EUのデジタルオペレーションレジリエンス法（DORA）が金融サービスにおけるオペレーションレジリエンスの強化を目指す方法

サイバーセキュリティの脅威が世界的に進化する中、金融セクターで事業を行う組織は関連リスクに対処するための規制にシフトしており、欧州連合（EU）のデジタルオペレーショナルレジリエンス法（DORA）ほど大きなインパクトを与えるものはないかもしれません。この規制は、金融機関（FE）とそのサードパーティである情報通信技術（ICT）プロバイダーの運営レジリエンスを強化することを目的としています。 

ここでは、DORAとは何か、DORAが重要な理由、そしてSnowflakeがDORAコンプライアンス義務のサポートにどのように役立つかを説明します。

現在、サードパーティICTプロバイダーの監視とリスク管理を強化することを目的としたDORAポリシー製品の第2弾を開発中です。2024年7月にポリシー要件の第2弾が策定されると、Snowflakeから詳細な情報が提供されます。 

2023年1月に施行されたDORAは、事後対応に留まらず、FEとそのサービスプロバイダーが能動的に脆弱性を特定し、混乱を防止し、インシデントからの迅速な復旧を計画することを求めています。DORAは、5段階のライフサイクルアプローチを義務付けています。 

特定：混乱を引き起こしやすい重要な機能を特定します。 

評価：これらの機能に関連する潜在的なリスクを評価します。 

防止：これらの機能を保護するための堅牢な措置の実施。 

対応：インシデントを効果的に処理し、その影響を最小限に抑えるための明確な計画を策定します。 

リカバリ：インシデント発生後に迅速にリカバリするためのプロセスを確立し、事業継続性を確保します。

これは、いくつかの重要な要件と関連するメリットを意味します。 

• より厳格な技術的およびプロセス指向のセキュリティ対策により、FEとそのICTサードパーティプロバイダーの両方の保護を強化。 
• データ分析とリスク評価プロセスを通じて潜在的な脅威を特定し、より能動的なリスク管理に移行。
• サイバーセキュリティルールとよりレジリエントな金融エコシステムの一貫した適用を促進するための欧州監督当局（ESA）と各国の管轄当局の連携。 

1.ICTリスク管理の枠組みとガバナンス 

FEのリーダーチームは、社内で管理する重要なシステムとICTプロバイダーに関連するリスクの両方を含むリスク管理戦略を定義する必要があります。この戦略には、ビジネスインパクト分析と、セキュリティインシデントやデータへのアクセスを失った場合のバックアップおよびリカバリ計画を含める必要があります。

2.ICTインシデントレポート 

FEは、ICT関連インシデントを監視、管理、記録、分類、報告するための管理プロセスを確立し、実施する必要があります。インシデントの重大度に応じて、DORAは管轄当局（CA）と影響を受けるクライアントおよびパートナーの両方へのインシデント通知のタイムライン、フォーム、報告要件を指定します。

3.デジタル運用レジリエンステスト 

FEは、自社のICTリスク管理フレームワークを定期的にテストし、あらゆる脆弱性に対する手順とプロセスの強度を評価する必要があります。これらのテスト結果と特定された脆弱性に対する改善計画は、必要に応じてCAに報告しなければなりません。

4.サードパーティリスクの管理

FEは、自社のICTリスク管理フレームワーク内で、ICTサードパーティリスクをICTリスクの不可欠なコンポーネントとして管理する。FEは、自社のICTサードパーティサービスプロバイダーに機能を外部委託する際の適切な契約上の取り決めについて交渉する必要があります。 

ESAは2025年1月に重要ICTプロバイダーの指定を行います。指定されたすべての重要なICTサードパーティサービスプロバイダーは、ESAの直接監督を受けます。 

5.情報共有アレンジメント

FEは、サイバー脅威やインテリジェンスに関する情報を交換し、戦略レベル、戦術レベル、運用レベルで個々の知識と実務経験を総合的に活用することが奨励されています。これにより、情報共有体制に参加することで、サイバー脅威を適切に評価、監視、防御、対処する能力が強化されます。 

