EU DORAにおける脅威ベースのペネトレーションテスト（TLPT）義務化の動向

はじめに

2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法（DORA）に基づく脅威ベースのペネトレーションテスト（TLPT）に関する規制技術基準（RTS）を公表しました¹。これにより、EU域内で事業展開する金融機関は、TLPTを実施することが法的義務となります。また、ICTサードパーティ・サービス・プロバイダーもTLPTに参画することが求められています。本稿では、国内の金融機関や関連組織に対して求められるTLPTに関する法規制の内容を解説し、今後のTLPT実施における推奨事項を提示します。

TLPTに関する規制技術基準（RTS）の位置付け

DORAのTLPTは、ハードロー（拘束力のある法規制）として位置付けられており、一定の基準を満たすEU域内で事業展開する金融機関は少なくとも3年に1度、TLPTを実施する必要があります。また、金融機関にとって重要なICTサービスプロバイダーもTLPTに参画することが義務付けられています。

今回公表されたTLPTに関する規制技術基準（RTS）は、DORAの第26条および第27条に基づくものであり、その設計思想は既存のThreat Intelligence-based Ethical Red Teaming（TIBER-EU）²を参考にしています。TIBER-EUは欧州中央銀行が策定したフレームワークであり、実際の攻撃シナリオを模した高度な侵入テストを行うことで金融機関の防御力を検証することを目的としています。DORAにおける規制技術基準（RTS）はTIBER-EUの考え方を法的枠組みとして制度化したものと言えます（図表1）。

図表1：DORAの主要な内容におけるTLPTに関する規制技術基準（RTS）の位置付け

TLPTの規制技術基準（RTS）の条文構成と注目ポイント

TLPTの規制技術基準（RTS）は、17個の条項で構成されており、付属書には8個の報告フォーマットが示されています（図表2）。

図表2：TLPTに関する規制技術基準（RTS）の条項

特に注目すべき点は、TLPTの要件が以下のとおり厳しく定められていることです。EUでは、こうした厳格なTLPTの実施を、将来のサイバー攻撃による被害を防ぐための必要な投資と捉えており、セキュリティ強化に積極的に取り組んでいます。

①TLPT関係者の役割が明確に定義されている（第1条）

②TLPTプロバイダーの選定時に、マネージャーやスタッフの経験やスキルに関する要件が詳細に定義されている（第7条）

③TLPTテスターとブルーチームの双方が参加する共同テスト（パープルチーム演習）についても要件化されている（第12条）

④当局への報告フォーマットが定義されている（付属書I～VIII）

それぞれの要件について、解説します。

①TLPT関係者の役割が明確に定義されている（第1条）

TLPTの規制技術基準（RTS）では、主にTLPT関係者として下表の7つの役割が定義されています（図表3）。それぞれの役割は独立することが求められており、条文では異なるレポートラインを確保するよう求めている箇所もあります。

図表3：TLPT関係者の役割定義

②TLPTプロバイダーの選定時に、マネージャーやスタッフの経験やスキルに関する要件が詳細に定義されている（第7条）

TLPTプロバイダーを選定する際には、マネージャーやスタッフの経験やスキルに関する要件が詳細に定義されています（図表4）。例えば、外部テスター（レッドチーム）にはペネトレーションテストやレッドチームテストの経験が5年以上あるマネージャーと、2年以上の経験を持つテスターが2名以上必要です。また、金融機関の業務内容や脆弱性分析についての知識、コミュニケーション能力なども求められ、文書として提出する必要があります。脅威インテリジェンスプロバイダーについても同様に、実務経験や専門知識が求められています。このようにDORAでは、信頼性が高く、倫理や利益相反（独立性）に厳格なTLPTプロバイダーを選定するための要件を定めています。

図表4：TLPTプロバイダー選定要件

③TLPTテスターとブルーチームの双方が参加する共同テスト（パープルチーム演習）についても要件化されている（第12条）

パープルチーム演習とは、テスターとブルーチームが共同で行うテスト活動です。TLPT後半のクロージャーフェーズにおいて、主に検出された脆弱性や未実施のシナリオを対象に、改善を目的として実施されます（図表5）。

