NIS 2 · DORA · Cyber Resilience Act

サイバー防衛はインシデントの前に築かれるものであり、後から強制されるものではない

フランスの国家サイバー機関は、四つの法制度と、その所管範囲の二十倍もの拡大に同時に対応しています。エンフォースメントは事象が発生した後にしか作用しえないため、これほど大きくなったエコシステムを守ることは、必要に先立って築かれる訓練、ツール、要員の能力に依存します。その能力は、それを築きうるすべての主体が築くべきものです。

2026年6月、フランスの技術メディアClubicに応じたインタビューにおいて、ANSSI長官Vincent Strubelは、あるサイバーガバナンスの課題群を語りました。それは個々の項目よりも、これほど多くの厳しい項目が同時に並んでいるという点で際立っています(Belfiore 2026)。同じ対話の中で彼は、暗号化と合法的アクセスの将来、クラウド事業者の認定、次の十年に及ぶポスト量子への移行、デジタルガバナンスのために新設された調整機関、そして規制対象主体の母集団を二十倍以上に増やす指令について論じました。注意深く読めば、このインタビューは状況報告というよりも、平静さをもって担われた困難な立場の肖像であり、明確に述べるに値するサイバー防衛の構造的な何かを指し示しています。エンフォースメントと是正措置は、その性質上、事後に作用します。それらはその後に起こることを形づくることはできても、それを促したインシデントを取り消すことはできません。この一つの観察こそが、はるかに大きな規制対象母集団が実際にどのように守られるのかという問い全体を捉え直し、民間の能力から生じる有用な応答とは、依頼されるのを待つことではなく、この分野の誰もがすでに共有している目標に向けて必要に先立って能力を築くことだと示唆しています。

規制の全体像、そして各権限を実際に握っているのは誰か

フランスおよび欧州連合のサイバーガバナンスは、いまや四つの重なり合う法的手段にまたがっており、重要なことに、その四つすべてを一つの当局が握ってはいません。LPM(loi de programmation militaire)とNIS 2(第二次ネットワーク情報セキュリティ指令)はANSSI自身の直接の所管の内にあります。フランスにおけるDORA(Digital Operational Resilience Act)の監督は、銀行と保険会社についてはACPR(Autorité de Contrôle Prudentiel et de Résolution)が、資産運用会社と市場インフラについてはAMF(Autorité des Marchés Financiers)が担っています(Autorité de contrôle prudentiel et de résolution 2026; Autorité des marchés financiers 2026)。CRA(Cyber Resilience Act)のもとでの市場監視はANFR(Agence Nationale des Fréquences)が担い、ANSSIは適合性評価機関を認定する責任を負う通知当局としてのみ機能します。この役割は市場監視そのものとは区別されます(ANFR 2026; ANSSI 2026a)。NIS 2遵守のための運用上の基準線として、ANSSIは2026年3月17日にReCyF(Référentiel Cyber France、バージョン2.5)を公表し、二十の必須セキュリティ目標を定めました(Ledieu-Avocats 2026)。

この対応関係が重要なのは、実務的な理由と公正さの理由からです。実務的には、四つの枠組みの間を行き来する読者は、どの問いについてどの当局に接触すべきかを知る必要があります。公正さの観点からは、これはANSSIが個別には統制していない諸制度をまたいで国家的な姿勢を調整していることを示します。これこそが、その立場を欠陥のあるものではなく困難なものにしている要因の一つです。

困難で多正面にわたる任務の形

Strubelのインタビューを読み解く最も正確な方法は、それを同時並行の記述として捉えることです。いくつもの厳しいプログラムが同じ瞬間に進行しており、それぞれが独自の時計で動いています。暗号化と合法的アクセスの問いは、Strubel自身が最終的には技術的というより政治的だと特徴づけるものであり、その解決をいかなる機関の技術的統制の外に、そして立法と公論というより緩慢な仕組みの内に置きます(Belfiore 2026)。ポスト量子への移行は、長期にわたる機密データを保持するあらゆる組織に及ぶ複数年の暗号技術上の転換です。新たな調整機関の創設は、デジタルガバナンスをさらに断片化させるのではなく統合しようとする試みを示唆しています。そしてそのすべての底流にあるのがNIS 2の対象範囲の拡大であり、Strubelはこれを約500の規制対象主体から推定10,000ないし15,000への動きとしています(Belfiore 2026)。

