英国では、中小企業(SME)がサイバーセキュリティの課題に取り組むを支援する小規模な取り組みが、より大きな将来に向けた準備を進めながら規模を拡大しています。
「Cybersecurity Communities of Support(CyCOS)」は、ノッティンガム大学、ロンドン・クイーン・メアリー大学、ケント大学の研究者たちが立ち上げた、英国の研究主導型パイロットプログラムです。小規模・零細企業向けの新しいピア主導型サイバー支援モデルの検証を目的としています。
このプロジェクトは2023年末、中小企業向けサイバーガイダンスのギャップに関する調査として始まり、やがて実践的なパイロットへと発展しました。その中で、零細企業に特化したコミュニティと、中小企業に特化したコミュニティという2つの専門コミュニティが設立されました。
各コミュニティは意図的に小規模で管理しやすい規模に保たれており、ボランティアのサイバー実務者がサポートすることで、メンバーが信頼関係を築き、経験を共有し、タイムリーで実践的な支援を受けられるようにしています。
Infosecurityの取材に対し、ノッティンガム大学のサイバーセキュリティ教授スティーブン・ファーネル氏は次のように述べています。「各コミュニティには2〜3名の専門家と8〜9の組織が参加しており、有用性を保ちつつも個人的なつながりを維持できる規模感になっています。」
CyCOSは、中小企業のスケジュールに合わせた同期・非同期のサポートを組み合わせて運営されています。
- 定期的なテーマ別ウェビナーおよび不定期の対面ミーティング
- コミュニティ横断的な情報共有や議論のための全体会議セッション
- ボランティアのサイバー専門家がリアルタイムで質問に答えるライブ「Ask Me Anything」セッション
- コミュニティスレッド、アンケート、セッション録画、随時のQ&Aをホストするサポートブローカーオンラインプラットフォーム(イベントの合間も会話を継続可能)
- ライブ参加できないメンバーも恩恵を受けられるよう、録画と共有リソースを提供
2年以上にわたり研究者がプロジェクトを運営してきた結果、CyCOSは新たなフェーズへの移行を迎えようとしており、拡大が計画されるとともに研究者による主導体制は縮小される予定だと、ファーネル氏はInfosecurityに語りました。
CyCOS、CIISec移管に向けて7コミュニティに拡大
発表された拡大計画では、新たに5つのコミュニティが追加され、パイロットコーホートは2つから7つへと増加します。
この動きは、学術的な資金調達フェーズが終盤を迎えるなか、すでにCyCOSのパートナーであるサイバーセキュリティ実務者向けの専門団体英国情報セキュリティ協会(CIISec)へのプロジェクト移管準備が進む中で行われます。
「サイバーセキュリティ支援コミュニティというCyCOSのコンセプトは継続しますが、CIISec内で推進されることになります。私たち研究者も引き続き関与しますが、これまでのようにプロジェクトを運営する立場ではなくなります」とファーネル氏は述べました。
Infosecurityの取材に対し、CIISec CEOのアマンダ・フィンチ氏は、CyCOSの発展に「携われることを誇りに思う」と語りました。
「セキュリティの専門家として、私たちには小規模組織のサイバーレジリエンス向上を支援する責務があります。現在の支援コミュニティはすでにこの分野で優れた成果を上げており、さらに多くのコミュニティが設立されることを大変嬉しく思います」と同氏は付け加えました。
ファーネル氏は、この早期段階では5つの新コミュニティについての詳細情報を提供できないとしながらも、それらはいずれも「他の中小企業を集められる規模のコミュニティを作れると考えた」中小企業によって設立され、「コミュニティ内の灯台」として積極的にファシリテーターの役割を担うべく名乗りを上げたものだと説明しました。
新しいCyCOSコミュニティは、地理的な地域、業種、あるいはサプライチェーンを軸として形成されることがあります。
主導する中小企業には「コミュニティツールキット」が提供されており、メンバーの募集、コミュニティの設立と運営化の手順が示されています。この文書はまた、CIISecへの責任移管後もグループがこのモデルを複製できるよう整備されています。
中小企業はリスクを認識しているが、対応方法が分からない
