複雑化するコンプライアンスに IT 部門は対応できているのか？

国、業界、企業の規模を問わず、IT チームとサイバーセキュリティチームにとって規制対応の負担は重く、要件準拠を維持できるか不安を感じています

Is compliance complexity outpacing IT capacity?

今日の組織は、IT およびサイバーセキュリティに関する数多くのコンプライアンス義務を遵守しています。アクセスコントロール、インシデント対応、暗号化、ガバナンス、ベンダー管理などの分野の要件を定めたコンプライアンス基準は、サイバー攻撃の可能性と影響の低減、規制・法的義務の遵守、およびデジタルエコシステムにおける信頼の構築に役立ちます。

5,000 人の IT リーダーとサイバーリーダーが共有したコンプライアンスの実態

今日の組織が直面している IT/サイバーセキュリティコンプライアンスの実態を明らかにするため、ソフォスは 17 カ国の公共・民間部門の幅広い業界にわたる IT およびサイバーセキュリティリーダー 5,000 人を対象に、独立調査を委託しました。2026 年初頭に実施されたこの調査では、以下のような現状が明らかになりました。

多岐にわたる規制上の義務: 回答者は平均 (中央値) で 5 つのコンプライアンス基準を遵守していると報告しており、地域や業界を問わず規制義務が広範囲にわたることが浮き彫りになりました。
広がる規制違反への懸念: リーダーの 82% が、自組織が必要なすべての規制や要件を完全に遵守できていない可能性について懸念を示しており、ほぼ 4 分の 1 (24%) が「非常に懸念している」と回答しています。コンプライアンス状況について「懸念していない」と回答したのはわずか 18% でした。
多大なリソースの負担: IT およびサイバーセキュリティチームの時間の 39% が、コンプライアンス関連の活動に費やされています。
変化への対応の難しさ: 組織の 79% が、コンプライアンス要件の変化に対応するのが困難であると感じており、19% は「非常に困難である」と回答しています。
とりわけ深刻な中小企業への影響: 中小企業は大規模企業と同程度のコンプライアンス要件に対応しなければなりませんが、それらを遂行するためのリソースや専門知識が不足しています。

業界と地域による違い

米州、EMEA (欧州・中東・アフリカ)、アジア太平洋地域の 17 カ国、15 の異なる業界において、最も多く挙げられた規制は以下の通りです。

ISO 27001/2: 回答者の 51.2%
GDPR: 回答者の 40.4%
CIS: 回答者の 29.7%
NIST CSF: 回答者の 23.8%
PCI DSS: 回答者の 23.1%
HIPAA: 回答者の 21.7%
DORA: 回答者の 19.8%
NIS2: 回答者の 16.1%

これらは全体で最も多く挙げられた基準ですが、その採用状況は業界や地域によって大きく異なります。

例えば、流通・運輸業界の組織の 66% が ISO 27001/2 を挙げたのに対し、州・地方政府では 38% にとどまりました。同様に、スペインの企業の 60% が ISO 27001/2 への準拠を目指しているのに対し、メキシコでは 35% でした。また、米国の組織の 30% が NIST CSF を遵守しているのに対し、オーストラリアでは 13% でした。

コンプライアンスの現状: 3 つの重要なポイント

調査結果によると、組織が抱えるコンプライアンスの負担は大きく、コンプライアンスを維持することが継続的な課題となっています。IT およびサイバーセキュリティのリーダーにとって重要なポイントは以下の通りです。

コンプライアンスの複雑化は IT 部門の対応能力を上回っている

1 つの規制基準への準拠を維持することさえ困難であるのに、5 つものコンプライアンスを管理することは、いかなる組織にとっても膨大な作業となります。多くのフレームワークは同様の情報を必要とするため、担当者は大量の重複作業を行わなければなりません。また、10 組織中 8 つの組織 (79%) がコンプライアンス要件の変更に追いつくのが困難であると感じていることから、IT およびサイバーセキュリティのチームが対応に追われていることは明らかです。

コンプライアンスはリソース配分に重大な影響を与える

コンプライアンス関連の活動は、規制要件の把握や必要な制御策の実装から、遵守状況の報告に至るまで多岐にわたります。一般的な IT およびサイバーセキュリティチームの時間の 5 分の 2 がコンプライアンス対応に費やされている現状を踏まえると、組織はコンプライアンス義務を果たしつつ、ビジネス全体の IT およびサイバーセキュリティのニーズを満たすために、適切なリソースを確保することが不可欠です。

可視性の欠如がコンプライアンスとセキュリティの死角を生む

コンプライアンスを遵守していると「思う」だけでは不十分であり、実際に遵守していることを「把握」している必要があります。しかし、IT およびサイバーセキュリティリーダーの 82% が、必要なすべての規制や要件を完全に遵守できていない可能性を懸念していることから、チームがコンプライアンス状況を確認するために必要な可視性が不足していることは明らかです。完全に可視化されていない組織は、セキュリティ上や運用上のギャップを見逃すリスクにもさらされ、サイバーインシデントやデータ損失のリスクを高めることになります。

複数の規制やコンプライアンス基準への継続的な準拠を維持することは、すべての組織にとって大きな課題であり、特に中小企業にとっては、変化し続ける複数の規制を管理するために追加で人員を雇用するという財務的負担が大きいため、その影響は甚大です。コンプライアンス要件は今後も量と複雑さが増していく可能性が高いため、組織は専門知識とリソースを支援できる外部の専門家との連携も視野に入れ、継続的なコンプライアンス義務をどのように対応するのが最善かを検討すべきです。

著者について

Sophos

Sophos is a cybersecurity leader defending 600,000 organizations globally with an AI-driven platform and expert-led services. Sophos meets organizations wherever they are in their security maturity and grows with them to defeat cyberattacks. Its solutions combine machine learning, automation, and real-time threat intelligence with frontline human expertise from Sophos X-Ops to deliver advanced, 24/7 threat monitoring, detection, and response.

Sophos offers industry-leading managed detection and response (MDR) alongside a comprehensive portfolio of cybersecurity technologies — including endpoint, network, email, and cloud security, extended detection and response (XDR), identity threat detection and response (ITDR), and next-gen SIEM. Together with expert advisory services, these capabilities help organizations proactively reduce risk and respond faster, with the visibility and scalability needed to stay ahead of evolving threats.

Sophos goes to market with a global partner ecosystem, including Managed Service Providers (MSPs), Managed Security Service Providers (MSSPs), resellers and distributors, marketplace integrations, and cyber risk partners, giving organizations the flexibility to choose trusted relationships when securing their business. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.