サイバーセキュリティ・リスク管理:規制業界に求められる特別な対応とは 規制業界のためのサイバーセキュ
すべての組織にサイバーセキュリティリスク管理は必要です。しかし、規制対象データ——管理対象非機密情報(CUI)、保護対象保健情報(PHI)、金融記録、個人を特定できる情報(PII)——を扱う組織は、汎用的なフレームワークだけに依拠する組織とは根本的に異なる要件のもとで運営されています。
防衛関連企業にとって、サイバーセキュリティリスク管理は任意でも自己定義できるものでもありません。CMMC 2.0によって規定され、独立した第三者機関によって評価され、政府契約を保持できるかどうかに直接結びついています。医療機関にとっては、HIPAAのセキュリティ規則によって規定され、公民権局(OCR)による監査を受け、違反1件ごとに罰金が科される情報漏洩通知義務に結びついています。連邦機関にサービスを提供するクラウドサービスプロバイダーにとっては、FedRAMPによって規定され、認可担当者による継続的な監視の対象となります。
本ガイドでは、サイバーセキュリティリスク管理とは何か、どのように機能するか、そして——重要な点として——コンプライアンス義務のもとで運営する組織に具体的に何が求められるかを解説します。「リスク管理プログラムがあります」というだけでは不十分です。求められる基準は「証拠」です。
エグゼクティブサマリー
要旨: サイバーセキュリティリスク管理とは、組織のデジタル資産に対する脅威を特定し、評価し、優先順位付けし、軽減する継続的なプロセスです。規制業界にとっては、汎用的なフレームワークが対応していないもう一つの側面があります。それは、リスク管理の管理策が計画段階ではなく実際に運用されていることを示す、文書化された監査可能な証拠を提示する義務です。
なぜ重要なのか: ファイブアイズ(米国、英国、オーストラリア、カナダ、ニュージーランドのサイバーセキュリティ機関の連合体)は2026年6月、サイバーセキュリティを「経営上の中核的リスクであり、経営陣の責任である」と明確に位置づける共同勧告を発表しました。規制当局と保険会社も同時に同じ結論に達しています。サイバー保険会社は、文書化されたリスク管理の実践を保険適用の条件としています。SECは上場企業に対し、重大なサイバーセキュリティリスクとインシデントの開示を義務付けています。CMMC 2.0は、国防省のサプライヤーにとってサイバーセキュリティリスク管理を契約上の前提条件としています。もはや問われているのは「リスク管理プログラムがあるか」ではありません。「それが機能していることを証明できるか」なのです。
主要なポイント
1. サイバーセキュリティリスク管理は、プロダクトやポリシー文書ではなく「プロセス」である
リスク管理とは、資産と脅威を特定し、それらの脅威が発生する可能性と潜在的な影響を評価し、リスクを許容可能なレベルまで低減する管理策を実施し、その管理策を時間をかけて継続的に監視する、継続的なサイクルです。サイバーセキュリティポリシー文書は「意図」を記述するものです。リスク管理は、運用中の管理策と、それが機能していることを示す証拠を生み出します。規制業界にとって、この両者の違いは、評価に合格するか不合格になるかの違いを意味します。
2. 規制フレームワークはサイバーセキュリティリスク管理に「追加」されるものではなく、そのあるべき姿を「定義」するものである
NIST SP 800-37(リスク管理フレームワーク)、NIST SP 800-171、HIPAAセキュリティ規則、FedRAMPの継続的モニタリング要件は、いずれもプログラムの存在だけでなく、具体的なリスク管理の実践方法を義務付けています。これらは、リスク評価をどのように実施し、文書化し、レビューすべきかを規定しています。コンプライアンスをチェックボックス的な作業として扱い、リスク管理を別個の社内実践として扱う組織は、監査の際に両方のプログラムが機能不全であることに気づくことになるでしょう。
3. データレイヤーこそ、規制業界のリスク管理が汎用フレームワークと最も異なる部分である
