複数の事情通によると、国家経済全体を国家支援型・犯罪型のハッキングから守るための英国政府の新戦略「国家サイバー行動計画」が、キア・スターマー首相の辞任を受けて再び延期されました。
同計画は月曜日に公表される予定でしたが、7月9日に始まる与党・労働党の党首選をめぐる不透明感のなかで延期されたとのことです。
政府報道官はRecorded Future Newsの取材に対し、国家サイバー行動計画の公表方針に変わりはないと述べました。
同報道官は「国家の安全保障を守ることは我々の最優先の責務です。だからこそ、サイバーセキュリティ・レジリエンス法案による防御力の強化、国家サイバーレジリエンス誓約による企業のセキュリティ向上、そして国家サイバーセキュリティセンター(NCSC)を通じた全国の組織への専門的支援の日々の提供という形で対策を進めています」と述べました。
なお、発表イベントの一部は予定通り実施される見込みです。火曜日には、FTSE350指数採用企業の一部が、政府のサイバーレジリエンス誓約――デジタル防御力の向上に向けた自主的な誓約――に署名することになっています。
この文書はもともと、2022年の英国国家サイバー戦略の改訂版として位置づけられ、当時のランカスター公領担当大臣パット・マクファデン氏によって2025年末までに公表すると初めて約束されたものでした。2026年4月までには、目標時期はダン・ジャービス保安担当大臣によって「今夏」に後ろ倒しされ、文書の呼称も「戦略」から「行動計画」へと変更されました。
マクファデン氏が2025年に発表を行ったのはマンチェスターでしたが、同市の当時の市長アンディ・バーナム氏は現在、スターマー首相の辞任に先立つメイカーフィールド補欠選挙を経て、後継党首の最有力候補に浮上しています。本稿執筆時点で、他に党首選への立候補者は現れていません。
国家サイバー行動計画は、英国政府のサイバー政策プログラムのなかで延期が続く最新の事例であり、一部では政治的な関心の低さがその背景にあるのではないかと懸念されています。
重要インフラに関する英国のサイバー法制を改訂する サイバーセキュリティ・レジリエンス法案は、議会に提出されるまで4年以上を要し、現在では施行が2028年になる見通しです。これは、同法案が置き換えるはずだったNIS規則の制定から実に10年後ということになります。
このサイバーセキュリティ・レジリエンス法案(CSRB)の中核的な条項は、実は2022年、リシ・スナク氏の政権下ですでに完成していました。しかし当時の政権は、その年の国王演説(政府の議会向け施政方針演説)にこの法案を盛り込むことに失敗した一方で、法案を誤って 「更新済み」だと説明しており、結局この草案は議会に提出されないまま放置されていました。
スターマー政権が2025年9月に初めてこの法案を議会に提出しようと動いた際も、 内閣改造のあおりを受けて再び延期されました。
これとは別に、すべての被害者に報告を義務付けること、身代金支払いに関する許可制度を設けること、重要インフラ事業者による身代金支払いを禁止することを柱とする ランサムウェア対策案も、2024年半ばにパブリックコメントにかけられる予定でしたが、スナク氏が総選挙を実施したことで頓挫しています。
優先順位
今回の延期は、ウェストミンスター(英国議会)においてサイバーセキュリティが依然として政治的優先度の低いテーマにとどまっているという懸念を、さらに助長するとみられます。
2024年の総選挙戦の最中、ロシア系ハッカー集団Qilinによる病理検査サービス提供会社Synnovisへのランサムウェア攻撃が発生し、ロンドンの各病院は重大事態を宣言、手術や診察の予約がキャンセルされる事態となりました。この攻撃は政治的にも重要な意味を持つ出来事だったにもかかわらず、二大政党のいずれも選挙運動の中で この攻撃について詳しく取り上げることはありませんでした。
英国王立防衛安全保障研究所(RUSI)の研究員ジェイミー・マッコール氏は当時、「根本的な問題として、大規模な事案が起きるまでは……サイバーセキュリティは本来受けるべき報道量にも、政治的な後押しにも到底恵まれません」と述べていました。
