2025.11.05
ケーススタディ:主要通信事業者がRescanaを活用し、
NIS2などコンプライアンス評価を顧客に提供
概要
規制強化が進む時代において、企業顧客は通信事業者(Telco)に対し、単なる通信サービスの提供だけでなく、保証・コンプライアンス・セキュリティの確保を期待しています。
NIS2、GDPR、ISO 27001といった規制要件がヨーロッパ全域に拡大するなか、通信事業者は信頼性の高いサイバーセキュリティサービスを大規模に提供できる立場にあります。
この需要に応えるため、主要通信事業者は、世界初の自律型エージェントベースのサードパーティリスク管理(TPRM)プラットフォームであるRescanaと提携し、完全自動化された顧客向けコンプライアンス評価サービスを構築しました。
課題
企業顧客は次のような圧力に直面しています:
- NIS2への準拠を証明し、セキュリティギャップを解消すること
- 外部における脆弱性や露出状況を継続的に監視すること
- 規制当局や取引先に対し、監査対応可能な証拠を提示すること
課題は明確でした:
どのようにすれば、運用負担を増やさずに、数千社の顧客に対して高品質かつスケーラブルで収益性の高いコンプライアンス評価を提供できるのか?
解決策 — Rescanaによる「Compliance-as-a-Service」
Rescanaは、通信事業者が自社ブランドのもとで自律型・AI駆動のNIS2および標準準拠コンプライアンス評価を顧客に提供できるよう支援します。
本サービスは以下の要素で構成されています:
- OSINT駆動のスキャン:外部露出や脆弱性を自動的に検出
- AI支援自己評価アンケート:NIS2、ISO 27001などに準拠
- AIによる自動相関分析とレポート生成:即時のコンプライアンス洞察を提供
その結果、Rescanaは完全自律型・ホワイトラベル形式のサービスとして、コンプライアンスを「コストセンター」から「高利益率のマネージドサービス」へと転換します。
仕組み:オンボーディングから監査対応レポートまで
Rescanaのエージェントベースアーキテクチャにより、通信事業者は手作業なしで数分以内に顧客をオンボードおよび評価できます。
1. 即時オンボーディング
顧客が通信事業者のRescanaポータルに追加されると:
- システムが自動的に顧客のドメイン・IP・クラウド資産をOSINTベースでスキャン
- 公開サービス、旧式技術、既知の脆弱性をマッピング
- すべての検出結果が顧客のリスクプロファイルに自動相関されます
2. AIガイド付きアンケート
顧客はNIS2などの標準に沿ったスマートなインタラクティブ質問票に回答します。
- RescanaのAIアシスタントが用語を解説し、正確な回答を提案
- 一貫した品質のデータ入力を保証
- 直感的で教育的、かつ完全自動化されたプロセス
3. 自律型リスク評価
アンケートが完了すると、Rescanaのリスク評価エージェントが自動的に:
- OSINT結果とアンケートデータを相関分析
- NIS2、ISO 27001、GDPRとの整合性を評価
- 優先順位付きリスク是正プランを自動生成
4. 即時レポート生成
Rescanaのレポート生成エージェントが2種類の出力を作成します:
- 顧客向けレポート:セキュリティ体制、コンプライアンススコア、推奨アクションを要約
- 監査人向けレポート:各コントロールを基準フレームワークにマッピング
両レポートは自動的に顧客および監査人・規制当局に共有され、通常は数時間以内に提供されます。
拡張機能 — AIによるカスタマイズと継続レポーティング
通信事業者は、RescanaのAI拡張機能を活用してプレミアム機能を提供できます。
1. 定期・オンデマンドレポート
- 日次/週次/月次などのレポート頻度を顧客が選択可能
- 必要に応じて即時レポートを生成し、リアルタイムの準拠状況を可視化
2. カスタマイズレポート
- セキュリティ運用チーム向けのMITREベースレポート
- NIS2・ISO 27001などとの乖離を示すGAP分析レポート
- 経営層・監査人・規制当局向けのエグゼクティブサマリー
3. 高度AI機能
- 業界ベンチマークとの動的比較
- 準拠度の将来変動を予測するリスクモデル
- スマート提案とベンダー連携による自動是正追跡