汎用的なサイバーセキュリティリスク管理フレームワークは、ネットワークセキュリティ、エンドポイント保護、アクセス制御といった広範な領域に重点を置いています。規制業界はこれに加えて、データレイヤーを統制しなければなりません。すなわち、どのような機密データが存在するのか、それがどこへ流れるのか、誰が何にアクセスできるのか、そしてそのすべてのやり取りが規制当局が検査できる形式で記録されているかどうかです。だからこそ、規制対象データがシステム、ユーザー、サードパーティをどのように移動するかを正確に把握する「データフローの可視性」が、他のすべての基盤となる管理策なのです。
4. サードパーティリスクは「規制対象」のリスクである
HIPAAのもとでは、対象事業者はビジネスアソシエイトのセキュリティ実践に責任を負います。CMMCのもとでは、プライム契約者はサプライチェーン全体を通じてCUIの保護に責任を負います。GDPRのもとでは、データ管理者はデータ処理者の実践について責任を負います。サードパーティリスク管理は別個のプログラムではなく、主要なコンプライアンス義務に不可欠な構成要素です。ベライゾンの「2025年データ漏洩調査報告書」によれば、サードパーティによるアクセスが関与する漏洩は前年比で倍増しており、これは規制業界において最も急速に拡大しているリスクベクトルとなっています。
5. 改ざん不可能な監査ログは、規制業界のリスク管理における証拠の基盤である
規制当局、評価機関、保険会社が「リスク管理の管理策が機能していることの証拠」を求めたとき、その答えとなるのはログです。ポリシー文書でも、ベンダーの証明書でも、自己評価でもありません。誰が、いつ、どこから、どのような権限のもとで、どのデータにアクセスし、どのような結果になったのかを記録する改ざん不可能な監査ログこそが、リスク管理プログラムを監査可能にするものです。分断された、不完全な、あるいは編集可能なログを持つ組織は、この証拠を提示できません。Kiteworksの「2026年データセキュリティ・コンプライアンスリスク予測」によれば、33%の組織には監査ログが全く存在せず、61%の組織はシステム間で活用できない分断されたログしか持っていません。
サイバーセキュリティリスク管理とは実際に何を指すのか
サイバーセキュリティリスク管理とは、組織のデジタル資産に対する脅威を特定し、それらの脅威が現実化する可能性と事業への潜在的な影響を評価し、リスクを許容可能なレベルまで低減する管理策を実施し、脅威の状況や組織のシステムの変化に応じてそれらの管理策を継続的に監視する、体系化されたプロセスです。
サイバーセキュリティにおけるリスクは通常、脅威(誰が、あるいは何が攻撃してくるか)、脆弱性(システムやプロセスのどこが悪用され得るか)、影響(攻撃が成功した場合の結果は何か)という3つの要素の関数として表現されます。リスク管理はリスクをゼロにするものではありません——リスクがゼロの状態で運営されている組織はどこにもありません。リスク管理は、組織のリソース、規制上の義務、事業要件に応じて、組織が許容し、正当化できるレベルまでリスクを低減するものです。
このプロセスは一度限りの評価ではなく、継続的なサイクルとして進行します。新たな脆弱性が発見される。脅威アクターは手法を進化させる。システムは変化する。人員は入れ替わる。2年前に一度だけ脅威を評価し、その後見直していないリスク管理プログラムは、もはやリスク管理プログラムではなく、単なる過去の記録にすぎません。
規制業界においては、このサイクルは組織が自律的に決められるものではありません。NIST SP 800-37のリスク管理フレームワークは、分類(categorize)、選択(select)、実装(implement)、評価(assess)、認可(authorize)、監視(monitor)という6つのステップを規定しています。CMMC 2.0は、リスク評価を実施し、文書化し、C3PAOによるレビューのために利用可能な状態にしておくことを求めています。HIPAAのセキュリティ規則は、対象事業者に対し、ePHIに対する潜在的リスクの正確かつ徹底的な評価を実施し、そのリスクを低減するのに十分なセキュリティ対策を実施することを求めています。FedRAMPは、認可されたクラウドプロバイダーに対し、月次の脆弱性スキャン、年次のペネトレーションテスト結果、未完了の対策・マイルストーン計画(POA&M)を、認可担当者に継続的に提出することを求めています。これらは推奨事項ではありません。監査上の結果を伴う要件です。
