2026 年のクラウドネイティブバンキングは DORA 監査フェーズにあります。規則(EU)2022/2554 ⧉は 2025 年 1 月 17 日に発効しています。第 28-44 条に基づく重要第三者プロバイダー(CTPP)指定制度は 2025-2026 年を通じて開始されており、AWS、Microsoft(Azure)、Google(GCP)、Salesforce が指定境界の内側または近傍に位置します。欧州監督機関(EBA、EIOPA、ESMA)は 2024 年に情報レジスター ⧉に関する最終 RTS および ITS を公表しました。ECB 銀行監督チームは2026-28 年監督上の優先事項 ⧉の中で、クラウド障害への備えと脅威主導型ペネトレーションテストに関する明示的なプログラムを持っています。機関の問いは、クラウド戦略を DORA に整合させるか否か(これは決着済み)ではなく、機関のプラットフォームエンジニアリングのプリミティブが、試験前週に組み立てる PDF ではなく、デプロイパイプラインの速度でエビデンスを産出するかどうかです。
エグゼクティブサマリー / 主要なポイント
- DORA クラウドレジリエンスは 2025 年 1 月 17 日以降、執行段階にあります。 第 6、8、18、26 条および第 28-44 条はすべて発効済み。第 1 波の試験における監督所見は 2025 年第 4 四半期に届きました。「準備」の枠組みはサイクルで 2 周遅れです。
- CTPP 指定制度が開始中。 AWS、Microsoft、Google、Salesforce はいずれも内側または近傍。指定により ESAs は情報請求、立入検査、監督上の勧告を含む直接の監督権限を獲得します。
- プラットフォームエンジニアリングが成果物。 Kubernetes ペイブドロード(EKS / AKS / GKE / OpenShift)、Backstage 型の開発者ポータル、GitOps(ArgoCD または Flux)、アドミッションでの Open Policy Agent、エンドツーエンドの OpenTelemetry。指定された 5 つのプリミティブ。欠けているものはすべて所見の対象です。
- ソブリンクラウドはエンジニアリングであってブランディングではない。 AWS European Sovereign Cloud、Microsoft EU Data Boundary、Bleu(Capgemini + Orange + Microsoft)、Thales / S3NS、Oracle EU Sovereign Cloud — それぞれが Schrems II + DORA 第 28 条の個別の側面に対応します。いずれもターンキーの回答ではありません。
- テスト済み出口エビデンスが必須。 EBA/GL/2019/02 第 81 項および第 113-117 項。四半期ごとの机上演習は不十分。監督当局はすべての重要または重要性のある機能について年次のエンドツーエンドの出口実行テストを期待します。
- CIF インベントリ由来の RTO / RPO。 Tier 1:2h / 15min。Tier 2:4h / 1h。Tier 3:24h / 4h。事業影響分析から導出され、プラットフォームチームの能力からではありません。
DORA クラウドレジリエンスが監査フェーズにある理由 #
2026 年において「準備」という枠組みが誤っている理由は 3 つあります。
第一に、タイムライン。 DORA は 2022 年 12 月に公表されました。24 か月の適用期間は 2025 年 1 月 17 日に終了しました。ESAs の最終 RTS と ITS(CTPP 指定に使用される情報レジスターの ITS を含む)は 2024 年を通じて公表されました。第 1 波の監督検査は 2025 年を通じて実施され、第 6 条の ICT リスク管理フレームワークの完全性と第 8 条のレジスター照合に関する所見が 2025 年第 4 四半期に複数の Tier 1 機関に届きました。
第二に、CTPP 指定制度。 第 31 条は重要第三者プロバイダーとしての指定基準を定めています:障害発生時のシステミックな影響、提供サービスの重要性、サービスの規模と複雑性、代替可能性。ESAs はレジスターを管理し、指定決定を公表します。AWS、Microsoft(Azure)、Google(GCP)、Salesforce は加盟国別の金融サービス市場シェアに応じて、指定境界の内側または近傍にあります。指定により主任監督者(プロバイダーごとに割り当てられた ESAs のいずれか)は直接の監督権限を獲得します:第 37 条に基づく情報請求、第 38 条に基づく立入検査、第 35 条に基づく勧告、第 41 条に基づく公開開示制度。それらの CTPP を利用する監督対象銀行は、その指定された依存関係をどう管理するかについて、対応する監督上の期待の対象となります。
