国内外でサイバー規制の強化が進むなか、各社・各部門からは、受け身の規制対応だけで疲弊してしまうという声も聞こえてくる。奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授の門林雄基氏は、9月9日~11日に開催されたオンラインイベント「TECH+フォーラム セキュリティ 2025 Sep. 自社にとっての最適解を探る」の講演において、規制対応に追われるだけではサイバーレジリエンス能力の向上にはつながらないと指摘した。同氏が示したのは、企業間に存在する「30年分の取り組み格差」の現実と、それを埋めるための具体的なアプローチであった。

企業間に存在する「天と地ほどの差」

門林氏は、サイバーセキュリティ投資が進んでいる企業とそうでない企業のあいだには「天と地ほどの差がある」という実例を示した。

投資が遅れている企業では、取締役会で「セキュリティはよく分からないから、よろしく頼むよ」、法務部門では「サイバー規制は法務では扱えません」、事業部では「DXやるぞ」「海外進出だ」といった発言が聞かれる一方で、セキュリティ担当者は戦線が広がり、疲弊してしまう。

対照的に、セキュリティ投資が進んでいる企業では、取締役が「セキュリティは1丁目1番地、もっと投資しよう」と発言し、法務部門も「サイバー規制対応は任せておけ」、事業部も「対策は万全、海外進出するぞ」と前向きな姿勢を見せる。そしてセキュリティ担当者は意欲的に業務に取り組むことができる。

この違いは、「30年分の取り組み格差が原因である」と同氏は語る。

5段階の成熟度モデルで見る組織の現状

30年分の格差を考えるにあたって、門林氏は、セキュリティ組織の成熟度を5段階で評価するモデルを提示する。

このうち、セミナーなどで得られる知識はレベル2に過ぎず、レベル3以上に引き上げるためには「予算、体制、人員が不可欠である」と同氏は強調した。また、レベル4以上、とくにレベル5を目指すためには、対外的な情報発信が必要だ。それによって情報と優秀な人材が集まるようになるという。

「30年分の格差」の正体を解剖する

続いて門林氏は、企業間の30年分の格差を、5つの要素に分解して分析した。

1. 情報格差 多言語での情報収集力、咀嚼力に差があり、「海外の非公開カンファレンスで会う人は少ない」という状況が生じている。

2. 取り組み格差 非公開勉強会やISAC(Information Sharing and Analysis Center)への参加、インフラ投資・活用、サイバー演習への取り組みに差が生じている。

3. 人脈格差 大きな差が現れるのが人脈だ。セキュリティに関する情報は、政府機関だけでなく、NPO、ISAC、スタートアップ、学術機関、国内外のCISOなど、多様なステークホルダーから得られる。しかし、こうした人脈を構築するには「非常に時間がかかる」と同氏は指摘。ただし、目に見えないリターンは非常に大きいため、時間をかけてでも信頼構築に取り組むべきだという。

4. 技術力格差 技術力はさらに、調査力、調達力、開発力、統合力、検証力、分析力に分解でき、「これをエンジニア1人にやらせるのは無理」(門林氏)だ。したがって、チームでの取り組みが必要となる。

5. セキュリティ文化の格差 リスク受容と免責の文化、セキュリティリーダー像の形成、セキュリティ室からセキュリティ課への格上げなど、組織全体でのセキュリティの位置付けに大きな差がある。

海外サイバー規制の最前線 - SEC規制と欧州CRAが迫る実務対応

門林氏は、米国の米国証券取引委員会(SEC)によるサイバーセキュリティ情報開示規制と、欧州におけるIoT機器認証であるサイバーレジリエンスアクト(CRA)についても紹介した。

SEC規制では、サイバーインシデント発生後4営業日以内の報告義務や、取締役会によるサイバーセキュリティリスクの監督体制やガバナンス、リスク管理・戦略についての情報開示が求められる。

CRAは、デジタル製品全体に関する規制であり、欧州市場で製品を販売する際には必ず対応しなければならない。90%の製品は自己認証で済むが、セキュリティ上重要な製品は第三者監査が求められ、製品のライフサイクル全体でのサイバーセキュリティ対策や、5年間または製品寿命の短いほうでの脆弱性対応が義務付けられる。これにより、メーカーは価格や販売方法の見直しを迫られるなど、市場に大きな影響を与えている。

さらに、海外のサイバー規制は、従来の責任者の指名や事故報告義務だけでなく、現状把握、改善計画、リスク文書化、常時監視、早期対処といったセキュリティ運用にまで踏み込んでいると同氏は指摘した。

「検討・訓練・演習」の3点セットで組織の能力を向上させる

組織の能力向上には「検討・訓練・演習の3点セットが欠かせない」と門林氏は説明する。

検討段階では個人と組織の能力を評価し、目標設定を行う。訓練では能力差を埋め、カバレッジを高める努力をする。そして演習では、さまざまな能力を使って実際にどれぐらいの短時間でサイバー事故への対応ができるかを検証する。

重要なのは、セキュリティの専門家だけでなく、各部門が能力向上に取り組む必要があることだ。

同氏は「30年分の格差を簡単に解消できるとは言えない。しかし、実際には、経営も管理職も事業部門も、検討・訓練・演習を積み重ねて、個人そして組織の能力を上げていく必要がある」と継続的な取り組みの必要性を訴えた。

セキュリティ人材育成における誤解と現実

サイバーセキュリティ人材育成については、「人材育成待望論が多い」と門林氏は指摘する。ただし、「若いスーパーハッカーを待望する」といった発想や「新人の若手をセキュリティの専門家に育てよう」といった考え方では限界があるという。

セキュリティの大部分は調整の世界であり、経営層のサポートが必要な領域だ。そのため同氏は「5~10年の実務歴のある方々にセキュリティの調整役になってもらうところから始めたほうが効果的」と実務経験者の活用を提案している。

専門家任せにしないセキュリティ

サイバーレジリエンス能力の向上は、一朝一夕には達成できない長期的な取り組みだと言える。重要なのは、規制対応を単なるコンプライアンスではなく、組織能力向上の機会として捉えることである。そして、セキュリティ専門家だけでなく、経営層、法務、事業部など各部門が連携して能力の積み上げを行うことが、真のサイバーレジリエンス実現への道筋となる。