サイバーセキュリティリスク管理プログラムの中核となる構成要素
資産の棚卸しと分類。 存在すら把握していない資産のリスクを管理することはできません。リスク管理プログラムの出発点は、システム、アプリケーション、データストア、エンドポイント、サードパーティ連携を含む、デジタル資産の完全かつ最新の棚卸しであり、それらが保持または処理するデータの機密性に応じて分類されている必要があります。規制対象の組織にとって、この分類によって、各資産にどのコンプライアンスフレームワークが適用され、どのような管理策が求められるかが決まります。CUIを保持する資産にはCMMCの要件が適用されます。ePHIを保持する資産にはHIPAAの技術的セーフガードが適用されます。分類こそが、資産の棚卸しと規制上の義務を結びつけるものです。
脅威・脆弱性評価。 脅威評価では、誰が、どのような方法で資産を攻撃する可能性があるかを特定します——敵対的なアクター、内部関係者による脅威、サプライチェーンの侵害、既知の脆弱性を狙った便乗的な攻撃などです。脆弱性評価では、システムやプロセスのどこが悪用され得るかを特定します——パッチ未適用のソフトウェア、誤設定されたアクセス制御、脆弱な認証、監視されていないサードパーティ連携などです。この両者を組み合わせることで、理論上のリスク態勢ではなく、組織の実際のリスクエクスポージャーが明らかになります。この両者の間のギャップこそが、通常、侵害が発生する場所です。
リスクの優先順位付けと対応。 すべてのリスクを即座に軽減できるわけではなく、すべてのリスクが同じレベルの投資を必要とするわけでもありません。リスクの優先順位付けでは、特定されたリスクを可能性と影響の積によってランク付けします——規制対象データを保持するシステムにおける重大な脆弱性は、機密性の低い社内ツールにおける同じ脆弱性よりも高くランク付けされます。対応の選択肢は、低減(管理策の実施)、移転(保険、契約)、受容(文書化された判断)、回避(その活動の中止)です。規制業界では、コンプライアンスフレームワークが特定の管理策を義務付けている領域において、リスクを受容する余地は限られています。
管理策の実装と文書化。 管理策とは、特定されたリスクを低減するための技術的・組織的措置を指します。暗号化、アクセス制御、多要素認証、ネットワークセグメンテーション、エンドポイント検知、インシデント対応手順、従業員研修などです。規制対象の組織では、管理策をNIST 800-171の管理策ファミリー、HIPAAの技術的セーフガードのカテゴリー、FedRAMPのセキュリティ管理策ベースラインといった、具体的なフレームワーク要件にマッピングする必要があります。文書化は単なる事務手続きではありません——それは、管理策が記述どおりに実装され、意図したとおりに機能していることを評価者が検証するための証拠なのです。
継続的モニタリング。 今日機能している管理策が、明日には機能しなくなる可能性があります。継続的モニタリング——自動化された脆弱性スキャン、ログ分析、異常検知、定期的な管理策のテスト——によって、組織は管理策が劣化したり新たなリスクが発生したりした際に、それが侵害につながる前に検知することができます。FedRAMP認可プロバイダーにとって、継続的モニタリングは特定の提出期限を伴う契約上の義務です。CMMCレベル2以上では、継続的なモニタリングは必須の実践事項です。HIPAA対象事業者にとっては、リスク評価とセキュリティ対策の定期的な見直しがセキュリティ規則によって明示的に求められています。
規制別に見るサイバーセキュリティリスク管理フレームワークの要件
具体的な要件はフレームワークごとに異なりますが、基盤となる構造——評価、実装、監視、文書化——はすべてに共通しています。
CMMC 2.0。 サイバーセキュリティ成熟度モデル認証(CMMC)は、CUIを扱う防衛関連企業に対し、リスク評価(RA)、監査と責任追跡性(AU)、システムおよび通信の保護(SC)を含む14のドメインにわたるサイバーセキュリティの実践を実装し、実証することを求めています。レベル2では、組織は組織の業務や資産に対するリスクを定期的に評価し、不備を修正するための対応計画を実施し、認証審査の際にC3PAO評価者がこれらの評価を確認できるようにする必要があります。CMMCレベル3では、NIST SP 800-172から派生した要件——高度なリスク対応計画やサプライチェーンリスク管理を含む——が追加されます。管理策の全体的なマッピングについては、KiteworksのCMMCコンプライアンスをご覧ください。