これらのいずれか一つだけでも、それ自体で相当なプログラムでしょう。そのうち二つだけをANSSIが直接統制する諸制度をまたいで、それらを同時に担うことは、うまく担うのが真に難しい任務を描き出します。ANSSIはそれをどう担うかについて率直かつ一貫しています。すなわち、すべてのサーバーの背後に配置された担当者という虚構ではなく、伴走を第一とし、指針に導かれた姿勢を通じてです。これは現実の制約のもとでの合理的な選択であり、本稿はそれをまさにそのように、すなわち困難な任務のための正当な戦略として受け止めます。何かが欠けている証拠としてではありません。

エンフォースメントは構造上、事後的である

その任務からは、評価的というよりも構造的な観察が導かれます。エンフォースメントと是正措置は、その性質上、後から起こる事柄です。監査の指摘はすでに存在する状態を記録します。制裁はすでに発生した違反に応答します。是正命令はすでに機能不全に陥ったシステムを復旧します。これらの手段はいずれも価値があり、いずれも将来の行動を形づくりますが、そのどれも遡ってそれを引き起こした事象を防ぐことはできません。これはANSSIや特定の規制当局の性質ではありません。エンフォースメントそのものの性質です。

その帰結は直接述べる価値があります。見過ごしやすいからです。ANSSIは、攻撃が進行中のその瞬間にシステムを守る機関という意味での是正機関ではなく、構造上そうなりえません。いかなるエンフォースメント当局もそうなりえません。リアルタイムのサイバー防衛、すなわちインシデントが進行中に行われる実際の検知、封じ込め、復旧は、影響を受けた組織の内部で、その瞬間に手元にある実務者とツールによって遂行されます。エンフォースメントはそれらの組織が従うべき基準を定めます。それは、基準が試されるときに組織が必要とする能力の代わりを務めることはなく、務めることもできません。これを認識することは、誰かがどれだけエンフォースメントするかへの批判ではありません。エンフォースメントが何のためにあるのかの明確化です。

二十倍に大きくなったエコシステムを守るために必要なもの

先の二つの点を組み合わせてください。自らを守ることを期待される主体の母集団は二十倍以上に増えており、国家が投入しうる主たる手段であるエンフォースメントは、構造上、防衛そのものを行うことができません。したがって実際の防衛は、エンフォースメントが需要に応じて生み出せないもの、すなわち能力に依存します。統制を実装し運用できる人材。監査の直前に慌てて寄せ集めるのではなく、証跡を継続的にするツール。組織が対象範囲に入った後ではなく、その前にそこへ届く訓練。そしてそのすべては必要に先立って存在していなければなりません。インシデントの後に築かれた能力は、定義上、そのインシデントには手遅れだからです。

公的な指針はこの応答の実質的な一部であり、そのように評価されるべきです。ReCyFのもとでのANSSI自身の伴走資料は、指針文書、ウェビナー、そして基準に書き込まれた訓練義務を含み、組織がエンフォースメントの期日が到来する前に能力を築くことを助けることに真正面から向けられています(ANSSI 2026b)。しかし二十倍拡大の算術は容赦なく、いかなる一つの機関も、どれほどよく運営されていようと、規制が定める期限までに、その規模のエコシステムのための訓練、ツール、要員の全曲線を供給することはできません。それは誰かの落ち度ではありません。それは共有された課題であり、そのように扱うのが最善です。

