セキュリティ & アイデンティティ

金融業界のデジタルオペレーショナルレジリエンス: DORA の制定に向けた各方面との取り組み

2020年11月17日

Google Cloud Japan Team

※この投稿は米国時間 2020 年 11 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

欧州連合（EU）の金融機関にとって現在特に気になるトピックといえば、欧州委員会から草案が提出された、金融業界のデジタルオペレーショナルレジリエンスに関する新規制 Digital Operational Resilience for the Financial Sector（DORA）ではないでしょうか。DORA は情報通信技術（ICT）の分野で現在施行されているリスク管理要件を統合およびアップグレードすることを目指し、EU の金融サービス監督機関がビジネスクリティカルな ICT サービスプロバイダを直接監視するための新しいフレームワークを提供します。条件が合致する部分においては、この規制は Google Cloud のようなクラウドサービスプロバイダにも適用されます。

ただし、DORA はまだ草案の段階にあり、制定に向けた手続きが進められている最中です。現時点において、DORA に基づいて金融機関や ICT サービスプロバイダに課される新たな要件はまだ存在しません。Google Cloud は提案されている規制要件を注視し、DORA が欧州委員会で優先的に審議されるよう、DORA の形成に関する議論にも参加しています。

欧州金融システムのデジタルレジリエンスを強化する

DORA はインシデント報告やオペレーショナルレジリエンスの検証から外注リスクの管理に至るまで、欧州金融システムのデジタルレジリエンスを高めることを目的とし、ICT サービスを利用する金融機関にとって重要な数々のトピックを扱います。

Google Cloud では、レジリエンスとセキュリティを運用上の最重要課題として捉えられています。そして金融機関がパブリッククラウドに移行することでレジリエンスとセキュリティを向上させることができると固く信じています。これらのメリットは、COVID-19（新型コロナウイルス感染症）をめぐる状況の中で明確に示されることとなりました。Google Cloud のテクノロジーとインフラストラクチャは、お客様を十全にサポートし続けたのです。

また、ビジネスクリティカルなサードパーティプロバイダに対する DORA の監視フレームワークは、ICT サービスプロバイダ、金融機関、金融監督機関の間で相互の理解、透明性、信頼を高める絶好の機会となり、最終的にはヨーロッパの金融業界におけるイノベーションにもつながっています。

DORA で取り扱われる分野の多くで、Google Cloud はすでにお客様をサポートしています。

インシデント報告: Google Cloud はお客様データを保護するために、厳格なプロセス、世界クラスのチーム、多層構造の情報セキュリティとプライバシーインフラストラクチャを組み合わせた、業界最先端の情報セキュリティオペレーションを展開しています。Google Cloud でのデータインシデントの管理と対応の概要は、データインシデント対応に関するホワイトペーパーでご覧いただけます。
オペレーショナルレジリエンスと検証: Google Cloud はグローバルなインフラストラクチャ、ベースライン制御、各種セキュリティ機能を提供しており、Google Cloud サービスを利用するお客様は強力なツールを使用してレジリエンスを高めることができます。また、Google Cloud はオープンソース標準に準拠しています。そのため、上記の各種ソリューションを使用することで、お客様は特定のクラウドプロバイダに依存したり縛り付けられたりすることなく、ワークロードの可用性を制御し、ワークロードを実行できます。さらに、Google Cloud はレジリエンスの検証の必要性も理解しています。Google Cloud ではペネトレーションテストや障害復旧試験などの厳格な検証を実施しているのに加え、お客様自身でも独自のペネトレーションテストを行えるようにしています。また、障害復旧計画ガイドを公開し、お客様が障害復旧計画で Google Cloud のサービスを活用するのに役立つ情報を提供しています。
外注リスク: 金融機関がクラウドサービスを利用する際は外注リスクの管理に関する各種要件を考慮する必要があることを、Google Cloud は理解しています。EU の金融機関と Google Cloud の間で結ばれる契約は、EBA アウトソーシングガイドラインと EIOPA クラウドアウトソーシングガイドラインの契約要件に対応しています。また、今後も法律や規制による要件の変化を注視していきます。

新フレームワークにおけるポリシーの適用

DORA に関する議論を進めていくにあたり、Google Cloud は引き続き透明性をもって政策担当者や関連業界に自社の視点と技術的知見を提供します。その際には、特に次の各点を支持します。

要件の調和と重複除去: DORA と既存フレームワーク（欧州監督当局のアウトソーシングガイドラインや NIS 指令など）の間の調整など。
比例原則にのっとり、目的に適った要件の制定: 特に、クラウドのコンテキストにおいて ICT サービスは常に進化し続けるものであるという、技術面および運用面における事実に根差した要件とすることを目指します。
技術的中立性とイノベーション: Google Cloud は、これらがオープンなエコシステムとデータの自由なやり取りによって常に支えられてきたと考えています。
マルチテナントのクラウド環境と衝突せず、Google Cloud がすべてのお客様に提供しているセキュリティと整合性を損なわない: DORA の対象となっているかどうかにかかわらず、この条件を満たすことを目指します。

Google Cloud は、草案に関する関係者との話し合いにおいて、建設的な声を届けることができるよう努めます。DORA を効果的な規制体系にする鍵は、開かれた話し合いと、専門的知見およびベストプラクティスの共有にあると私たちは考えています。

-Google Cloud 政府関連および公共政策担当バイスプレジデント Pablo Chavez

投稿先