HIPAAセキュリティ規則。 HIPAAセキュリティ規則は、対象事業者およびビジネスアソシエイトに対し、ePHIの機密性、完全性、可用性に対する潜在的なリスクと脆弱性について正確かつ徹底的な評価を実施し、そのリスクを合理的かつ適切なレベルまで低減するのに十分なセキュリティ対策を実施することを求めています。リスク評価は文書化し、定期的に見直す必要があります——公民権局(OCR)は、その後の更新を伴わない一度限りのリスク分析はこの要件を満たさないと明確に示しています。アクセス制御、監査制御、完全性の制御、伝送のセキュリティといった技術的セーフガードの要件が、HIPAAのリスク管理要件における管理策実装の部分に該当します。
FedRAMP。 FedRAMPの継続的モニタリング要件は、リスク管理を定期的な評価作業ではなく、リアルタイムの運用上の義務にしています。認可されたクラウドプロバイダーは、月次の脆弱性スキャン結果、年次のペネトレーションテストの所見、進行中の対策・マイルストーン計画(POA&M)を、機関の認可担当者に提出します。FedRAMPの基盤となるリスク管理フレームワーク——NIST SP 800-37——は、システムをどのように分類し、管理策をどのように選択・実装し、認可の判断をどのように行い維持するかを規定しています。CR26(FedRAMPの2026年改革)のもとでは、要件は機械可読なMUST/MUST NOT形式で公開されるようになり、評価における解釈上のあいまいさが排除されています。
NISTサイバーセキュリティフレームワーク。 2024年にバージョン2.0へ更新されたNIST CSFは、サイバーセキュリティリスク管理を、統治(Govern)、識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)という6つの機能を中心に整理しています。NIST CSF自体はコンプライアンス規制ではありませんが、CMMC、FedRAMP、その他多くのセクター固有のフレームワークが参照する基盤となっています。CSFを軸にリスク管理プログラムを構築する組織は、複数の規制要件に同時にマッピングできる基盤を作ることができ、複数のフレームワークにまたがるコンプライアンスのコストを削減できます。
規制業界のリスク管理はどこで破綻するのか
規制業界におけるサイバーセキュリティリスク管理の失敗の多くは、意図の欠如によるものではありません——組織は概ね、リスク管理プログラムが必要であることを理解しています。むしろ、証拠の欠如による失敗です。つまり、紙の上に存在する管理策と、実際に機能し、一貫性があり、実証可能な管理策との間のギャップです。
不完全なデータフローの可視性。 リスク管理には、規制対象データがどこに存在し、どのように移動するかを把握することが求められます。メール、ファイル共有、マネージド・ファイル・トランスファー、サードパーティ連携をまたぐデータフローの可視性を欠く組織は、そのデータに対するリスクを正確に評価することができません。「2025年Thalesデータ脅威レポート」によれば、自社のデータがどこに保存されているかを完全に把握している組織はわずか33%にとどまり、67%の組織は自社環境の不完全な把握のもとでリスクを評価していることになります。
分断された監査証跡。 リスク管理プログラムの監査可能性は、そのログの質に依存します。メールシステム、ファイル共有プラットフォーム、エンドポイントツール、ネットワークインフラにまたがり、別個かつ一貫性のないログを保持している組織は、評価者に対して一貫したリスク態勢を提示することができません。Kiteworksの「2026年予測」によれば、61%の組織が、活用できない分断されたログを持っています——つまり、ログ記録の本来の目的であるはずの監査能力を伴わないログ記録をしているということです。