このタイミングの問題の背後には、よく発展した経営科学の一群があります。システムダイナミクスの伝統(Sterman 2000)のもとで研究する、Massachusetts Institute of TechnologyのJohn StermanとNelson Repenningは、彼らが能力の罠と呼ぶものを定式化しました。すなわち、能力の構築に投資する組織は、その業績が改善する前にいったん落ち込む、良くなる前に悪くなる経路をたどり、一方で単により懸命に働くだけの組織は、業績が損なわれる前に短期的な安堵を得る、悪くなる前に良くなる経路をたどるのであり、彼らのモデルはこの分岐を、時とともに離れていく二本の能力曲線として描き出します(Repenning and Sterman 2002)。彼らの先行研究は、その人間的な障害を表題そのものに掲げています。すなわち、決して起こらなかった問題を解決したことに対して、人は誰も評価されない、というものです(Repenning and Sterman 2001)。来たるべきNIS 2の対象範囲の拡大に照らせば、その含意は直截です。二十倍に大きくなったエコシステムを守る能力は、良くなる前に悪くなる経路に沿って、それが防ぐインシデントに先立って、そしてまさに目に見える危機がまだその支出を正当化しないときに築かれなければなりません。この力学を自ら確かめたい読者は、CCIのシステムダイナミクス講座の第13モジュール、能力の罠についてで、対話的にたどることができます。

善意のパートナー: 求められるのを待たずに能力を築く

ここに、民間の能力が、それを担うために雇われることに依存しない役割を持ちます。訓練コンテンツ、ツール、あるいは熟練した実務者を持つ企業には、特定の契約、監査業務、規制上の契機とは独立に、いま能力を築いて共有することに投資する理由があります。単純な理由からです。すなわち、共有された目標、つまりかつての二十倍に大きくなったエコシステム全体で実際に機能するサイバー防衛は、最終的に誰が何に支払うかにかかわらず、その投資によって前進するのです。この理屈に従って行動するパートナー、すなわち取引が目の前にあるからではなく課題が現実だからこそ能力を提供するパートナーこそ、本稿が善意のパートナーと呼ぶものです。この言葉は装飾ではなく字義どおりの意味です。その試金石は、その組織がいつか顧客になるかどうかにかかわらず、貢献がその組織にとって有用かどうかです。

Cambridge Cyber International(CCI)はそうしたパートナーの一つとして行動する意図を持ち、貢献しうるし貢献すべき多くの主体のうちの一つにすぎないことを率直に認めています。その立場は意図的に単純です。責任を割り振るのではなく、教育し、訓練し、ツールを提供することです。実際には、これはすでに築いた二つのものに帰着します。第一はそのAcademyであり、その訓練は、その組織が後に残りの能力をどこから調達するかにかかわらず、チームが必要とするサイバースキルを築こうとするあらゆる組織にとって有用です。第二はCySSURANCEスイートであり、これは同じ考えをツールの側に持ち込み、さまざまな準備機能を一か所にまとめます。すなわち、自動化された証跡収集、エンタープライズアーキテクチャのモデリング、レジリエンスの計算、金銭的損失の評価、要員評価、情報通信技術(ICT)の演習、優先順位づけされた是正、ベンダー管理、監査準備、そして役員レベルのダッシュボードです。まとめると、教育、訓練、ツールは、対象範囲の拡大が何倍にもする監査準備と人材の負担に答えます。それはまさに、インシデントの後ではなく必要に先立って行われなければならない仕事です。これらはここで、論の目的としてではなく、その一例として挙げられています。論は、読者がCCIと関わろうと、その同業者の一つと関わろうと、あるいは能力を完全に自前で築こうと、成り立ちます。

反論と限界

明白な反論は、自社の提供物を善意の貢献と表現する企業は、より上品な作法での広告にすぎない、というものです。この反論には、安心させる言葉ではなく、実質的な答えがふさわしいです。その答えは、読者が適用できる試金石です。すなわち、その貢献は何も買わない組織を助けるか、というものです。契約につながろうとつながるまいとチームの準備を高める訓練、収益化されようとされまいと正確な指針、そして競合他社や自前構築のほうが適する場合についての正直さ、これらはいずれもその試金石を通ります。購入しなければ役に立たない資源はそれに落ちます。読者は本稿を、そしてCCIを、その基準に照らして評価する権利があります。

第二の反論は、民間の能力は公的権威の代わりにはなりえず、その代わりを務めようとすべきではない、というものです。これは正しく、ここでは何一つそれを提案していません。論は補完的であり、代替的ではありません。ANSSIの任務、基準設定、調整は、まさに民間の主体が提供できず、また提供すべきでないものです。主張はより限定的です。すなわち、エンフォースメントが行えないリアルタイムの防衛は能力から築かれること、そしてその能力は一つ以上の方向から提供できるし、提供されるべきだ、ということです。