図表5：TLPT実施プロセス

④当局への報告フォーマットが定義されている（付属書I～VIII）

TLPTの規制技術基準（RTS）では、付属書に各報告フォーマットに記載すべき項目が明記されています。報告フォーマットが定義されていることで、当局はTLPTが正しく実施されているか、重大な脆弱性に対する是正計画が検討されているかを客観的に確認することができます。

• 付属書I：プロジェクト憲章の内容
• 付属書II：スコープ仕様文書の内容
• 付属書III：脅威インテリジェンスレポートの内容
• 付属書IV：レッドチームテスト計画の内容
• 付属書V：レッドチームテスト報告の内容
• 付属書VI：ブルーチームテスト報告の内容
• 付属書VII：TLPT調査結果報告書の詳細
• 付属書VIII：TLPT実施証明書の詳細

EUと日本のTLPT制度比較

日本では、「金融分野におけるサイバーセキュリティに関するガイドライン」において、「対応が望ましい事項」として定期的にTLPTを実施することが推奨されています。しかし、「金融分野におけるITレジリエンスに関する分析レポート³」によると、予算内に収まるようにテストスコープを狭めている、脅威情報の調査・分析を省いている等のケースがあり、品質にばらつきが見られるのが実態です。一方で、EUのDORAのTLPTは、ハードローとして法的に義務化されており、要件が厳格に定められています（図表6）。EU域内でビジネスを展開する金融機関は、両者の差異を十分に理解しておく必要があります。また、将来的には日本でもEU並みの要件が検討される可能性も考えられるため、その動向に注視する必要があります。

図表6：TLPTに関するEUと日本の制度比較

まとめ：日本の金融機関への推奨事項

EU DORAのTLPT義務化は、金融機関がサイバー攻撃への備えを強化する上で重要な法規制です。EU域内で事業を展開する金融機関にとっては、DORAのTLPT義務化への対応はビジネス継続のためには避けられません。TLPTの規制技術基準（RTS）で定義された詳細な要件を把握し、実行可能なリソース（予算や体制など）を見積もり、経営層の理解を得る必要があります。国内のみで事業を行う金融機関も、将来の要件導入を見据えて、今のうちから基本的な考え方を理解しておくことが重要です。

①「EU域内で事業展開する日本の金融機関」への推奨事項

• DORAのTLPTの規制技術基準（RTS）の詳細を把握し、必要なリソース（予算や体制など）を見積もり、経営層の理解を得る
• ICTサービスプロバイダーもTLPTに関与することが求められるため、早期にコミュニケーションを行う
• TLPTプロバイダーの選定基準に基づき、信頼性が高い委託先候補への情報提供依頼（RFI）を行う

②「国内のみで事業展開する日本の金融機関」への推奨事項

• 将来的には日本でもEU並みの要件が検討される可能性も考えられるため、TLPTの規制技術基準（RTS）の概要を理解しておくこと。主なポイントは以下のとおり。
  • 企業で有する脅威インテリジェンスを活用すること
  • ブルーチームにTLPT実施の存在を知らせないこと
  • パープルチーム演習を実施すること
  • TLPTテスト結果を経営層や当局に報告すること
  • 信頼性が高く、倫理や利益相反（独立性）に厳格なTLPTプロバイダーに委託すること

PwCでは、EUをはじめとしたグローバル市場において、TLPTに関する豊富な支援実績を有しています。TLPTに求められる経験やスキルを持つ実務経験者が豊富に在籍しており、脅威動向と企業環境の分析に基づく現実的でリスク特性に適したシナリオ策定、パープルチームなどの高度な演習といった支援が可能であり、TLPT全体の計画から実施、フィードバックまで一貫した支援を提供できます。また日本国内においても、PwCコンサルティングは金融機関向けのTLPT実績が豊富にあり、TIBER-EUに準拠したサービスが提供可能です。ご関心のある方は、ぜひともお問い合わせください。

以上

¹ 欧州委員会,TLPTに関する規制技術基準（RTS）, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32025R1190&qid=1750243728125
² 欧州中央銀行,TIBER-EU, https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
³ 金融庁,金融分野におけるITレジリエンスに関する分析レポート,https://www.fsa.go.jp/news/r6/sonota/20250630-2/20250630.html