英国政府は、上級幹部がほぼ確実に起こりうる将来のサイバー攻撃への備えを強化し、政府だけに保護を頼ることはできないと警告しました。
英国のセキュリティ大臣ダン・ジャーヴィスは本日、「サイバーセキュリティはあまりにも長い間、中間管理職の懸念事項であり、危機の際にのみ上級幹部にエスカレーションされている」と警告しました。
「英国政府は、ジャガー・ランドローバーでの取り組みを通じて示したように、サイバーセキュリティに関する強力なパートナーシップを構築していますが、企業が政府だけで守られることはできないとはっきり申し上げます」と、10月14日にロンドンの国立サイバーセキュリティセンター(NCSC)本部で述べました。
NCSCのディレクターであるリチャード・ホーンは強調しました。「ランサムウェア攻撃のような危機を経験している組織に聞いてみてください。最終的には、CEOや執行委員会、他の取締役が危機管理を担うことになるのです。」
「今こそ行動すべき時です。あなたがキッチンテーブルで一人で仕事をしているリーダーであろうと、何千人もの部下を持つボスであろうと、犯罪的なサイバー攻撃に対抗する計画、そして事業継続の計画を持たなければなりません。サイバー攻撃が突破した場合、ITシステムが使えなくても事業を継続する方法を知っておく必要があります」とホーンは続けました。
これらの警告は、NCSCの2025年年次レビュー(10月14日発表)で、「国家的に重要」なサイバーインシデントの件数が過去最高となったことを受けてのものです。2024年9月から2025年8月の間に204件、そのうち18件が「非常に重大」とされました。
上級幹部にサイバー脅威への備えを促すため、NCSCの年次レビューの序文には、今年初めに大規模なサイバー攻撃を受けた企業のCEOからの手紙が掲載されました。
この手紙の中で、Co-opグループのCEO、シリーン・クーリー=ハック氏は「最終的な責任は私たち上級リーダーにあります。自社を守る最善の方法、そして攻撃に対抗する最善の手段、顧客や同僚をあらゆる段階で支援することも含めて、常に検討し続けてください」と述べています。
英国政府、FTSE350のCEOにサイバー防御強化を要請
英国のセキュリティ大臣はまた、FTSE350企業すべてのCEOに対し、サイバー脅威をより認識するよう促す書簡を送付したことを発表しました。
このメッセージでは、組織がサイバーインシデント対応計画の紙のコピーを常に用意しておくことを強く推奨しており、デジタルのみの準備では危機時に機能しない可能性があると警告しています。
この書簡には、ジャーヴィス大臣のほか、財務大臣レイチェル・リーブス、ビジネス大臣ピーター・カイル、テクノロジー大臣リズ・ケンダル、さらにNCSCおよび国家犯罪対策庁(NCA)のトップも署名しています。
Infosecurityの取材に対し、NCSCの国家レジリエンス担当ディレクター、ジョナサン・エリソン氏は、この書簡がCEOにサプライチェーンについても考慮する必要性を伝えていると付け加えました。彼は、サプライチェーン内の企業が十分なサイバーセキュリティを備えていることを保証する方法の一つとして「Cyber Essentials」を挙げました。
2014年に導入されたCyber Essentialsは、英国政府が支援する自主的な認証制度で、組織がインターネットを介した一般的な脅威からリスクを軽減するために実施すべき基本的な管理策を提供することを目的としています。
Cyber Essentialsの導入は依然として遅い
エリソン氏が企業にCyber Essentialsの導入を促しているにもかかわらず、この制度の普及は比較的遅いままです。これは以前から、NCSCが英国のビジネスリーダーが基礎的なサイバーセキュリティ対策への投資に消極的であることの指標として指摘してきました。
2025年5月、マンチェスターで開催されたCYBERUKでエリソン氏は、3万5000の英国組織がCyber Essentials認証を取得しているものの、「まだまだ少なすぎる」と警告しました。英国には550万の企業があるため、Cyber Essentialsを取得した企業の数は「私たちが目指す水準には到底及ばない」と述べました。
本日、NCSCの2025年年次レビューは、この数が39,790社に達したと報告しました。
Infosecurityの取材に対し、エリソン氏は2025年が「企業による新規Cyber Essentials認証取得件数で過去最大の年になる」と強調しました。しかし、彼は「それでもまだ十分ではない」と繰り返しました。
彼は普及が遅い主な理由を2つ挙げました。「第一に、一部の企業にとってサイバーセキュリティは圧倒的に感じられることです。私たちは、彼らがこの取り組みを始められるよう、管理可能なステップを踏めるよう支援する必要があります。そして、組織を支援するという課題もあり、私たちは全国で認証機関やサイバーアドバイザーの数を増やしてきました。」
NCSC、サイバーアクションツールキットを開始
エリソン氏は、2つの新しいNCSCサービスがCyber Essentialsの普及を加速させる可能性があると強調しました。
まず、2025年4月に、同庁はサイバーガバナンス行動規範およびサイバーガバナンストレーニングプログラムを開始し、上級幹部や取締役が自組織やサプライチェーンのサイバーリスクをよりよく理解できるよう支援しています。
そしてNCSCは、2025年年次レビューの発表と同時に、10月14日にサイバーアクションツールキットを開始しました。
この新しい無料のパーソナライズされたサイバーセキュリティソリューションツールセットは、サイバー防御をシンプルで実現可能なステップに変えることを目的としており、主に個人事業主、マイクロビジネス、小規模組織向けに設計されています。
しかし、エリソン氏はこのツールが「Cyber Essentialsへの道」ともなり得ると考えており、企業が「私たちが企業に求める最低限のサイバーセキュリティ基準」へと、より実現しやすいステップを踏むのに役立つと述べています。
翻訳元: https://www.infosecurity-magazine.com/news/execs-falling-short-cyber/