第三の、より地味な限界は情報源に関わります。インタビューは法的文書ではなく、具体的な数字や日付、対象範囲の正確な数値やNIS 2の国内法化法の状況を含めて、それらが確定した段階で一次資料と照合されるべきです。とりわけ国内法化の日程は、いかなる行政機関でもなくフランス議会に委ねられています。これらのいずれも、いかなる一つの日付にも依拠していない構造的な論を変えるものではありませんが、それらに基づいて行動する前に細部を検証すべき理由ではあります。

実務または政策への含意

役員会やCISOにとって、防衛を事後に強制されるものではなく必要に先立って築かれるものとして扱うことの実務的な帰結は、順序の変更です。能力に関する決定、すなわち誰を訓練するか、どのツールが証跡を継続的にするか、要員をどう拡大するかは、エンフォースメントの期日に応じてではなく、それに先立って、より早く動きます。具体的には、それは対象範囲への包含が確定する前に要員の準備を始めること、継続的な証跡収集を監査前の突貫作業ではなく常設の能力として扱うこと、そして、新たに規制される主体の最大の集団が同じスキルを求めて手を伸ばすまさにそのときに最も逼迫する労働市場を見据えて要員を計画することを意味します。

関連する能力を持つ民間の主体にとって、その含意は需要に先立って貢献するという招きです。すなわち、教育、訓練、ツールを販売とは独立に有用にし、そのことを率直に示すことです。CCIのAcademyとそのCySSURANCEスイートは、唯一の道としてではなく複数の選択肢の一つとして、その精神で提供されており、提供者の選択は、能力が必要とされる前に築かれるという事実に比べれば、はるかに重要度が低いのです。

公私関係全体にとって、その含意はレジスターの変更です。生産的な枠組みは、誰が十分に行ったか否かの帳簿ではなく、共有された目標、すなわち実際に機能するサイバー防衛です。その実務的な表現は単純です。事後に責任を割り振るのではなく、必要に先立って教育し、訓練し、ツールを提供することです。エンフォースメントと貢献は競合するものではありません。それらは同じ事業の異なる部分です。

結論

ANSSIは真に困難な任務を担っています。すなわち、四つの法制度、単独では解決できない政治的議論、複数年の暗号技術上の移行、新たな調整機関、そして二十倍に拡大する規制対象母集団であり、それを、現実の制約のもとで選ばれた一貫した指針第一の戦略で担っています。その立場を正直に読むと、批判的というよりも構造的な結論に至ります。すなわち、エンフォースメントはインシデントの後にしか作用しえないため、その瞬間に重要となる防衛は事前に、必要に先立って存在していなければならない能力から築かれる、ということです。その能力は、いかなる一つの機関よりも大きな共有された課題であり、それに貢献しうるすべての者によって、一つ以上の方向から、この分野全体がすでに共通して抱く目標に資するべく満たされるのが最善です。したがって民間の能力にとって有用な姿勢は、依頼されるのを待つことではなく、需要に先立って築き、共有すること、しかも見返りに特に何も期待しないことです。よりよく守られたエコシステムこそが見返りだからです。サイバー防衛はインシデントの前に築かれます。行う価値のある仕事は、その構築です。

どこから始めるか

もしあなたのチームが来るべきものに向けてサイバー準備を築いているなら、CCI Academyは開かれた出発点です。あなたが今後CCIとさらに関わるかどうかにかかわらず。その訓練はそれ自体で有用です。目的地ではなく開かれた扉と考えてください。

CCI Academyを見る →

References

Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act

ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/

ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/

Autorité de contrôle prudentiel et de résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora

Autorité des marchés financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora

Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html

Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/

Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101

Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806

Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/

エンフォースメントは基準を定める。しかしその基準が試す能力の代わりを務めることはできない。

CCIの視点

参照されるソリューション: Academy · CySSURANCE. すべての製品を見る · 専門家に相談する.

貴社もこのリスクに直面していますか?

専門家に相談する →