第三に、ECB の 2026-28 年監督上の優先事項。 優先事項文書は、クラウドネイティブバンキングに直接影響する 2 つの明示的なプログラムを挙げています:大規模クラウドサービス障害への備え(モデル化された監督シナリオが、指定 CTPP の持続的停止を機関が吸収できるかをテスト)と、TIBER-EU 準拠の TLPT(各 TIBER-EU 演習は機関の重要および重要性のある機能をスコープに含み、これは公的クラウドホスティングサービスを含むようになりました)。2026 年の試験波は両者について所見を産出します。
2026 年の枠組みは「DORA が来る」ではなく、「DORA 試験所見が機関のメールボックスに届きつつあり、2024-2025 年に下したプラットフォームエンジニアリングの判断こそ、その所見の中で監督当局が精査する対象です」というものです。
2026 年指標のアーキテクチャ #
| 指標レイヤー | 「Ready」の状態 | 準備度メトリクス | 失敗モード |
|---|---|---|---|
| プラットフォーム成熟度 | ワークロードの 80% 超がペイブドロード化された Kubernetes プラットフォーム(EKS / AKS / GKE / OpenShift)上で稼働し、ポリシー・アズ・コードによるアドミッション、GitOps デプロイ、自動 DR テストを備える | ペイブドロードプラットフォーム上の CIF の割合、シャドーデプロイ数、新規サービスのプラットフォームオンボーディングまでの平均時間 | 一貫しない統制を持つシャドープラットフォーム、第 8 条レジスター照合から不可視な未舗装インフラ上で稼働する CIF |
| 第 8 条レジスターの完全性 | 情報レジスターがプラットフォームの第三者 API 消費 + クラウド部品表に自動照合され、重要度分類が機関の CIF インベントリと一致 | プラットフォームテレメトリと照合済みのレジスターエントリの割合、孤立エントリ数、CTPP 境界の完全性チェック | ESAs が機関が第 8 条で開示しなかった指定 CTPP 依存関係を特定。個別所見と CTPP 境界上の帰結 |
| クラウド集中 | 重要機能がクラウドプロバイダー、サブクラウドリージョン、サービス、代替可能性評価にマッピングされ、CIF を横断する相関エクスポージャが定量化されている | CIF ごとの集中スコア、指定 CTPP リージョンを共有する CIF 間の相関エクスポージャ | AWS us-east-1 の単一の IAM 障害が、機関が独立してリソース化したと考えていた 4 つの CIF を停止させる |
| テスト済み出口能力 | 指定 CTPP に依存するすべての CIF について年次のエンドツーエンド出口実行テストを実施し、文書化された RTO / RPO が BIA 由来の目標を満たし、データポータビリティ経路がテスト済み | CIF ごとのテスト合格率、平均出口実行時間と RTO 目標との対比、データポータビリティ経路のレイテンシ | PDF としてのみ存在する出口計画、机上演習では RTO 4h なのに実テストでは初回 48h |
| 可観測性 + インシデント報告 | サービスを横断するエンドツーエンドの OpenTelemetry トレース、第 18 条の 4 時間分類ヘルパーがインシデント管理プラットフォームに自動連携 | OTel トレースでカバーされる CIF トラフィックの割合、インシデント検知から第 18 条分類決定までの平均時間 | 重要度判定にトリアージ会議が必要で、4 時間枠の外で分類された重大インシデント。第 18 条所見 |
| TLPT 統合 | TLPT スコープが CIF インベントリから導出され、継続的に更新される。所見がプラットフォームのポリシー・アズ・コードにフィードバックされ、クローズされた所見が監督対応エビデンスパケットを産出 | TLPT 所見のクローズ率、所見からポリシー更新までのサイクルタイム | TLPT が機関のプラットフォームエンジニアリングチームが 2 リリースサイクル未満では修正できない脆弱性を発見 |
追跡すべき現在のシグナル #
| シグナル | 銀行にとっての意味 | 出典 |
|---|---|---|
