コンプライアンスの複雑さはIT対応能力を上回っているのか？

今日の組織は、相当数のIT およびサイバーセキュリティコンプライアンス義務の下で運営されています。アクセス制御、インシデント対応、暗号化、ガバナンス、ベンダー管理などの領域の要件を定義することで、コンプライアンス標準はサイバー攻撃の可能性と影響を軽減し、規制および法的義務をサポートし、デジタルエコシステムへの信頼を構築するのに役立ちます。

5,000人のIT およびサイバーセキュリティリーダーが彼らのコンプライアンス経験を共有

今日の組織が直面するIT およびサイバーセキュリティコンプライアンスの現実に光を当てるため、Sophosは17か国の5,000人のIT およびサイバーセキュリティリーダーに対する独立した調査を実施しました。2026年初頭に実施された主な調査結果は以下の通りです：

• 複数の規制上の義務：回答者は平均（中央値）5つのコンプライアンス標準を順守していると報告しており、地域および業界全体での規制義務の広がりを強調しています。
• 広範なコンプライアンス違反への懸念：リーダーの82%が、自組織がすべての必要な規制および要件に完全に準拠していない可能性があると懸念しており、ほぼ4分の1（24%）が非常に懸念しています。完全にコンプライアンス状況について懸念していないと報告しているのはわずか18%です。
• 相当なリソーシングオーバーヘッド：IT およびサイバーセキュリティチームの時間の39%がコンプライアンス関連活動に費やされています。
• 対応の困難さ：組織の79%がコンプライアンス要件の変化に対応するのが困難だと感じており、19%は「非常に困難である」と述べています。
• 中小企業は不均衡に影響を受ける：小規模企業は大規模企業と同様の量のコンプライアンスフレームワークに直面していますが、これらを実装するためのリソースと専門知識は少なくなっています。

業界と地域の役割

アメリカ大陸、EMEA およびアジア太平洋地域の17か国と15の異なる業界全体で、最も引用されている規制は以下の通りです：

• ISO 27001/2：回答者の51.2%
• GDPR：回答者の40.4%
• CIS：回答者の29.7%
• NIST CSF：回答者の23.8%
• PCI DSS：回答者の23.1%
• HIPAA：回答者の21.7%
• DORA：回答者の19.8%
• NIS2：回答者の16.1%

これらは全体的に最も頻繁に引用される標準を表していますが、採用は業界と地域によって大きく異なります。

例えば、流通・輸送部門の組織の66%がISO 27001/2を引用しているのに対し、州および地方自治体では38%です。同様に、スペインの企業の60%がISO 27001/2への準拠を目指しており、メキシコでは35%であり、米国の組織の30%がNIST CSFに準拠しており、オーストラリアでは13%です。

現在のコンプライアンス：3つの重要なポイント

調査結果は、組織のコンプライアンス負担が高く、コンプライアンスを維持することが継続的な課題であることを示しています。IT およびサイバーセキュリティリーダーの主な重要な指摘は以下の通りです：

コンプライアンスの複雑さはIT対応能力を上回っている

1つの規制標準を順守することは困難ですが、5つのコンプライアンスを管理することはどの組織にとっても巨大な課題です。多くのフレームワークは同様の情報を必要とするため、関係者の重複作業のレベルが高くなります。そして、組織の8割（79%）がコンプライアンス要件の変化に対応するのが困難だと感じていることで、IT およびサイバーセキュリティチームが対応に苦労していることは明らかです。

コンプライアンスはリソーシングに大きな影響を与える

コンプライアンス関連活動には、規制要件の理解と必要なコントロールの実装から、準拠状況の報告まで、様々な範囲があります。IT およびサイバーセキュリティチームの時間の5分の2がコンプライアンス取り組みに専念されているため、組織はコンプライアンス義務と事業のより広いIT およびサイバーセキュリティニーズを満たすために適切なレベルのリソーシングを実施することが重要です。

可視性の欠如がコンプライアンスとセキュリティのブラインドスポットを生み出す

単に準拠していると思うだけでは不十分です。準拠していることを知る必要があります。しかし、IT およびサイバーセキュリティリーダーの82%が、自組織がすべての必要な規制および要件に完全に準拠していない可能性があると懸念していることで、チームがコンプライアンス状況を確信するために必要な可視性が不足していることは明らかです。完全な可視性がなければ、組織はサイバーインシデントとデータ損失の発生リスクを高めるセキュリティと運用のギャップに気づかないリスクも抱えています。

複数の規制およびコンプライアンス標準に対する継続的なコンプライアンス維持は、すべての組織にとって、特に複数の進化する規制を管理するための追加の人員採用の財政的オーバーヘッドの影響を不均衡に受ける中小企業にとって大きな課題です。コンプライアンス要件がボリュームと複雑性の増加の可能性がある中で、組織は継続的なコンプライアンス義務をサポートする最良の方法を検討する必要があります。これには、専門知識とリソーシングサポートを提供できる外部の専門家と協力する可能性が含まれます。