管理されていないサードパーティリスク。 規制対象データを保持するシステムへのサードパーティのアクセスは、規制業界において最も影響の大きいリスクベクトルの一つです。HIPAAのもとでは、ビジネスアソシエイト契約が必要ですが、契約だけでは技術的な管理策を伴わない場合、十分ではありません。CMMCのもとでは、サプライチェーンリスク管理は独立した実践ドメインです。GDPRのもとでは、データ処理者に対するデューデリジェンスはデータ管理者の義務です。サードパーティリスクを契約上で管理するだけで技術的に統制していない組織——サードパーティがアクセスできるデータを制御せず、そのアクセスを記録せず、関係終了時にアクセスを取り消していない組織——は、紙の契約書だけでは埋められないコンプライアンス上のリスクを抱えていることになります。
シャドーITと統制されていないAIツール。 従業員が実際に使用しているテクノロジー——未承認のクラウドアプリケーション、消費者向けAIツール、私用デバイス——を考慮していないリスク管理プログラムには、いかなる管理策の棚卸しでも捉えられないギャップが存在します。従業員の80%以上が未承認のAIツールを使用しており、リスク管理プログラムの可視性の外側で完全に機能するデータ漏洩の経路を生み出しています。シャドーAIは今や、過失による内部者インシデントの最大の要因となっており、組織1社あたり平均で年間1,030万ドルのコストを発生させています。
Kiteworksが規制業界のサイバーセキュリティリスク管理をどのように支援するか
Kiteworksは、規制当局が実際に監査するレイヤー——データレイヤー——において、サイバーセキュリティリスク管理の課題に対応します。セキュアメール、セキュアファイル共有、マネージド・ファイル・トランスファー、SFTP、セキュアデータフォーム、AIによるデータアクセスを含む、すべての機密データのやり取りは、統一されたポリシーエンジンによって統制され、単一の統合された改ざん不可能な監査証跡に記録されます。
この監査証跡こそが、規制業界のリスク管理プログラムの証拠の基盤です。すべてのアクセスイベントは、誰が、何に、いつ、どこから、どのような権限のもとで、どのような結果でアクセスしたかを記録します。このログはすべてのチャネルにわたって標準化・正規化されており——評価者のために照合する必要のあるシステムごとの個別のログではありません。SIEMと統合され、CMMC、HIPAA、FedRAMP、GDPRに対応したコンプライアンス固有のレポートビューで利用可能です。
データの可視性の課題について:Kiteworksは、すべての機密データのやり取りをリアルタイムで可視化するCISOダッシュボードを提供します——誰が、何を、誰に、どのチャネルを通じて、どの外部の相手に送信しているか。これが、リスク評価を理論上のものではなく正確なものにするデータフローの可視性です。組織は、想定されたデータフローに基づく推測ではなく、実際のリスクエクスポージャーを把握することができます。
サードパーティリスクについて:Kiteworksは、内部アクセスを統制する同じポリシーエンジンと監査証跡によって、機密データへの外部アクセスを統制します。外部の受信者はアクセスが許可される前に認証されます。権限はファイル単位・受信者単位で設定されます。アクセスは事後に取り消すことができます。すべての外部データのやり取りは、内部のやり取りと同じ完全性で記録されます——規制対象データを保護する義務は、組織の境界で終わるものではないからです。
コンプライアンスフレームワークへの対応について:Kiteworksは、FedRAMP中程度(Moderate)認可を保持しており(Coalfireによる独立評価、2017年6月から維持)、FedRAMP High認可も申請手続き中です。このプラットフォームは、CMMC 2.0レベル2要件の90%近くを標準機能でサポートしており、FIPS 140-3で検証された暗号化と顧客が保有する暗号鍵を備えています。ISO 27001、SOC 2、HIPAAコンプライアンスは、組み込みのレポート機能でサポートされています。複数のフレームワークにまたがるコンプライアンスを管理する組織にとって、一つのフレームワーク向けに実装した管理策は他のフレームワークにも適用できるため、リスク管理プログラムの厳格さを損なうことなくコンプライアンスのコストを削減できます。
