスを利用する金融機関にとって重要な数々のトピックを扱います。

Google Cloud では、レジリエンスとセキュリティを運用上の最重要課題として捉えられています。そして金融機関がパブリック クラウドに移行することでレジリエンスとセキュリティを向上させることができると固く信じています。これらのメリットは、COVID-19(新型コロナウイルス感染症)をめぐる状況の中で明確に示されることとなりました。Google Cloud のテクノロジーインフラストラクチャは、お客様を十全にサポートし続けたのです。

また、ビジネス クリティカルなサードパーティ プロバイダに対する DORA の監視フレームワークは、ICT サービス プロバイダ、金融機関、金融監督機関の間で相互の理解、透明性、信頼を高める絶好の機会となり、最終的にはヨーロッパの金融業界におけるイノベーションにもつながっています。

DORA で取り扱われる分野の多くで、Google Cloud はすでにお客様をサポートしています。

  • インシデント報告: Google Cloud はお客様データを保護するために、厳格なプロセス、世界クラスのチーム、多層構造の情報セキュリティとプライバシー インフラストラクチャを組み合わせた、業界最先端の情報セキュリティ オペレーションを展開しています。Google Cloud でのデータ インシデントの管理と対応の概要は、データ インシデント対応に関するホワイトペーパーでご覧いただけます。

  • オペレーショナル レジリエンスと検証: Google Cloud はグローバルなインフラストラクチャ、ベースライン制御、各種セキュリティ機能を提供しており、Google Cloud サービスを利用するお客様は強力なツールを使用してレジリエンスを高めることができます。また、Google Cloud はオープンソース標準に準拠しています。そのため、上記の各種ソリューションを使用することで、お客様は特定のクラウド プロバイダに依存したり縛り付けられたりすることなく、ワークロードの可用性を制御し、ワークロードを実行できます。さらに、Google Cloud はレジリエンスの検証の必要性も理解しています。Google Cloud ではペネトレーション テストや障害復旧試験などの厳格な検証を実施しているのに加え、お客様自身でも独自のペネトレーション テストを行えるようにしています。また、障害復旧計画ガイドを公開し、お客様が障害復旧計画で Google Cloud のサービスを活用するのに役立つ情報を提供しています。

  • 外注リスク: 金融機関がクラウド サービスを利用する際は外注リスクの管理に関する各種要件を考慮する必要があることを、Google Cloud は理解しています。EU の金融機関と Google Cloud の間で結ばれる契約は、EBA アウトソーシング ガイドラインEIOPA クラウド アウトソーシング ガイドラインの契約要件に対応しています。また、今後も法律や規制による要件の変化を注視していきます。

新フレームワークにおけるポリシーの適用

DORA に関する議論を進めていくにあたり、Google Cloud は引き続き透明性をもって政策担当者や関連業界に自社の視点と技術的知見を提供します。その際には、特に次の各点を支持します。

  • 要件の調和と重複除去: DORA と既存フレームワーク(欧州監督当局のアウトソーシング ガイドラインや NIS 指令など)の間の調整など。

  • 比例原則にのっとり、目的に適った要件の制定: 特に、クラウドのコンテキストにおいて ICT サービスは常に進化し続けるものであるという、技術面および運用面における事実に根差した要件とすることを目指します。

  • 技術的中立性とイノベーション: Google Cloud は、これらがオープンなエコシステムとデータの自由なやり取りによって常に支えられてきたと考えています。

  • マルチテナントのクラウド環境と衝突せず、Google Cloud がすべてのお客様に提供しているセキュリティと整合性を損なわない: DORA の対象となっているかどうかにかかわらず、この条件を満たすことを目指します。

Google Cloud は、草案に関する関係者との話し合いにおいて、建設的な声を届けることができるよう努めます。DORA を効果的な規制体系にする鍵は、開かれた話し合いと、専門的知見およびベスト プラクティスの共有にあると私たちは考えています。

-Google Cloud 政府関連および公共政策担当バイス プレジデント Pablo Chavez