火曜日に開始された英国政府の看板政策である任意のサイバーセキュリティ制度に、英国の上場企業上位350社(FTSE 350)のうち署名したのは15社にも満たないことがわかりました。政府は8か月前、FTSE 350の全企業の会長および最高経営責任者に対し、個別に書簡を送って署名を呼びかけていました。
火曜日の発表は、月曜日に予定されていた英国の新しい国家サイバー行動計画(National Cyber Action Plan)の発表に続く形で計画されていましたが、この計画発表はキア・スターマー首相の辞任により 延期されていました。
技術担当大臣リズ・ケンダル氏が主催したダウニング街10番地でのレセプションでは、サイバーレジリエンス誓約(Cyber Resilience Pledge)の創設署名企業として合計70社が発表されました。このうち20社は、国に重要サービスを提供する企業の義務を定めた別枠の「政府サイバー憲章(Government Cyber Charter)」を通じて誓約への署名を招請された、政府の戦略的サプライヤーです。
科学・イノベーション・技術省(DSIT)は、戦略的サプライヤーにとって署名が調達契約上の意味合いを持つのかどうか、またFTSE 350企業の参加率を閣僚書簡に対する強い反応と見なしているかどうかについて、Recorded Future Newsからの質問に回答しませんでした。
仮に戦略的サプライヤーが調達契約上の影響を受ける立場にあったとすれば、今回の発表で経済全体から真に自発的に署名した企業はわずか50社ということになります。
署名した企業には、アビバ(Aviva)、ロンドン証券取引所グループ、そして昨年のサイバー攻撃で 数億ポンドの損失を被ったマークス・アンド・スペンサーなどの大企業が含まれるほか、C3IAソリューションズ、グレー・ゾーン・サービシズ、ネクサーといった、この誓約が自社の事業内容と密接に一致する小規模なサイバーセキュリティコンサルティング会社も名を連ねています。
この誓約は署名企業に3つのことを求めています。サイバーセキュリティを取締役会レベルの責任とすること、国家サイバーセキュリティセンター(NCSC)の無料の早期警戒サービス(Early Warning service)に登録すること、そしてサプライチェーン全体にわたるサイバーエッセンシャルズ(Cyber Essentials)認証の取得についてリスクベースのアプローチを取ること、の3点です。
これらの取り組みはあくまで任意であり、強制する仕組みはありません。今回の発表は、産業界に対しサイバーセキュリティ対策を義務付けようとする政府の意欲そのものが広く注目される中で行われました。これは、NCSCが各組織による自らのガイダンスや助言の不遵守について 苦言を呈したことに続くものです。
政府は「脅威の状況は進化を続けており、新たな複雑なサイバー脅威が出現する可能性があることを踏まえ、政府は誓約の妥当性について継続的に見直しを行い、12か月サイクルの終了時点で取り組み内容を改善する可能性がある」としています。
英王立防衛安全保障研究所(RUSI)の上級研究員ジェイミー・マッコール氏は、署名企業数が少ないと感じたと述べています。
「FTSE 350企業の大半が同等の水準を満たしていないとしたら、むしろ驚きです。多くの場合、彼らはサイバーエッセンシャルズよりもはるかに多くの管理策を含む認証をすでに保有しているはずなのに、なぜわざわざそちらを取得する必要があるのでしょうか」
政府によると、「英国企業1社あたりの重大なサイバー攻撃による平均的な被害額は現在およそ19万5,000ポンド(26万ドル)に達しており、経済全体への波及的な混乱を除いても、組織全体での年間被害額は147億ポンド(197億ドル)と推計されている」とのことです。
この147億ポンドという数字は、現在も議会で審議中で2028年まで施行される見込みのない別の施策、「サイバーセキュリティ・レジリエンス法案(Cyber Security and Resilience Bill)」を裏付ける調査によって算出されたものです。
マッコール氏はこう述べています。「英国のサイバー政策にはよくあるパターンがあると思います。まず協議、調査、行動規範や指針の策定、そして何らかの任意の誓約、その後に規制、という流れです。今回もこのパターンを繰り返している可能性があります。
「これは、最終的に規制へとつながる過程の一段階と見ることもできるでしょう。いわば、民間セクターに対し自らの首を絞めるだけの猶予を与えているようなものです。もし十分な数の組織やベンダーがこうした取り組みに署名しなければ、それこそが政府にとって規制が必要だと主張する根拠になるのです」
翻訳元: https://therecord.media/uk-cyber-pledge-draws-limited-partners-despite-ministerial-appeal