英国政府、エージェンティックAI防衛計画を業界誓約とともに始動

2026年7月7日に発表された二つの施策は、英国国内のサイバーセキュリティ水準を引き上げようとする政府の強い意志を示すものです。

2026年5月27日にブレッチリー・パークで開催された第1回年次講演で、GCHQ長官のアン・キースト=バトラー氏は英国のサイバーセキュリティに対する姿勢を次のように語りました。「私たちはAI時代のサイバーセキュリティを再構想する必要があります。ここ数カ月、GCHQは最先端のエージェンティックAIをマシンスピードのサイバー防衛に組み込む、新たな国家サイバー防衛能力の青写真を策定してきました」

2026年7月7日、NCSC(英国家サイバーセキュリティセンター)はこの構想に具体的な肉付けを行い、学術界、重要インフラ(CNI)組織、フロンティアラボ、そしてサイバー防衛業界に対して協力を呼びかけました。このプロジェクトは「Cyber Shield」と名付けられており、その目的は「フロンティアAIを活用し、国家規模で連携したエージェンティック・サイバー防衛の枠組みを構築することで、国家的なサイバーリスクを特定・低減・解消すること」にあります。

脅威は明白です。悪意ある攻撃者は常に、防御側よりも速く新技術を取り入れます。AIはすでに攻撃の規模とスピードの両面で攻撃者を後押ししており、かつては数週間を要した脆弱性の発見が、今や数分で完了してしまいます。脆弱性はパッチが追いつく速度をはるかに超えるペースで発見され、標的にされているのです。

NCSCは「現実のシステムにおいて、侵入のライフサイクル全体を通じて動作する完全自律型の攻撃はまだ確認していない」としながらも、そうした攻撃が今後出現することを明らかに見越しています。Cyber Shieldは、こうした危険なサイバーの未来に対抗するための構想です。エージェンティックなレッドチームとブルーチームが脆弱性を特定・自動修復し、侵害を検知・封じ込め、政府組織と非政府組織の垣根を越えてシームレスに連携することで、英国の国家安全保障を強化することを目指しています。

NCSCは、Cyber Shieldの構築に協力する意思のある「すべての組織」に対し、連絡を呼びかけています。Cyber Shieldに求められる6つの中核的能力は、以下の通りとされています。

  • 信頼性が高く説明可能なサイバーセキュリティ向けAI
  • 連携型エージェント(フェデレーテッドエージェント)
  • 脆弱性の発見と緩和
  • 協調的な検知と対応
  • 国家レベルのスキャニング
  • 国家レベルの緩和策

この構想が実現すれば、英国の国家サイバーセキュリティにとって大きな飛躍となるだけでなく、他国が参考にできるプロジェクトの青写真ともなるでしょう。しかしこれは非常に困難な課題であり、すでに公の場でさまざまな意見が寄せられています。

CybaVerseでペネトレーションテストを統括するマイケル・ジェプソン氏は、AIによる攻撃への将来的な防御は重要かもしれないものの、現在直面している主要な脅威への対策にはならないと指摘します。「組織が侵害される要因の多くは、AIエージェントが検知できるような技術的な欠陥ではなく、プロセスや設定上の不備によるものです」と同氏は述べています。

「Cyber Shieldは歓迎すべき野心的な取り組みですが、今日実際に侵害を受けている組織は、この構想が想定するような高度でAI主導の攻撃によって被害を受けているわけではありません。多くの場合、基本的な対策すら徹底できていないのです。資産管理、堅牢なアクセス制御、パッチ適用、監視こそが注力すべき領域であるはずです」

Illumioでシステムエンジニアリング部門ディレクターを務めるマイケル・アジェイ氏も、同様の懸念を示しています。「課題は、組織が現実的にどれだけ迅速に(自律的な『レッド』および『ブルー』のAIエージェントを)導入できるか、そしてそのビジョンが実際の運用現場で通用するかという点です」と同氏は指摘します。

「国家のレジリエンスを支える組織の多くは、いまだにレガシーインフラ、パッチ適用のタイムライン、AI成熟度のばらつきといった制約を抱えており、実際の運用では真の意味での『マシンスピード』のサイバー防衛は実現しません。こうした根本的な課題に対処しない限り、NCSCが描くビジョンの実現は困難になるでしょう。同様に、これらのエージェントの有効性は、アイデンティティ、データ品質、サプライチェーンセキュリティ、ガバナンスといった基盤の整備状況に左右されます。これらをどのように達成するのか、より詳細な説明が必要です。そうでなければ、AIが既存の脆弱性を増幅させてしまうリスクがあります」

ただし、これらは(たとえ十分にあるいは適切に実施されていないとしても)既存の解決策が存在する現在の課題です。一方でCyber Shieldは、現時点では解決策が存在しない将来的な課題に対して、全国規模の解決策を提供することを目指すものです。

Cyber Shieldの発表と同じ日、英国の科学・イノベーション・技術担当大臣であるリズ・ケンダル氏は、別途「Cyber Resilience Pledge(サイバーレジリエンス誓約)」を始動させ、60の組織が創設署名団体として名を連ねました。この誓約における3つの中核的なコミットメントは、サイバーセキュリティを取締役会の責任事項とすること、NCSCの「早期警戒(early warning)」サービスへ登録すること、そしてサプライチェーン全体にわたって「Cyber Essentials」(NCSCが別途定義)を導入することです。

アルスター大学のサイバーセキュリティ担当教授であり、IEEEシニアメンバーでもあるケビン・カラン氏はこう述べています。「[この誓約は]三つの控えめな要求からなる任意の枠組みです……しかしその重要性は、そこに込められたメッセージにあります。政府が任意の誓約を打ち出す際、それ自体を目的とすることは滅多にありません。多くの場合、それは後に規制として制度化される規範を先んじて確立するために行われるものです。この誓約はサイバーセキュリティ・レジリエンス法案と時を同じくして打ち出され、新たな国家サイバー行動計画の策定に先立つものであり、これは政策が硬化していく過程における『柔らかい入口』と捉えるのが妥当でしょう」

これら別個の「プロジェクト」がほぼ同じ時期に重なって発表されたという事実は、英国政府が国内のサイバーセキュリティ水準を引き上げるという意図に本気で取り組んでいることを明確に示しています。「企業がこれを単なるパフォーマンスと軽視するのは賢明ではありません」とカラン氏は警告します。「その方向性は疑いようがありません。取締役会レベルの説明責任、サプライチェーンの保証、そして早期警戒サービスへの参加は、望ましい慣行から期待される慣行へ、そして最終的には義務付けられる慣行へと移行しつつあるのです」

翻訳元: https://www.securityweek.com/uk-government-rolls-out-agentic-ai-defense-plan-alongside-industry-pledge/

ソース: securityweek.com