デジタルオペレーションレジリエンス法（DORA）：個人責任を問われる可能性

2025年1月17日、デジタルオペレーションレジリエンス法（DORA）が施行されました。このEU規制は、銀行、投資会社、保険会社などの金融機関に対し、IT部門のセキュリティポリシーと監視体制を強化することを目的としています。しかし、DORAの新たな側面として注目すべきは、DORAに準拠していない場合、組織の役員や取締役はリスク管理の失敗について個人責任を問われる可能性があることです。

サイバー攻撃がますます頻繁に、そして高度化するにつれて、テクノロジーに大きく依存している金融機関は、データを保護する準備をする必要があります。企業が事業継続性を維持しながら、コンプライアンスを遵守し、顧客からの信頼を得るためには、常にプロアクティブなIT部門であることが不可欠です。

DORAが金融機関にもたらす課題

組織がこの法律の重要性を理解し、順守する意思がある場合でも、DORAコンプライアンスにはいくつかの課題があります。たとえば、コンサルティング会社PwCは、DORAの施行準備において、企業が直面する可能性のある最大の課題の1つとして、運用のレジリエンスを挙げています。PwCは、DORAコンプライアンスを達成するには、チェックリストだけでは不十分であり、部門を超えて協力し、脅威に受動的に対応するのではなく、プロアクティブに準備していくという文化的な変革が必要になると指摘しています。開発者は、数十から数百の依存関係を持つ可視性ソフトウェアを使用しており、それがさらに他のソフトウェア依存関係を持つ可能性があります。多くの場合、そのソフトウェアはインターネットから取得されるため、不明な点が増えます。監査が発生した場合、依存関係が安全であることを前提に、コンプライアンスのための証跡を確立することは困難な場合があります。

もう1つの課題は、クラウドネイティブ環境とハイブリッド環境全体で、多様なシステムを管理することの複雑さです。環境が多様であればあるほど、攻撃対象領域は広くなります。さまざまなハードウェアとソフトウェアがある場合、の維持、パッチの適用、セキュリティAPIの統合、監査ログの保持、そしてアクティビティの監視などが難しい場合があります。

さらに、企業はDORAの追加により、非常に多くの規制を順守するのに苦労する可能性があります。DORAの規定に加えて、金融会社は、欧州銀行監督機構（EBA）、欧州保険企業年金監督機構（EIOPA）、欧州証券市場監督機構（ESMA）だけでなく、一般データ保護規則（GDPR）も順守する必要があります。企業は、複数の統治組織からの規制を順守するために、使いやすい堅牢なセキュリティ機能を備えたソフトウェアを必要としています。

コンプライアンス対策を、SUSEソリューションでシンプルに

SUSEのソリューションは、DORAのような新しい規制にも、既存の法律にも、将来の法律にも、柔軟に対応し、お客様のコンプライアンス管理を容易にします。SUSEが提供する幅広い製品群を活用することで、お客様は現在だけでなく将来にわたって、安心してコンプライアンスとセキュリティを確保できます: 

• 統合管理およびセキュリティツールを提供するSUSE Rancher Prime。このソリューションは、集中認証、アクセス制御、SLSAコンプライアンス、およびインフラストラクチャ全体の可視性を提供し、DORAのITセキュリティテスト基準への適合を支援します。
• SUSE Cloud Observabilityは、Kubernetesインフラストラクチャを詳細に可視化し、プロアクティブな監視、コスト最適化、異常検知を可能にします。リアルタイムのメトリクス、ログ、トレースにより、コンプライアンスの維持、パフォーマンスの最適化、ビジネスに影響を与える前の問題の迅速な診断を支援します。
• SUSE Application Collectionは、Kubernetes環境で安心して使える厳選されたアプリケーション集です。最新のセキュリティとコンプライアンスに対応しており、チーム間の連携を強化し、開発効率を向上させます。
• K3sやエンタープライズグレードのRKE2などの軽量Kubernetesディストリビューションによるハイブリッドクラウドおよびエッジ環境のサポート。SUSEサポートには、攻撃が発生する前に企業を安全に保つためのプロアクティブなパッチ適用が含まれています。
• SUSE Linux Microは、システムの安定性を高め、万が一の事態にも素早く復旧できるようにします。この軽量なソフトウェアは、システムを止めずにセキュリティ更新を適用できる機能や、最高レベルのセキュリティ認証に対応した仕組みを備えています。
• SUSE Securityは、コンテナとKubernetes環境のライフサイクル全体を保護します。常に最新のセキュリティ情報が自動で提供されるため、自分でアップデートする必要はありません。

システム刷新でセキュリティ向上！OLB銀行のSUSE活用術

SUSEの技術は、金融業界のセキュリティ強化に実際に役立っています。例えば、ドイツにあるOLB銀行は、66万人以上のお客さま、そして250億ユーロもの資産を扱う大きな銀行です。このOLB銀行は、より迅速な成長を遂げ、お客さまにもっと便利なインターネットバンキングを提供するために、古いシステムをSUSEの技術で新しくすることに決めました。

お客さまにより良いサービスを提供して、他行との競争に勝つために、OLB銀行はいくつかの目標を立てました。

• 手作業によるITワークロードの削減
• ハードウェアとインストールコストを排除し、統合環境を即座に拡張
• クラウドならではの便利な機能を使えるようにして、OLB銀行の技術レベルを強化
• DORAに備えて会社を安全に保ち、サイバー攻撃が発生した場合の個人責任を回避する

これらの目標を達成するために、OLBはSUSE Rancher Prime、SUSE Linux Enterprise Server、およびSUSE Securityを実装しました。その結果、銀行はデプロイメントプロセスを大幅に効率化し、ITチームは、環境構築の速度を99.5%向上させました。SUSEの新コンテナ導入で、140名の採用・移行プロセスを改善。同時に、相互運用性と役割ベース管理によってセキュリティも強化。

OLBのITディレクター、Tim Westphal氏は次のように話します。
「欧州の規制基準は、堅牢な出口戦略を義務付けており、マルチベンダークラウド戦略を推進しています。SUSE Rancher Primeは、プロバイダーを迅速に切り替える柔軟性を提供することで、この重要な要件に対応しています」

DORAおよびそれ以降のセキュリティはSUSEで

デジタル金融分野の新しい規制「DORA」への対応、そして将来のビジネスに不可欠なセキュリティ強化のために、SUSEは信頼できるパートナーとなります。SUSEは、Kubernetes環境の長期サポート（最大5年間）を提供。さらに、DORAをはじめとする各種法規制、お客様独自のコンプライアンス要件にも柔軟に対応します。 SUSEのソリューションは、DORA準拠を容易にするだけでなく、お客様の組織全体のセキュリティを長期的に向上させます。これにより、（デジタルセキュリティに関する）担当者の個人的な責任リスクを軽減できます。 SUSEがどのようにお客様のコンプライアンスを支援できるのか、詳細については、ぜひ営業担当にお問い合わせください。個別の状況に合わせたソリューションをご提案します。セキュリティソリューションの詳細はWebサイトをご覧ください。