Kiteworksが貴社固有のサイバーセキュリティリスク管理要件をどのように支援できるかをご確認いただくには、カスタムデモをご予約ください。
よくある質問
サイバーセキュリティリスク管理とは、デジタル資産に対する脅威を特定し、その可能性と潜在的な影響を評価し、リスクを低減するための管理策を実施し、それらの管理策を継続的に監視する、継続的なプロセスです。規制業界——CMMCのもとにある防衛関連企業、HIPAAのもとにある医療機関、FedRAMPのもとにあるクラウドプロバイダー、GLBAやNYDFSのもとにある金融機関——にとってこれが重要なのは、規制当局がこれを明示的に要求し、具体的に監査するからです。文書を作成せず、監査証跡を維持せず、管理策が機能していることを実証できない汎用的なリスク管理プログラムは、CMMCのC3PAO評価やOCRの調査を満たすことはできません。求められる基準は「証拠」であり、「意図」ではありません。
リスク評価とは、脅威と脆弱性を特定し優先順位付けする、ある時点での作業です。リスク管理プログラムとは、時間をかけてリスク評価を生成し、それに基づいて行動し、見直しを行う継続的なプロセスです——評価結果に基づいて管理策を実施し、その有効性を監視し、環境の変化に応じて評価を更新し、監査担当者が確認できる形式でサイクル全体を文書化します。HIPAAは、リスク分析と継続的なリスク管理の両方を求めています。CMMCは、リスク評価を定期的に実施し、改善計画を文書化・追跡することを求めています。一度限り実施されたリスク評価は、それを実行に移す管理プログラムがなければ、どちらの要件も満たしません。
CMMC 2.0は、複数の実践ドメインを通じてサイバーセキュリティリスク管理に対応していますが、最も直接的にはリスク評価(RA)ドメインを通じてです。レベル2では、防衛関連企業は、自社システムの運用が組織の業務、資産、個人に及ぼすリスクを定期的に評価し、リスク対応計画を策定・実施し、認証の際にC3PAOによるレビューのためにこれらの評価を提示できるようにする必要があります。監査と責任追跡性(AU)ドメインは、セキュリティインシデントの監視と調査を可能にするのに十分な監査記録をシステムが生成することを求めています。レベル3でより重要となるサプライチェーンリスク管理の要件は、組織がリスクプログラムを内部システムだけでなく、CUIへのアクセス権を持つベンダーやサブコントラクターにも拡大することを求めています。
サードパーティリスク管理は、多くの規制業界において、別個の任意プログラムではなく、主要なコンプライアンス義務に不可欠な構成要素です。HIPAAのもとでは、対象事業者はePHIにアクセスするベンダーとビジネスアソシエイト契約を締結し、その関係に及ぶ技術的セーフガードを実施しなければなりません。CMMCのもとでは、プライム契約者はサプライチェーン全体を通じてCUI保護に責任を負います。GDPRのもとでは、データ管理者はデータ処理者の実践について責任を負います。実務上これは、サードパーティがアクセスできるデータを統制すること(契約上「保護する」と合意するだけではなく)、内部ユーザーと同じ監査証跡でそのアクセスを記録すること、関係終了時にアクセスを取り消すことを意味します。規制対象データへのサードパーティアクセスは、規制対象のアクセスです——コンプライアンス義務は組織図ではなく、データに付随するのです。
改ざん不可能な監査ログは、リスク管理プログラムの監視機能から生まれる証拠であり、管理策が機能しているかどうかを評価する際に規制当局が確認する主要な証拠物件です。メール、ファイル共有、MFT、SFTP、API連携、AIによるデータアクセスを含むすべてのチャネルにわたるすべてのアクセスイベントを、事後に改変できない形式で記録する監査証跡は、次の3つを提供します:リアルタイムで異常や潜在的なインシデントを検知する能力、インシデント発生後にフォレンジック調査や情報漏洩通知のために何が起きたかを再構築する能力、そして評価者、OCRの調査官、FedRAMPの認可担当者が管理策が記述どおりに機能していることを検証するために必要な文書です。分断された、あるいは不完全なログを持つ組織は、強力な管理策を実装していても、それが意図したとおりに機能していることを実証できないために監査に失敗する可能性があります。