ロンドン大学キングス・カレッジでサイバーセキュリティ研究グループを率いるティム・スティーブンス氏は、英国においてサイバーは常に「脱政治化された」問題として扱われ、「低次元の政治課題」として処理されてきたと指摘します。同氏はさらに、「一度これを政治的な争点にしてしまい、それでも問題を解決できなければ、いずれ自分自身にしっぺ返しが来ることになる」と付け加えました。
2026年9月には、英国最大級の製造業者の一社であり、国内の物品輸出のおよそ4%を占めるジャガー・ランドローバー(JLR)へのサイバー攻撃により、1カ月以上にわたって 全車両の生産が停止する事態となりました。これは、サイバー監視センター(Cyber Monitoring Centre)が 英国史上、経済的損失が最も大きいサイバー事案だと評したほどの深刻な出来事でした。
同非営利団体の試算によれば、この操業停止による英国経済への損失は19億ポンド(25億ドル)に上り、JLRのサプライチェーン全体で5,000を超える組織に影響が及んだとされています。JLR自身も後に、同社だけで6億8,000万ポンド(8億9,600万ドル)の損失を被ったと報告しています。
この混乱はあまりに深刻だったため、政府はJLRがサプライヤーを支援できるよう、15億ポンド(20億ドル)の融資に対する政府保証に踏み切りました。皮肉なことに、政府自らが数年前に起草していたサイバーセキュリティ・レジリエンス法案は、まさにその同じ月に行われた内閣改造のあおりを受けて棚上げされたまま、依然として議会に提出されていませんでした。
国家サイバー行動計画
同計画の内容は正式には公表されていません。Recorded Future Newsが把握している情報によれば、「脅威」「成長」「レジリエンス」という3つの柱で構成される見通しです。
政府のアプローチを最もはっきりと示したのは、計画の発表予定日の3週間前にあたる6月、NCSCの最高経営責任者リチャード・ホーン氏が英国王立防衛安全保障研究所(RUSI)で行った講演でした。
ホーン氏は、同氏が「近接空間・中間空間・遠隔空間」と呼ぶサイバー空間の各領域全体にわたる総力戦を呼びかけました。この枠組みは、計画の内情に詳しい関係者によれば、行動計画の構成そのものを形作ることになるとみられています。
同氏は、近接空間を個々の組織の防御と定義し、遠隔空間を敵対勢力に対する攻撃的な対応、そして「中間空間」を共有される「クラウド、テクノロジー、通信インフラ」と位置付けました。同氏によれば、こうしたインフラの大半は「民間の手にある」ということです。
この中間空間においては、政府がプロバイダーと連携し、「中間空間を強靭化し、攻撃者の活動を妨害する」方針だと同氏は述べました。
ホーン氏はまた、NCSCが「エージェンティックAIの世界」において「遠隔・中間・近接空間における情報と対応をリアルタイムで統合する」ことを目指し、国家サイバー防衛能力の構築に取り組んでいると述べました。同氏によれば、2024年6月から2026年5月までの間に、NCSCは国家の重要インフラおよびそのサプライチェーンに影響を及ぼす200件を超えるインシデントに対応し、その75%が国家的関与のある攻撃者と関連していたということです。
この行動計画のもう一つの重要な柱が、サイバーレジリエンス誓約です。これに署名する企業は、サイバーセキュリティを取締役会レベルの責務とすること、英国情報機関が差し迫ったランサムウェア攻撃について 被害候補企業に事前通報を行うNCSCの早期警戒サービス(Early Warning)に加入すること、そしてサプライチェーン全体で Cyber Essentials認証の取得を求めることにコミットすることになります。
政府閣僚らは、FTSE350指数採用企業すべてを含む数百社の会長・最高経営責任者に書簡を送り、誓約への署名を促しています。火曜日の発表イベントは予定通り実施される見通しですが、これらの企業のうちどれだけが出席するかは不明です。
翻訳元: https://therecord.media/launch-of-uk-national-cyber-action-plan-delayed