英政府、国家リスク登録簿にサイバー警告を追加し更新

英国政府は、国家リスク登録簿(National Risk Register)にサイバー関連の新たなシナリオをいくつか追加しました。中には理論上、大量の死傷者につながりかねないものも含まれています。

この登録簿は、政府内部の機密扱いとなっている国家安全保障リスク評価(National Security Risk Assessment)に基づくもので、テロやサイバー攻撃といった悪意ある脅威に加え、深刻な悪天候といった非悪意的なリスクも考慮対象としています。

7月14日に公開された最新版では、デジタルインフラ、水道インフラ、警察システムに対するサイバー攻撃が発生した場合に何が起こり得るかを想定した新たなシナリオに加え、ITシステムに影響を及ぼす大規模なCrowdStrike型の大規模障害に関するシナリオが追加されました。

また、民主的プロセスへの干渉を扱う新たなセクションも設けられました。これには「選挙インフラへの攻撃、オンライン情報空間の劣化、候補者や有権者への嫌がらせや脅迫、政党や著名人に関する機密情報のハッキングと流出、およびこれらいずれかにおける外国からの干渉」が含まれるとされています。

重要インフラリスクに関する詳細はこちら: 英重要インフラへのサイバー攻撃の75%は敵対国家によるものとNCSCが警告

  • データインフラへのサイバー攻撃: 英国内の1つまたは複数のコロケーションデータセンターに対する「破壊的かつ高度な」攻撃により、データ、顧客情報、知的財産、運用に関する詳細情報が窃取される可能性。災害復旧には数日から数週間、情報の完全な復元には数年を要する場合がある。発生可能性は5~25%(「発生する可能性は非常に低い」)、影響度は「中程度」と評価され、死者数最大200人、負傷者数最大400人、被害額は数億ポンドに達するとされている
  • 水道インフラへのサイバー攻撃: 悪意ある攻撃者が水道会社のOTシステムに侵入し、破壊的なマルウェアを展開することで、水道会社がシステムの可視性と制御を失う事態。大規模な人口を対象とした水道供給・下水処理サービスの大幅な混乱からの復旧には数カ月を要する可能性があり、身体的・精神的健康被害や死者も発生し得ると登録簿は指摘している。発生可能性・影響度のスコアは上記と同様
  • 警察インフラへのサイバー攻撃: 捜査・起訴の信頼性が損なわれるほか、職員の安全へのリスク、風評被害、警察によるインテリジェンスおよび運用上重要な情報へのアクセス低下を招く可能性がある。また、第一線の警察活動の実効性を低下させ、生命や財産へのリスクをもたらす恐れがあると登録簿は指摘している。最も深刻な影響は数日間続く可能性が高い一方、継続的な混乱は数カ月に及ぶ可能性がある。発生可能性・影響度のスコアは上記と同様
  • デジタル障害: 主な影響として、通信、緊急サービス、交通、国境管理、金融システム、放送の停止に加え、スマートデバイスやスマートフォンの広範な機能不全が挙げられる。政府は発生可能性を1%から25%以上の間、影響度を「中程度」から「壊滅的」までの範囲で評価している

新たなレジリエンス啓発キャンペーンを開始予定

首相府主席書記官(Chief secretary to the Prime Minister)のダレン・ジョーンズ(Darren Jones)氏は6月14日、議会において、AIの普及と重要インフラのITおよびOTシステムへの依存度の高まりを踏まえ、登録簿の更新が必要であったと述べました。

同氏は「英国はこれまでの歴史の中で、疫病やパンデミック、戦争、そして相応の悪天候といった数々の課題を乗り越えてきました。私たちが直面し得るリスクを継続的に評価し、今後起こり得る事態に備えることは正しいことです」と語りました。

「今年、英国全土の気温は5月に記録を更新し、6月にはさらにそれを上回りました。AIは犯罪者がサイバー攻撃を仕掛ける新たな手段を提供する一方で、私たちの経済と安全保障に大きな機会ももたらしています」と同氏は述べました。

政府は今年後半に、サイバー攻撃などのリスクに対するレジリエンスを高めるための簡単な対策を各家庭に促すことを目的とした「画期的な国家レジリエンス啓発キャンペーン」を開始すると発表しました。

翻訳元: https://www.infosecurity-magazine.com/news/uk-national-risk-register-cyber/

ソース: infosecurity-magazine.com