by Joe Rodriguez
この記事は、2024/4/18に公開された「Navigating the Digital Operational Resilience Act」の翻訳です。
規制と聞くと、余計な仕事が増えると思う人もいることでしょう。規制や官僚主義のような障害を回避することを意味する「お役所仕事を効率化する (cut the red tape) 」という古い慣用句を聞いたことがあるかもしれません。しかし、多くの場合、コンプライアンスの負担を負っても規制は必要存なものです。金融セクターでは、過剰なリスクを負うことを防止し、適切な資本を確保し、破綻や金融危機の可能性を低減することで、金融機関が安定性を維持するのに規制は不可欠です。規制には、強固なリスク管理の実践、金融犯罪の防止、競争の促進が盛り込まれます。さらに、金融システムに対する信頼を維持し、消費者や企業、投資家が、金融機関を信頼して資金を預けることを促進します。
それを踏まえた上で、ハイブリッドクラウドやマルチクラウド戦略の採用により、デジタル技術が業界に与えた影響について考えてみましょう。業務が合理化され、技術革新が促され、コストの最適化が加速する一方で、管理機関は、デジタル、インターネットベース、サードパーティのテクノロジー・ソリューション・プロバイダーに関連する、サイバーリスクに対処しなければなりません。
欧州では、EU が金融セクターの統一とリスク軽減の強化に向けた重要な措置を講じています。デジタル・オペレーショナル・レジリエンス法 (DORA) の導入は、金融機関 (金融事業体) とCloudera のような加盟国間の金融部門にサービスを提供しているテクノロジー・サービス・プロバイダーの両方に影響を与えます。
DORA とは?
DORA は欧州委員会による規制で、2023年1月に発効され、2025年1月までに遵守する必要があります。金融セクターは、金融サービスを提供するために情報通信技術 (ICT) および同法で定義されている ICT サービスプロバイダー (ICTSP) への依存度を高めているため、DORA は、サイバー脅威やインシデントに対する EU の金融セクターの業務回復力を上げることを目的としています。DORA は、銀行、投資会社、市場インフラなどの金融機関が提供するデジタルサービスの継続的な機能確保に重点を置いています。
以下は DORA の主な目的と要件の一部です。
- 金融セクターにおける ICT リスク管理に包括的に取り組み、EU 全域で規則を同調する
- ICT リスクの特定、評価、管理、システムおよびデータを保護するためのポリシーの策定と事業継続計画の策定を、金融機関に要求
- 金融機関に対し、インシデント報告、レジリエンステスト、第三者リスク管理を義務付け
- クラウドプラットフォームやデータ分析サービスなどの重要な ICTSP に対する、監視の枠組みを確立
- 金融機関が GDPR やその他のデータ法を遵守する取り決めとサイバー脅威に関する情報交換を許可
- 重大な違反があった場合、金融機関は最高1,000万ユーロまたは年間総売上高の5% (いずれか高い方) の行政制裁金を科される可能性があるため、コンプライアンス違反については深刻に考えるべきである
この影響は、重大な ICTSP にも及びます。重大な ICTSP とは、その混乱や障害が社会、経済、国家安全保障に重大な影響を及ぼす可能性のある ICTSP のことです。これらの ICTSP は、全世界の1日平均売上高の最大1%の制裁金を科される場合もあります。
データプラットフォーム ICTSP への影響
Cloudera のようなデータプラットフォーム ICTSP は、DORA の適用範囲に入る可能性があります。その場合、厳格なデータセキュリティ基準を遵守し、強固な暗号化とアクセス制御を実装していること、そして、サイバー脅威に直面した場合の運用回復力を実証する必要があります。
以下は、DORAがデータプラットフォームに影響を与える可能性のある主な方法です。
- 重要なICTSPは新たな監督フレームワークの対象となり、EBA、ESMA、EIOPAなどのEU当局が直接監督する
- ICT サードパーティリスクの健全な監視と金融機関との契約に必要な詳細を盛り込むことが要求される
- 金融機関または、金融機関に対する ICTSP として適格な非 EU 企業は、域外執行の影響を受ける可能性がある
