When Geopolitics Writes Your Compliance Roadmap
2026/04/17 SecurityBoulevard — サイバー政策は、現実のサイバーに遅れ続けてきた。侵害後に規制が定められ、失敗後にフレームワークが形成され、誰かが大きな損失を被った後に説明責任の構造が具現化してきた。NCC Group の Global Cyber Policy Radar 第 5 版が示唆するのは、ついに、このサイクルが変化し始めたことだ。ただし、政府が賢くなったわけではない。無視できないほど、リスクが拡大したからである。
このレポートが公開された時期は、コンプライアンス・プログラムの進歩の速度を上回る形で、地政学的な分断が規制環境を再編しているタイミングと重なる。この変革を駆動するのは、三つの要因である。具体的に言うと、デジタル主権によるグローバル・テクノロジー・スタックの分断/既存サイバー・フレームワークへの AI セキュリティ・ガバナンスの組み込み/理想から法的義務へと移行する取締役会レベルの説明責任である。それらは相互作用するものであり、組織における運用環境を再定義するものである。
主権トラップ
デジタル主権は意味が広範であるがゆえに、曖昧化するリスクを持つ概念となっている。この概念を用いることで各国の政府は、調達制限/データローカライゼーション義務/サプライチェーン統制/国内ベンダー優遇などを正当化しているが、統一されたルールは存在しない。
NCC Group は、実際の規制動向を整理している。EU においては、重要インフラから高リスクの第三国 ICT ベンダーを段階的に排除する計画が進められ、米国では、2027年までにコネクテッド・カーにおける中国/ロシア製のソフトウェア/ハードウェアを禁止する規則が導入されている。さらに米国は、敵対国ベンダーへの依存からの脱却が推進されている。それと同様の動きを見せるのは、オーストラリア/英国/シンガポール/韓国などであるが、それぞれの具体性と強制度で計画が進められている。
グローバル企業にとって、その影響力は抽象的なレベルのものではない。統一市場では合理的であったテクノロジー・スタックが、分断市場では個別の規制リスクを伴うものになる。従来は、性能と価格で判断されたサプライチェーンが、地政学的リスクを含む意思決定へと変化している。実リスクではなく政治的なスローガンに基づいて行動する組織は、相反する規制間で対応不能に陥る。
AI 法なき AI ガバナンス
包括的 AI 法は、想定しているほど実現していない。各国の政府は新規法の体系を構築するよりも、既存のサイバー・レジリエンス・フレームワークに AI ガバナンスを組み込む方が現実的だと判断している。
その結果として、英国の Cyber Assessment Framework には AI リスクが明示的に統合され、オーストラリアは Information Security Manual 更新により Responsible AI 要件を公共調達に組み込んだ。その一方で EU は、高リスク AI 義務の実施を Digital Omnibus により 2027年〜2028年へと延期したが、NIS2 や DORA に基づく統制は引き続き要求している。
実務上の結論は明確である。規制当局は AI 専用コンプライアンスではなく、既存 IT と同等のセキュリティ統制適用を求めている。AI セキュリティを独立した施策として扱う組織は、規制に対する評価の際にリスクが顕在化する。
取締役会の責任強化
第三の要因は、投資に関する意思決定の構造を根本から変化させるものだ。各国の政府は、取締役会への注意喚起を、法制化された手段へと移行させている。
すでに EU の DORA と NIS2 は経営層の個人責任を規定し、英国の Cyber Security and Resilience Bill も責任の所在を個人に求める方向を示している。韓国の法改正案は、CEO と CISO の責任を強化し、イスラエルの National Cyber Law 草案は緊急命令不履行に対する刑事責任を取り込んでいる。
この変化により、CISO の立場は激変する。投資に対する正当性も、CFO や CEO が容易に理解できる規制要件を取り込むかたちで評価されるようになった。その一方で、取締役会が評価できる形でのセキュリティ統制の可視化が、それぞれの組織の課題となっている。Forrester の 2026年データでは、取締役会向けコミュニケーションを優先する組織は 15% に留まるが、このギャップは急速に縮小され始めている。
攻撃的サイバーの複雑化
これらの変化と並行して、国家が主導する攻撃的なサイバー活動が常態化している。フランス/オランダ/ドイツ/デンマークは攻撃能力を拡張し、米国においては民間の参加を得ながら攻撃を重視するという戦略が採用されている。
企業にとっては、これまでの防御と政府への協力の境界が不明確となる。政府からの要請への対応や、民間インフラ利用時の責任の範囲について、多くの組織における法的枠組みやガバナンスは未整備な状況にある。この課題は、直ちに対応すべきものであり、将来に先送りできるものではない。
こうした状況を俯瞰すると、受動的に対応する局面から、能動的な関与が求められる局面に変化していると、NCC Group は捉えている。今後において優位性を持つのは、証拠ベースのレジリエンス構築/官民連携方針の明確化/取締役会の意思決定能力の強化を実現した組織となる。その一方で、環境の安定を維持しようとする組織は、すでにチャンスを逸している可能性が高い。
訳者後書:今回の報告書が示す、サイバー政策の大きな転換の背景にあるのは、世界情勢や法律といった社会の仕組み自体が、サイバー・セキュリティのあり方を変え始めているという流れです。これまでは、問題が起きてからルールを作るという後追いでしたが、3 つの要因が同時に動いていることで、無視できないほどリスクが巨大化しています。具体的には、デジタル主権/AI ガバナンス/取締役に対する法的責任の動きです。セキュリティ対策が、単なる技術的な作業から、会社経営や国際情勢と切り離せない法的な義務へと格上げされることを、技術者も意識する必要があります。よろしければ、カテゴリー Literacy も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.