| 2025 年 1 月 17 日以降 DORA が執行段階 | 第 1 波の監督所見は 2025 年第 4 四半期に到着。第 2 波の所見は 2026 年下半期を通じて見込まれる | EUR-Lex ⧉ |
| CTPP 指定が 2025-2026 年を通じて開始 | AWS、Microsoft、Google、Salesforce が境界内または近傍。指定により ESAs は直接の監督権限を獲得 | EBA ⧉ |
| ECB の 2026-28 年監督上の優先事項がクラウド障害を明示 | モデル化された監督シナリオが、持続的な指定 CTPP 停止を吸収する能力をテスト | ECB 銀行監督 ⧉ |
| TIBER-EU が DORA 第 26 条に整合 | TLPT スコープはクラウドホスティングサービスを含む重要 / 重要性のある機能をカバー | ECB TIBER-EU ⧉ |
| EBA アウトソーシングガイドライン(EBA/GL/2019/02)が DORA 第 28 条と連動 | 実質的存在(第 64 項)、代替可能性評価(第 81 項)、出口戦略(第 113-117 項) — 監督当局が実際にテストする項目 | EBA ⧉ |
| EU クラウドサービススキーム(EUCS)ドラフトが進行中 | EU サイバーセキュリティ法に基づく将来のソブリンクラウド認証スキーム。ENISA がドラフトを公表 | ENISA EUCS ⧉ |
プラットフォームエンジニアリング:指定された 5 つのプリミティブ #
2026 年のクラウドネイティブ成熟度は、デプロイパイプラインの速度で監督エビデンスを産出するために連動する 5 つのエンジニアリングプリミティブに帰着します。いずれか 1 つでも欠ければ、いずれ所見となります。
1. Kubernetes ベースのペイブドロード #
すべての CIF はマネージドな Kubernetes プラットフォーム上で稼働します — 指定 CTPP 上の EKS、AKS、GKE、OpenShift、もしくはベンダー管理の代替品。プラットフォームチームは制御された逸脱を伴う単一ゴールデンクラスタパターンを運用します:文書化されたベースイメージからのノード、チーム単位のネームスペース分離、Pod Security Standards Restricted プロファイル、ネットワークポリシー、サービス間認証と可観測性のためのサービスメッシュ注入(Istio または Linkerd)。新規サービスは、第 8 条レジスターエントリをデプロイ成果物として産出するテンプレート化されたオンボーディングワークフローを通じてペイブドロードに参加します。
2. Backstage 型の開発者ポータル #
中央の開発者ポータル — Spotify のオープンソースBackstage ⧉がリファレンス実装で、各種エンタープライズ代替品があります — が、何がどこで稼働しているかの記録システムを提供します。カタログは全サービス、オーナー、依存関係、重要度分類、ランブック、オンコールローテーションを列挙します。ポータルは第 8 条レジスターと連動します:すべてのカタログエントリはレジスターエントリにマッピングされ、レジスター参照のないエントリは CI 失敗をトリガーし、カタログに存在しないレジスターエントリは監督当局より先回りするアラートをトリガーします。
3. ArgoCD または Flux による GitOps デプロイ #
本番デプロイは GitOps コントローラー(2026 年の本番標準は ArgoCD または Flux)を通じて行われ、Git でバージョン管理された宣言的状態を稼働クラスタに照合します。手動の kubectl apply は無効化されており、本番への唯一の経路はマージされたプルリクエストです。Git リポジトリが監査ログであり、「日付 Y におけるサービス X の構成を見せてほしい」と問う監督当局は、スクリーンショットではなく Git タグを得ます。
4. アドミッションでの Open Policy Agent #
Open Policy Agent(OPA)はクラスタアドミッションチェーンに位置し、プラットフォームポリシーを強制します:Pod Security プロファイル準拠、イメージの来歴、リソース制限、ネットワークポリシーの存在、重要度ティアに応じたレプリケーション、ソブリンクラウド制約下でのサブリージョン配置。ポリシーは Git でバージョン管理され、サービス構成と並んで変更管理されます。拒否されたデプロイは、変更管理エビデンスパケットに供給されるレビュー可能な根拠を産出します。
5. エンドツーエンドの OpenTelemetry #