- 金融機関と ICTSP との間の契約には、DORA 規則の監視および遵守に関する具体的な詳細を含める必要がある
- ICTSP は、その ICT リスク管理慣行と回復力に関する証拠を金融機関の顧客に提供する必要がある
- ICTSP は、主要な ICT 関連インシデントを金融機関の顧客に報告する仕組みを持たなければならない
- GDPR に準拠して行われる場合には、金融機関と ICTSP の間で脅威情報を共有することが認められている
- ICTSP はインシデント対応を強化し、金融機関の顧客とサイバー脅威情報を共有する場合もある
- ICT システムとツールのレジリエンステストが必要
- ICTSP は EU 監督当局による監査や立ち入り検査の対象となる可能性あり
- EU 域内の金融機関に重要な ICT サービスを提供する非 EU 企業は、DORA の適用範囲に入る可能性がある
- EU域外に本社を置き、EUの金融機関にサービスを提供するデータプラットフォームは、DORA に準拠する必要がある
ClouderaとDORA 要件遵守
Cloudera は、いくつかの方法で EU の Digital Operational Resilience Act (DORA) に準拠する金融機関を支援します。
セキュリティとガバナンス
Cloudera は、データのライフサイクル全体、およびパブリッククラウド、プライベートクラウド、オンプレミスのすべての環境において、一貫したデータセキュリティ、ガバナンス、および制御を実現するShared Data Experience (SDX) を提供します。SDX を使用することで、金融機関はデータアクセス制御とポリシーを一度設定するだけで、ハイブリッドクラウドやマルチクラウドのデプロイメントにおいて、データやワークロードがクラウド間を移動しても、データと分析全体に自動的に適用されます。これにより、金融機関は健全な ICT リスク管理の実践ができるだけでなく、システムとデータの保護に関する DORA の要件を満たすこともできます。
ポータビリティ
Cloudera のコンテナアーキテクチャは、パブリッククラウド、プライベートクラウド、オンプレミスといった異なる環境間でデータとアプリケーションを柔軟に移動することを可能にします。このポータビリティは、クラウドベンダーのロックインに関する DORA の懸念に対処するのに役立ち、金融機関の運用回復力を実現します。また、一貫したセキュリティとコンプライアンスを維持しながら、必要に応じてワークロードを移動することができます。
包括的なデータライフサイクル管理
Cloudera は、ストリーミング、分析、および機械学習を単一のプラットフォームに統合することで、金融機関がエンドツーエンドのデータライフサイクルを管理できるようにします。これにより、我々は、現在および将来のニーズに対応する重要なアプリケーションを開発し、DORA の ICT リスク管理目標をサポートします。
オープンソースと相互運用性
Cloudera のプラットフォームはオープンソースであり、イノベーションを加速し、DORA の主要な懸念事項であるベンダーロックインに対する不安を軽減します。また、金融機関が使う広範な分析やビジネスアプリケーションとの相互運用性を可能にします。
ハイブリッド・マルチクラウドのデプロイメントオプション
Cloudera は、パブリッククラウド、プライベートクラウド、オンプレミスのいずれにも展開できるため、金融機関は、DORA のルールを遵守してデータを管理するための柔軟性と制御性を得ることができます。ハイブリッド、マルチクラウド機能により、金融機関はすべての ICT 環境において厳格なエンタープライズ・データ・セキュリティとガバナンスを維持することができます。
金融機関が DORA コンプライアンスに向けて動き出す中、Cloudera は統一されたセキュアでポータブルなハイブリッド・データ・プラットフォームを提供し、金融機関が ICT リスク管理、データセキュリティ、ガバナンス、回復力、マルチクラウドの柔軟性など、EU の DORA 規制の主要要件を満たすのに役立ちます。Cloudera のコア機能は、金融セクターのデジタル運用の回復力を強化するという DORA の目標に合致しています。
Cloudera が金融機関をどのように支援しているかについては、こちらをクリックしてご確認ください。