Google Cloud によるデジタル オペレーショナル レジリエンスに関する規制（Digital Operational Resilience Act）への対応準備

※この投稿は米国時間 2022 年 6 月 4 日に、Google Cloud blog に投稿されたものの抄訳です。

2022 年 5 月、欧州の立法府はデジタル オペレーショナル レジリエンスに関する規制（DORA: Digital Operational Resilience Act）について、組織間合意に達しました。これは、巧妙化するサイバー攻撃を含むあらゆる種類の ICT 関連の混乱や脅威に対し、金融機関が抵抗、対処、復旧できるよう制定された新規制の導入における大きな節目となります。

DORA は、金融機関によるサイバーセキュリティ インシデント報告、デジタル オペレーショナル レジリエンス検証、ICT 外注リスク管理の方法を、金融業界と欧州連合（EU）加盟国全体にわたり調和させます。また、求められる ICT プロバイダの役割を明確に定めるだけでなく、金融規制当局が重要な ICT プロバイダを直接監督することを可能にします。  

Google Cloud は、DORAに関する合意を歓迎します。Cloud On Europe’s Terms イニシアチブの一環として、規制、デジタル主権、持続可能性、経済的目標を満たすクラウドを提供することで欧州の政府や企業と信頼関係を築くべく取り組みを進めています。

Google Cloud は、欧州委員会、欧州理事会、欧州議会が効果的かつ将来を見据えた相応の規制を設計しようと継続的に努力していることを認識しています。2020 年 9 月に DORA の草案が提出されて以来、Google Cloud は政策立案者との話し合いを続けており、議員たちが ICT 組織と建設的な対話をしていることを高く評価しています。

DORA に対する Google Cloud の見解

Google Cloud は、欧州の金融サービス業界のデジタル イノベーションを加速するには DORA が不可欠だと確信しています。DORA は、ICT プロバイダ、金融機関、金融監督機関の間で相互の理解、透明性、信頼を高める強固なフレームワークを構築します。

DORA の主なメリットをいくつかご紹介します。

• 統合された ICT インシデント報告: DORA は、金融業界のインシデント報告要件を単一の効率的なフレームワークの下に統合します。これは、複数の業界や EU 加盟国で活動している金融機関が、時間的制約のある状況下で重複する報告制度に同時に従う必要がなくなることを意味します。DORA はまた、NIS2 のような類似するインシデント報告制度に対処することも目指しています。これらの変更により、規制当局は必要な情報を取得できるようになり、金融機関はインシデント対応の他の重要な側面に集中できるようになります。

• デジタル オペレーショナル レジリエンス検証用の新しいフレームワーク: DORA は、TIBER-EU のような EU の既存イニシアチブを活用して、脅威ベースのペネトレーション テストなど、デジタル オペレーショナル レジリエンスを検証するための、EU 全域を対象とする新しいアプローチを確立します。検証手法を明確にし、検証結果の相互承認を導入することにより、DORA は金融機関が EU 全域で有効な方法を用いて、検証能力を継続的に構築、拡大することを支援します。また、DORA が検証における ICT プロバイダの役割に配慮し、パブリック クラウドのようなマルチテナント サービスでの検証の影響を管理する検証プールを認めていることも重要です。

• 統合された ICT 外注リスク管理: DORA は、欧州監督当局の各アウトソーシング ガイドラインに従って構築された強固な基盤上で、ICT プロバイダとの契約要件など、業界を超えた ICT 外注リスク管理要件をさらに統合します。類似するリスクが業界や EU 加盟国全体で一貫して対処されるようにすることで、DORA は金融機関が ICT 外注リスク管理プログラムを統合、強化できるようにします。

• 重要な ICT プロバイダを直接監視: DORA は、金融規制当局が重要な ICT プロバイダを直接監視できるようにします。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。Google Cloud は、この体系的な対話が、業界全体のリスク管理とレジリエンスの向上につながると確信しています。

Google Cloud の DORA への対応

DORA の主な要素については政治的な合意に達しましたが、立法府がまだ詳細をまとめています。最終案は今年中に公表され、公表後 2 年の移行期間が設けられる見込みです。DORA が施行されるのは早くても 2024 年ですが、ここでは DORA が影響を与える 4 つの重要なトピックと、それらの領域で Google Cloud が現在どのようにお客様をサポートしているかをご紹介します。

• インシデント報告: Google Cloud は、厳格なプロセス、世界水準のチーム、多層構造の情報セキュリティとプライバシー インフラストラクチャを組み合わせた、業界最先端の情報セキュリティ オペレーションを展開しています。Google Cloud でのデータ インシデントの管理と対応の概要は、データ インシデント対応に関するホワイトペーパーでご覧いただけます。また、Security Command Center など、お客様がデータのセキュリティを独自にモニタリングできる高度なツールやソリューションもご用意しています。Google Cloud は、進化する法律や業界のベスト プラクティスに基づき、インシデント管理へのアプローチを継続的に見直しており、DORA の下でのこの領域の進展を注意深く見守っていきます。

• デジタル オペレーショナル レジリエンス検証: Google Cloud は、金融業界にとってオペレーショナル レジリエンスは重要な焦点であることを認識しています。ホワイト ペーパー「Google Cloud に移行することで、金融サービスのオペレーショナル レジリエンスを強化」では、Google Cloud への移行の成功がレジリエンスの強化で果たす役割について論じています。さらに、Google Cloud はレジリエンスの検証の必要性も理解しています。Google Cloud では、ペネトレーション テストや障害復旧試験などの厳格な検証を実施しています。また、お客様自身でもデータやアプリケーションに対して、独自のペネトレーション テストや障害復旧試験を行えるようにしています。

• 外注リスク: Google Cloud の EU 域内の金融機関向け契約は、EBA アウトソーシング ガイドライン、EIOPA クラウド アウトソーシング ガイドライン、ESMA クラウド アウトソーシング ガイドライン、およびその他の加盟国要件における契約上の要件に対応しています。Google Cloud は、DORA の下でのこうした要件の変化を注視しています。

• 監視: Google Cloud は、規制当局が金融機関によるサービスの利用を効果的に監視できるよう取り組んでいます。金融機関、およびその規制当局と関係者に情報、監査、アクセス権を付与し、金融機関またはその規制当局がこれらの権利の行使を選択した場合はお客様をサポートします。現在の透明性、コラボレーション、保証への取り組みと同じ方法で、主要監督者との関係を構築します。

Google は、欧州の金融業界のデジタル オペレーショナル レジリエンスを強化しようと努める立法府や規制当局と同じ目標を掲げており、DORA に備えて今後もこの分野における強力な基盤を構築していきます。Google の目標は、欧州の組織がその独自の条件に基づいて持続可能なデジタル トランスフォーメーションを実現するうえで、Google Cloud が最良のサービスになるようにすることであり、今後もさらに多くのサービスを提供していく予定です。

- Google Cloud、バイス プレジデント兼 CISO Phil Venables