すべてのサービスは OpenTelemetry のトレース、メトリクス、ログを発行します。プラットフォームチームは中央集権的な可観測性パイプライン(典型的にはトレース用に Tempo または Jaeger、メトリクス用に Prometheus、ログ用に Loki または OpenSearch)を運用し、エンドツーエンドの CIF ヘルス、依存関係マッピング、インシデント分類入力を可視化します。第 18 条の 4 時間分類ウィンドウは検知から始まります。OTel パイプラインは検知から分類までの経路を、トリアージ会議ではなくクエリ可能なルックアップに短縮します。
エンジニアリングとしてのソブリンクラウド、ブランディングではなく #
2026 年のソブリンクラウド戦略は、Schrems II + DORA + EBA アウトソーシングに関する 4 つの具体的な問いに答える必要があります:
- データはどこで処理・保存されるか。 EU 加盟国の所在地、高重要度フロー向けのサブリージョン、書面でのデータレジデンシーコミットメント。
- 誰がデータへの法的アクセスを持つか。 現地従業員のみの運用、外国政府のアクセス要請は現地裁判所手続きの対象、合法的アクセス要請への対応テスト済み。
- 代替可能性のプロファイルは何か。 EBA/GL/2019/02 第 81 項の代替可能性評価、出口実行テスト済み、代替プロバイダーが特定・契約済み(または実現不能な理由が文書化されている)。
- 技術的主権モデルは何か。 顧客制御の鍵、暗号学的分離、ソブリン管理プレーン、監査可能なサプライチェーン。
これらの問いに答える 2026 年のベンダー選択肢:
- AWS European Sovereign Cloud(2023 年発表、2026 年下半期 GA 予定):EU 居住者の AWS 子会社が運営する物理リージョン、EU 居住者の運用とサポート、KMS-XKS パターン経由の顧客制御鍵。DORA 第 28 条の契約条項整合は 2026 年に対応待ち。
- Microsoft EU Data Boundary(2024 年 GA)+ Bleu(Capgemini + Orange + Microsoft、フランス限定):Data Boundary は EU の顧客データを EU リージョン内に保持。Bleu は SecNumCloud 準拠のフランスソブリンクラウドで、Microsoft Azure スタックをフランスの運用統制下で稼働。
- Google Cloud のソブリンパートナーシップ:フランスでは Thales / S3NS(Bleu 相当)、ドイツでは T-Systems。
- Oracle EU Sovereign Cloud(2023 年 GA):デュアルリージョンパターン(フランクフルト + マドリード)、EU 居住者の運用、Schrems II に明確に準拠。
- Gaia-X 準拠プロバイダー(OVHcloud、Scaleway、Stackit、Aruba Cloud、IONOS):Gaia-X ラベリングを持つネイティブ EU プロバイダー。ハイパースケーラーより規模とエコシステムは小さいが、外国情報監視法エクスポージャはなし。
戦略的な判断が二者択一になることはまれです。Tier 1 銀行は典型的に、ワークロードの大部分にハイパースケーラー + Data Boundary 構成を、指定の高機密フロー(例:EU 居住者の個人データを扱う AML / 制裁ケース管理システム)にはソブリンクラウドの選択肢を運用し、DORA 第 28 条に基づき年次でテストされたコンティンジェンシー代替可能性経路を持ちます。
テスト済みの出口実行 #
EBA/GL/2019/02 ⧉の第 113-117 項が出口戦略条項です。要求事項は明示的です:「機関および決済機関は、事業活動への不当な混乱なしにアウトソーシング契約から退出できることを確保するべきである……出口戦略はまた、アウトソーシング契約の定期的レビューの一環として、文書化およびテストされるべきである。」
2026 年の監督上の期待は、指定 CTPP に依存するすべての CIF について年次のエンドツーエンド出口実行テストです。机上演習と文書レビューでは不十分です。テストは以下を産出する必要があります:
- 復旧時間 計測:出口宣言から代替プロバイダー上のワークロード復旧までの実経過時間を、BIA 由来の RTO 目標と対比。
- データポータビリティ・エビデンス:プライマリからのデータエクスポートをテストし、宛先プロバイダーのインポート経路に対して検証し、照合エビデンスを伴うもの。
- 機能的等価性:代替プロバイダー上で同等の SLO で稼働するテスト済みワークロード。