Snowflakeデータクラウドは、FEがDORAを遵守し、堅牢なセキュリティと高度なデータ管理機能によって全体的な運用レジリエンスを強化するための有用なツールです。Snowflakeを適切に活用すれば、FEが法的義務を遵守して機密財務データを保護する能力を強化できます。

データ暗号化Snowflakeは、保存データをAES 256ビット（またはそれ以上）の暗号化方式によって暗号化し、転送データにはTransport Layer Security（TLS）1.2（またはそれ以上）を使用します。SnowflakeのBring Your Own Key（BYOK）モデル（Tri-Secret Secure）により、お客様は暗号化キーを完全に管理できるようになり、セキュリティがさらに強化されます。 

アクセス制御：Snowflakeでは、ユーザーロールに対してきめ細かい許可を定義できるため、機密データへの不正アクセスのリスクを最小限に抑えることができます。さらに、組織に対する機密性、機密性、重要性のレベルに基づいてデータを分類し、タグ付けすることもできます。これにより、セキュリティ対策に優先順位がつき、データディスカバリーが簡略化されます。  

データガバナンス：Snowflakeは、データガバナンス機能の包括的なリストも提供しています。  これには、データマスキング、外部トークン化のサポート、ユーザーアクセス履歴の履歴ログが含まれます。これらの機能により、顧客の機密データの保護がさらに強化されます。

データのレジリエンシー：Snowflakeは、データのレジリエンスの重要性を理解しています。組み込みのフォールトトレランス機能とデータレプリケーション機能により、ハードウェア障害時でも継続的にデータにアクセスできます。データは、同じリージョン内の異なるアベイラビリティゾーンに自動的に複製されます。問題が発生した場合、システムは自動的に別のゾーンにフェイルオーバーし、ダウンタイムを最小限に抑えます。 

Snowflakeは、高度なアカウントレプリケーションおよびフェイルオーバー機能も提供しています（ビジネスクリティカルエディションとエンタープライズエディションで利用可能）。これらの機能により、お客様はデータベースやメタデータを含むSnowflakeアカウント全体を異なるリージョンの別のアカウントに複製し、完全なディザスタリカバリソリューションを実現できます。レプリケーションは構成可能なため、お客様は必要に応じてデータを特定の時点にリカバリできます。業界をリードするセキュリティ機能と堅牢なディザスタリカバリオプションを組み合わせることで、Snowflakeは機密金融データを保護するための包括的なソリューションを提供します。

サードパーティモニタリング：Snowflakeには確立されたベンダーリスク評価プログラムがあり、年1回、およびアドホックベースでサブプロセッサーの運用レジリエンスを評価します。Snowflakeのお客様は、上記のリンクから新しいサブプロセッサーに関する事前通知を受け取ることができます。 

プロアクティブセキュリティ：Snowflakeは頻繁に脆弱性スキャンを実施し、サードパーティのセキュリティ企業にプラットフォームのペネトレーションテストを依頼しています。また、一般的なセキュリティインシデントおよびイベント管理（SIEM）システムと統合されているため、Snowflakeのお客様はセキュリティモニタリングを一元化し、不審な活動のアラートを受け取ることができます。セキュリティインシデントが発生した場合、Snowflakeは、インシデントの性質と結果、それを緩和するために講じられた措置、および調査のステータスに関するタイムリーな情報を、Snowflakeのセキュリティ添付資料に従ってお客様に提供します。

* * * 

Snowflakeの機能を活用することで、FEはDORAの要件をナビゲートする強力なパートナーを得て、より安全で信頼性の高い財務環境を構築できるようになります。 

コミットメントの詳細については、Snowflakeにお問い合わせいただくか、Snowflakeアカウントチームに直接お問い合わせください。ガイダンス資料にいち早くアクセスできます。

This blog post is provided for informational purposes only, with the understanding that it shall not create any legally binding representations or other obligations on Snowflake or constitute legal advice.Snowflake serves a variety of Customers with organization-specific deployment models and regulatory compliance demands, and you are responsible for making your own independent assessment of the information contained herein and ensuring your own compliance with all applicable laws and regulations.You should consult with your legal advisors for any requirements associated with the compliance posture of your organization.Snowflake may update the information provided in this document from time to time without notice.