中小企業へのサイバー脅威は、市民と脅威アクターの双方が中小企業を「あらゆる人の生活と活動に欠かせない存在」と認識するようになるにつれ、進化・拡大してきたとファーネル氏は述べています。
「特に、サプライチェーンに影響を与え、中小企業を巻き込む大規模なサイバーインシデントが多数発生しています」と同氏は付け加えました。
このような厳しい環境の中、サイバーセキュリティガイダンスや政府プログラムの認知度は、英国の中小企業リーダーの間で依然として限られており、企業規模が小さくなるほど認知度も低くなる傾向があると同氏は述べています。
この傾向は、英国政府が認定するサイバー衛生レベルの認証制度「Cyber Essentials」において特に顕著です。
ファーネル氏とCyCOSの参照指標である最新のUK Cyber Security Breaches調査によると、大企業の64%、中規模企業の56%がこのプログラムを認知しているのに対し、小規模企業では25%、零細企業ではわずか14%にとどまっています。
しかし、CyCOSプロジェクトに2年以上携わってきたファーネル氏は、中小企業にとっての主な問題は必ずしもサイバー衛生の重要性に対する認識の欠如ではなく、サイバーセキュリティを実装するためのリソースと専門知識をどこで見つけるかという点にあると考えています。
「多くのケースで、私たちが話しかける人々は問題を認識しているものの、行動を起こす力があると感じていません」とファーネル氏は説明しました。
Infosecurityの取材に対し、ハウデン社のデジタルレジリエンスサービス部門責任者であり中小企業連盟(FSB)のボランティアでもあるヘレン・バージ氏は、一部の中小企業がサイバーセキュリティで遅れをとる主な理由として予算不足が挙げられることを一蹴しました。
「その言い訳にはうんざりしています。多要素認証(MFA)のように、導入できる管理策の中にはお金がかからないものも実際にあります」と同氏は強調しました。
「パッチ適用のように多額の費用がかかるものもありますが、予算だけが制約要因ではありません」と同氏は付け加えました。
同氏は、2025年にリリースされたNCSC(国家サイバーセキュリティセンター)のサイバーアクションツールキットをはじめ、英国政府が公開した「優れたガイダンス」のアクセスしやすさを強調しました。
サイバー専任スタッフが必ずしも十分でない中小企業にとって重要なこととして、バージ氏が挙げたのは適切なITおよびサイバーセキュリティプロバイダーを選ぶことです。
同氏は、特に中小企業との取引において問題のある慣行を行う一部のサイバーセキュリティプロバイダーを批判しました。
「今週初めにあるクライアントと仕事をしていましたが、そのクライアントのITプロバイダーは14日以内のパッチ適用に追加料金を請求していました。これは英国でCyber Essentials認定を取得するための要件なのに、それは許容できません。清掃員が漂白剤のボトルを買うために追加料金を請求しないように、それはサービスの一部のはずです」と同氏は述べました。
しかしバージ氏は次のように指摘しています。「全員を同じように批判したいわけではありません。すべての中小企業が【サイバーセキュリティに】不得手なわけではないことも伝えておきたいと思います。CyCOSやFSBの中には、素晴らしい取り組みをしており、サイバー衛生において際立っている企業も存在します。」
スティーブン・ファーネル氏、アマンダ・フィンチ氏、ヘレン・バージ氏は、「Communities of Support: Scaling Practical Cyber Help for SMEs(支援コミュニティ:中小企業向け実践的サイバー支援の拡大)」と題したパネルセッションに登壇します。このセッションは、2026年6月4日(木)のInfosecurity Europe 2026基調講演ステージにて11:50〜12:30に開催されます。スティーブン・ファーネル氏はInfosec Sidequestでサイバーゲーミフィケーションアクティビティも実施します。CIISec はブース #F155 および #F157 でご覧いただけます。Infosecurity Europeへの参加登録はこちら。
翻訳元: https://www.infosecurity-magazine.com/news/cycos-expands-uk-smes-ciisec/