- コスト・エビデンス:文書化された出口実行コストと、機関のコンティンジェンシー計画における復旧コスト想定との対比。
CIF のエンドツーエンド出口テストの初回試行は、典型的に文書化された RTO と実際の RTO の間に 5-10 倍のギャップを示します。そのギャップを埋めるのは数か月を要するエンジニアリング作業です。自前の年次テストサイクルではなく監督検査でそれを発見する銀行は、回避可能だった第 3 四半期の所見サイクルに直面します。
CIF インベントリ由来の RTO / RPO 目標 #
各重要または重要性のある機能は、機関の事業影響分析から導出されるティア分類にマッピングされます。ティアがプラットフォームエンジニアリングチームの提供コミットメントである RTO と RPO 目標を駆動します。
| ティア | 例 | RTO | RPO |
|---|---|---|---|
| Tier 1(ミッションクリティカル) | RTGS 接続性(CHAPS / T2 / Fedwire)、リテール決済承認、デジタルチャネル向け顧客認証 | 2 時間 | 15 分 |
| Tier 2(クリティカル) | AML / 制裁スクリーニング、不正検知パイプライン、ATM 承認、バッチ決済処理 | 4 時間 | 1 時間 |
| Tier 3(重要) | 報告および規制提出、顧客向けナレッジベース、社内コラボレーションプラットフォーム | 24 時間 | 4 時間 |
| Tier 4(非クリティカル) | 社内 HR システム、マーケティングツール、非顧客向け報告 | 72 時間 | 24 時間 |
これらの数値は例示であり、機関の BIA が自前のものを産出します。プラットフォームエンジニアリングの成果物は、BIA 由来の目標を満たすリグレッションテスト済みの能力であり、サービスごとの自動 DR テストでエビデンス化され、CTPP 依存 CIF について年次の出口実行テストで検証されます。
銀行タイプ別の意味 #
グローバルなシステム上重要な銀行 #
難題は事業ライン横断のスケールです:数千のサービス、数百の CIF、製品・法域・レジリエンスプロファイルを横断する複数の指定 CTPP エクスポージャ。投資先は中央のプラットフォームエンジニアリング能力 — Kubernetes ペイブドロード、Backstage ポータル、GitOps、OPA、OTel — であり、これが第 8 条レジスター照合、CTPP 集中マップ、CIF 単位の出口実行能力を事業ラインごとの個別構築なしに産出します。
ユニバーサルバンクおよび中規模銀行 #
このティアでもプラットフォームエンジニアリングの投資は正当化されますが、スコープは限定的です:最も重要度の高い 2-3 個の CIF を選び、その周辺にペイブドロードパターンを構築し、レガシー資産は中期的に既存の統制で継続することを受け入れます。プラットフォームの広さよりも監督上のポジショニングが重要です — DORA 第 8 条レジスターの完全性とトップ 3 CIF のテスト済み出口をエビデンス化できれば、監督当局の主要な懸念をカバーできます。
地方銀行および小規模銀行 #
内製ではなくベンダー選定。Kubernetes ネイティブなアーキテクチャが文書化されており、第 8 条レジスター統合が組み込まれており、DORA 第 28 条の契約条項コミットメントが明確なバンキングプラットフォームベンダーを選びます。内製のエンジニアリング能力は構成、監視、インシデント対応の周辺であり、プラットフォーム構築ではありません。
銀行向けに提供するフィンテック、PSP、SaaS プロバイダー #
2026 年に EU 銀行に販売するベンダーへのプロダクト上の問いは、銀行のコンプライアンス部門が必要とする第 8 条レジスターエントリと DORA 第 28 条契約条項を、そのプラットフォームが産出するかどうかです。構造化された出力を持つベンダーがエンタープライズ案件を獲得し、PDF テンプレートのベンダーは構造化 JSON の競合に敗れます。
結論 #
DORA クラウドレジリエンスは監査フェーズにあります。2024-2025 年に下したプラットフォームエンジニアリングの判断こそ、2026 年の監督サイクルが精査する対象です。2026-2028 年に ECB と EBA に対して信頼性のある立場に映る機関は、Kubernetes ペイブドロードと Backstage 型ポータル、GitOps デプロイ、Open Policy Agent アドミッション、エンドツーエンドの OpenTelemetry を運用する機関であり、第 8 条レジスターエビデンスをデプロイ成果物として、テスト済み出口実行エビデンスを監督上の要請への対応ではなく年次サイクルとして産出します。
