英国トップのクリティカルナショナルインフラ(CNI)企業のセキュリティリーダーは、規制コンプライアンスに以前以上に依存してサイバー成熟度と投資を推進しているとBridewellが発見した。
英国を拠点とするサイバーセキュリティサービスプロバイダーが発表した最新の2026年CNIサイバーセキュリティレポートによると、英国の13のCNIセクター全体で働くセキュリティリーダーの35%が、規制要件をセキュリティプログラムの主な影響要因として挙げている。これは2025年の26%、その前の年の29%から増加している。
並行して、接続性の向上、イノベーション支援の希望、進化するサイバー脅威は、サイバー成熟度の影響要因として停滞している。2025年と2026年に、回答者のわずか25%がこれらの要因の1つをセキュリティ投資を推進する要因として挙げている。
この傾向は規制加速が原因と考えられ、英国のサイバーセキュリティレジリエンス法(CSRB)やEUのNIS2指令、サイバーレジリエンス法(CRA)などの新しい法律が施行されている。さらに、英国はナショナルサイバーセキュリティセンター(NCSC)のCNI組織向けサイバー評価フレームワーク(CAF)の見直しを最近実施した。
3月17日ロンドンでのBridewellプレスイベントで、Bridewell最高執行責任者のサム・ソーントンは、セキュリティ投資を推進するための規制コンプライアンスが以前より重要と見なされているにもかかわらず、35%は「依然としてかなり低い」と述べた。
「今後数年間で、規制がセキュリティ投資の主な原動力として成長し始めると考えている」と彼は付け加えた。
詳しく読む:規制の矛盾のナビゲート – EUのNIS2対英国のサイバーセキュリティおよびレジリエンス法
英国クリティカルセクターに迫る規制課題
同時に、Bridewellレポートは、主要な規制フレームワークの導入が一貫性を欠いていることを示している。回答者の半数未満(46%)がCAFの実装またはコンプライアンスを報告し、EUのNIS2指令の導入を報告したのはわずか29%である。
報告書は、回答者の39%がデータ保護のためのサイバーセキュリティ対策に低い信頼度を認めていることは「驚くべきことではない」と述べている。
Bridewell最高経営責任者のアンソニー・ヤングは、規制が多すぎることについて不満を述べる人がいつもいるだろうが、「規制はサイバーセキュリティの改善に依然として効果がある」と述べた。
彼は、金融セクターは英国で最も規制が多い産業の1つであり、金融ビジネスが常に国内のサイバー成熟度レベルで先導してきたため、良い例であると付け加えた。
しかし、ヤングは「紙の上でのコンプライアンスは自動的に運用上のレジリエンスに変換されない」と警告した。
「規制当局はより困難な質問をしており、組織はポリシーの整合性と実世界の能力を実証する必要がある」と彼は述べた。
さらに、BridewellのCTOであり、同社の管理セキュリティサービスの責任者であるマーティン・ライリーは、規制ガイダンスの一部の利点がCNI組織にさらに多くの課題をもたらす可能性があることを観察した。
例えば、ライリーは、英国では多くのCNI企業が2028年3月までに新しい強化サイバー評価フレームワーク(eCAF)のコンプライアンスを達成することを義務付けられていると述べた。
「今、CSRBが今年後半に施行されることで、政府は気まぐれで規制を変更する一方的な能力を持つようになり、これはこれらの組織のeCAFコンプライアンスロードマップを大幅に混乱させる可能性がある」と彼は説明した。
昨年93%の英国CNIがサイバーインシデントの被害を受けた
Bridewellレポートはまた、英国のCNIセクターのほぼすべての組織がサイバー脅威行為者の標的になっており、回答者の93%が過去1年間でサイバーインシデントを報告していることを示している。
攻撃を経験した組織のうち、50%がIT障害とダウンタイムを主要な影響として挙げており、34%はサイバーインシデントの結果としてOT運用が影響を受けたことを述べている。
標的になった組織は、サイバー攻撃の31%で収益損失を被り、31%のケースでデータ損失を被ったことが判明した。
しかし、より前向きなことに、これらのインシデントは回答者の36%のサイバーセキュリティ予算の増加ももたらしている。
AIがCNIサイバーセキュリティの主要懸念として浮上
年次報告書で初めて、BridewellはセキュリティリーダーにAIサイバーリスクについて質問した。
データ保護とプライバシーが回答者のほぼ半数(43%)にとって最大のサイバーセキュリティ課題のままである一方で、AIが2番目に来ており、39%が最大の懸念として挙げている。
同時に、AIは防御的操作で急速に採用されており、3分の1以上(36%)の組織がインシデント対応を自動化するためにAIを使用し、脅威ハンティングをサポートしている(35%)。
ヤングはAIの採用を「クラウドの初期段階」に例えた。
「それは強力で広く採用されているが、それを保護するために設計されたコントロールよりも速く実装されることが多い。組織は、クラウドとデジタルインフラに対して現在期待しているのと同じ規律とガードレールをAIに適用する必要がある」と彼は警告した。
AIツールの熱心な採用者であるライリーにとって、AIは現在「モダンサイバーディフェンスの中心」である。
「検出と対応を加速するためにAIを使用していない場合、既にそれを使用している攻撃者に遅れをとっている。2026年の課題は、AIを採用するかどうかではなく、それを安全に管理する方法である」と彼は述べた。
最後に、研究はまた、ポスト量子暗号(PQC)における顕著な信頼度のギャップを明らかにした。
90%は準備ができていると感じていると主張したが、38%は政府ガイダンスをまだレビューしていないことを認めた。このギャップは、Bridewellが「明確さのない信頼」と説明しているもの、PQCのような新興リスク領域での現象を浮き彫りにしている。
Bridewellの2026年CNIサイバーセキュリティレポートは3月19日ロンドンでのCNIサイバーセキュリティサミット中にリリースされた。
英国の13のクリティカルインフラセクター全体でCensuswide が実施した600人のセキュリティリーダーへの27問調査に基づいている。
詳しく読む:クリティカルインフラの将来への対応 – ナショナルガスCTOダレン・カーリーのIT/OTセキュリティ統合に関する話
翻訳元: https://www.infosecurity-magazine.com/news/uk-regulation-drives-cyber/