これらの機能により、顧客は前例のない可視性とコントロールを得ると同時に、通信事業者は追加コストを最小化してプレミアムプランを展開できます。
ビジネスインパクト
| 指標 | 結果 |
| 評価時間 | 数週間 → 数時間に短縮 |
| 手作業負荷 | 80〜90%削減 |
| 顧客カバレッジ | 数千件を同時評価可能 |
| 顧客満足度 | 即時結果と透明性で大幅向上 |
収益モデル
Rescanaの自動化により、通信事業者は以下を実現します:
- NIS2-as-a-Serviceを追加人員なしで大規模展開
- 階層型サブスクリプションプラン(Basic/Pro/Continuous Monitoring)を提供
- 年次更新による継続収益モデルを確立
これにより、通信事業者は信頼されるコンプライアンスプロバイダーとして顧客忠誠度を高め、収益成長を加速します。
顧客価値
企業顧客にとっての主な利点:
- 監査対応可能なNIS2/ISO評価を数時間で取得
- OSINTによる継続的な外部リスク監視
- 規制要件や社内基準に合わせたレポートのカスタマイズ
- コンサルタント不要のAIガイド付き改善支援
Rescanaは、通信事業者が「書類上のコンプライアンス」ではなく、実質的価値あるセキュリティ成果を提供できるようにします。
コメント
結論
Rescanaの自律型AIプラットフォームを統合することで、通信事業者はコンプライアンスを**「規制対応義務」から「戦略的・収益性の高いサービス」へと変革**しました。
Rescanaについて
<参考情報>
🔹 NIS2とは?
Directive (EU) 2022/2555 — on measures for ahigh common level of cybersecurity across the Union
これは、2016年に施行されたNIS指令(初代Networkand Information Security Directive)を強化・拡張した第2版にあたります。
🔹 目的
NIS2の目的は、
特に以下を重視しています:
- サイバー攻撃のリスク低減
- 重要インフラ(電力・通信・運輸・金融など)の防御強化
- サプライチェーン全体のセキュリティ強化
- インシデント報告の義務化
🔹 対象となる組織
| 区分 | 例 |
| エネルギー | 電力、ガス、石油、再生可能エネルギー、LNGなど |
| 運輸 | 航空、鉄道、海運、道路 |
| 金融 | 銀行、証券、保険 |
| ICTサービス | 通信事業者、データセンター、クラウド、DNS、CDN |
| 保健・医療 | 病院、製薬会社 |
| 公共サービス | 政府機関、上下水道、廃棄物処理など |
| 研究・宇宙 | 研究機関、宇宙関連産業など |
🔹 企業の義務
- リスク管理措置の実施
- セキュリティポリシー、アクセス管理、暗号化、サプライチェーン監視など
- 重大インシデントの報告義務
- 重大なサイバー攻撃は24時間以内に報告
- サプライチェーン・ベンダー管理
- 外部委託先のセキュリティ評価とリスク管理
- 経営責任の明確化
- 経営層(取締役等)が直接的な責任を負う
- 罰則
- 違反時には最大で年間売上高の2%の罰金などの行政制裁
🔹 NIS2に関連する他の基準
NIS2は単体で機能するわけではなく、次のような標準との整合性を求めます:
- ISO/IEC 27001(情報セキュリティマネジメント)
- GDPR(データ保護規則)
- ENISA(EUサイバーセキュリティ庁)によるセクター別ガイドライン
🔹 まとめ
| 項目 | 内容 |
| 名称 | NIS2(Network and Information Security Directive 2) |
| 施行 | 2023年(加盟国は2024年10月までに国内法化) |
| 目的 | EU全域での高水準なサイバーセキュリティ確保 |
| 特徴 | サプライチェーン管理・経営責任・罰則強化 |
| 対象 | エネルギー、通信、金融、公共機関など広範囲 |
| 関連規格 | ISO27001、GDPR、ENISAガイドラインなど |
ご興味をお持ちのお客様へはシステムのデモやサンプルレポートのご提供等のご相談も承っておりますので、ご遠慮なくお申し付けください。
お問い合わせはこちらまで。