その投資を行わなかった機関は、第 1 ラウンドの監督所見を第 2 ラウンドが到着する前に二線コンプライアンスチームが吸収できるかどうかを見極めることになります。
プラットフォームは他の運用プログラムと同様に計測してください:ペイブドロードカバレッジ、レジスター照合率、CTPP 集中スコア、テスト済み出口時間と RTO 目標との対比、第 18 条分類の平均時間、TLPT クローズ率。エビデンスはパイプラインの速度で、文書一式は監督当局が要請したときのみ。
よくある質問 #
2026 年でも DORA クラウドレジリエンスは準備フェーズですか。
いいえ。DORA は 2025 年 1 月 17 日以降、執行段階にあります。第 28-44 条に基づく CTPP 指定制度は 2025-2026 年を通じて開始されています。第 6 条 ICT リスク管理と第 8 条レジスター完全性に関する ECB 試験所見は、2025 年第 4 四半期に複数の Tier 1 機関に届きました。2026 年の監督上の問いは、規制対応の準備度ではなく、機関固有の試験エビデンスです。
どのクラウドプロバイダーが CTPP に指定されていますか。
ESAs はウェブサイトで指定決定を公表しています。2026 年に境界内または近傍にある機関には、AWS、Microsoft(Azure)、Google(GCP)、Salesforce、および加盟国別の金融サービス市場シェアに応じたその他少数が含まれます。それらのプロバイダーを利用する監督対象銀行は、その依存関係をどう管理するかについて、対応する監督上の期待の対象となります。
ソブリンクラウドは DORA 第 28 条契約条項の必要性をなくしますか。
いいえ。ソブリンクラウドは Schrems II + データレジデンシーの側面に対応します。DORA 第 28 条契約条項は、データがどこにあるかにかかわらず適用される別個の義務です。ソブリンクラウドプロバイダーの契約も、第 28 条に基づくデータアクセシビリティ、セキュリティ、レジデンシー、監査権、出口戦略、継続性をカバーする必要があります。
DORA クラウドレジリエンスを示すエンジニアリング上の成果物は何ですか。
連動する 5 つのプラットフォームエンジニアリングプリミティブ:Kubernetes ペイブドロード(ポリシー制御された逸脱を持つマネージドクラスタ)、Backstage 型開発者ポータル(第 8 条レジスターに照合するカタログ)、GitOps デプロイ(ArgoCD または Flux)、アドミッションでの Open Policy Agent、エンドツーエンドの OpenTelemetry。試験時ではなくパイプラインの速度でのエビデンス。
出口実行はどれくらいの頻度でテストする必要がありますか。
指定 CTPP に依存する CIF ごとに年次のエンドツーエンドの出口実行テスト。机上演習と文書レビューでは不十分です。テストは復旧時間、データポータビリティ・エビデンス、機能的等価性、コスト・エビデンスを産出する必要があり、BIA 由来の RTO および RPO 目標に対して計測されます。
参考文献 #
- European Union, (2022). 規則(EU)2022/2554 — デジタル運用レジリエンス法(DORA) ⧉.
- European Banking Authority, (2019). EBA/GL/2019/02 — アウトソーシング契約に関するガイドライン ⧉.
- European Banking Authority, (2026). デジタル運用レジリエンス法 ⧉.
- European Supervisory Authorities, (2024). DORA に基づく情報レジスター ITS 最終報告書 ⧉.
- ECB Banking Supervision, (2025). 監督上の優先事項 2026-28 ⧉.
- European Central Bank, (2024). TIBER-EU フレームワーク ⧉.
- ENISA, (2024). クラウドサービス向け EU サイバーセキュリティスキーム(EUCS) ⧉.
- Spotify, (2020-2024). Backstage 開発者ポータル ⧉.
- Cloud Native Computing Foundation, (2018). Open Policy Agent(OPA) ⧉.
- Cloud Native Computing Foundation, (2019). OpenTelemetry ⧉.
最終レビュー 。
最終確認日 .