金融機関のITインフラストラクチャにおけるサイバー規制のギャップを埋めるための5つのステップ

執筆者：Aaron Severance

2025年1月は、金融サービス業界におけるサイバー規制コンプライアンスにとって重要な転換点となることが予測されています。

その時、欧州連合はデジタル運用レジリエンス法（DORA）の施行を開始し、銀行や金融機関の情報通信技術（ICT）システム、およびそれらを支援する第三者サービス提供者のICTシステムが、包括的なサイバーセキュリティ規則に従う初めての事例となります。

EUでビジネスを行っていない組織であっても、DORAの施行がどのように進行するかを注視し、新たなサイバーレジリエンシー規則に備えています。

プロアクティブなコンプライアンス戦略への移行

規制環境が常に変化する中で、同僚と私は、企業がICT関連の脅威や混乱に備え、対策を講じ、耐え抜き、回復するためのサイバー規制対応アプローチを開発し、規制当局の期待にも応えられるよう支援しています。

ここでは、金融機関のITインフラストラクチャーにおけるサイバー規制のギャップを埋めることができる戦略の重要なステップ5つをご紹介します。

1. 規制の枠組みを理解する

ITインフラにおけるギャップを探す前に、リスク部門とコンプライアンス部門と連携し、各規制が組織にどのような影響を与えるか、また法務チームがその規則をどのように解釈するかを理解することが重要です。

2023年7月に採択された米国証券取引委員会（SEC）の規則を考慮すると、登録企業は「重要なサイバーセキュリティインシデント」を、組織がそのインシデントが重要であると判断した日から4日以内に報告することが求められています。¹規制の変更では「重要」の定義が提供されておらず、各企業の法務チームがその用語を定義し、IT部門が必要に応じてインシデントを報告するために使用できる適切なフレームワークを作成することが求められています。

一方、DORAやネットワーク情報セキュリティ指令（NIS 2）²のような規制は、貴社のビジネスを支援する企業にも適用されます。そのため、利用しているサードパーティの技術提供者も規制について認識し、規則がそのサービス提供にどのように影響するかを理解している必要があります。プロバイダーのICTシステムへの違反に対して貴社が全責任を負うのか、それともリスクを共有するのかを必ず明確にしましょう。

2. 規制とお客様のインフラストラクチャー間のギャップをマッピングしてください

次に、ギャップ評価を実施して、現在のIT展開が特定された規制管理にどれだけ近づいているかを判断する必要があります。そのギャップは、単一のデータ処理プロセスのように狭い場合もあれば、すべての重要なビジネスシステムにわたるガバナンスの必要性を含むこともあります。

キプロスに本社を構える大手銀行が、ICTビジネス継続性ポリシーおよび対応・回復計画を見直した際、DORAの包括的なテスト、危機管理要件に完全に準拠していないことが判明しました。この部分的なコンプライアンスが放置されていた場合、銀行の混乱やサイバー攻撃から迅速に回復する能力に影響を与えることになったでしょう。

3. リスク緩和計画を作成して実行する

ギャップ評価で特定された非コンプライアンスの領域は、リスク軽減計画のためのパラメーターを提供します。新しい技術に大規模に投資してインフラのギャップを埋める前に、既存のセキュリティや回復能力を強化する方法や、レガシー環境を近代化することを検討することが重要です。

ギャップ評価の際、ギリシャに本社を構える生命保険会社は、その検出メカニズムがDORA基準に完全に適合していないことを発見し、その結果、データ漏洩、業務の中断、規制違反に対して脆弱であることが判明しました。私たちは、これらの領域を強化するために、複数の層によるコントロールを実装し、定期的なテストプロトコルを確立することを推奨しました。

テクノロジー製品における既知のギャップや、制御要件を満たしつつ IT 環境の別の変更セットを通じて軽減できるリスクなど、一部のリスクは許容可能であることを心に留めてください。すべての変更に対してコスト分析を行い、重大度に基づいて緩和策に優先順位を付けてください。

リスク軽減計画を実行した後、出力を確認し、各ビジネスオーナーと共に、実施した修正が特定されたコントロールの基準を満たしていることを確認しましょう。新たなギャップや軽減の失敗が発見された場合は、ステップ2と3を繰り返す必要があります。

4. 資格のあるセキュリティ評価者を雇用して、コンプライアンスを確認する

審査中の規制がコンプライアンスの正式な証明を要求する場合は、資格を持つセキュリティ評価者を雇用しなければなりません。評価者は正式な監査を実施し、コンプライアンスを証明するための証明書を作成し、適切な規制機関と共有します。

ギャップ評価中に見つかった問題を徹底的に分析し修正したと仮定すると、プロセスは順調に進むはずです。しかし、ギャップが残っている場合や、選択した緩和策が新たな問題を引き起こす場合は、環境が認証される前にギャップを解消する必要があります。

5. 規則に従って概説されたレビュー

各規制は、証明期間を定義し、定められた間隔で監査の再認証を要求します。再認証は、厳格な変更管理を維持し、構造的なガバナンス、リスク、コンプライアンスプログラムを実施し、ICTインフラの定期的なコンプライアンス評価を行うことで、より円滑に進めることができます。

急速に進化する規制環境

潜在的なITギャップに積極的に対処し、サイバー規制準備の原則を取り入れることで、運営のセキュリティを確保し、将来の規制変更に対応できるレジリエンスを構築することができます。

Aaron Severanceは、キンドリルのセキュリティおよびレジリエンシーチームのマネージングディレクター兼カスタマーテクノロジーアドバイザーです。

¹ サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示、米国証券取引委員会、2023年7月

² EU全体でのサイバーセキュリティの高い共通レベルのための措置に関する指令（NIS2指令）、欧州委員会、2024年8月