- 世界中の重要なサービスとインフラが攻撃を受けている
- 英国の組織に対するより強力な保護を盛り込んだ新法案が導入された
- 規制当局には重大な違反に対してより強力な処罰権限が与えられる
英国政府は、重要インフラやサービスのサイバー防御を刷新する取り組みの一環として、新たなサイバーセキュリティおよびレジリエンス法案を議会に提出しました。
英国は他国同様、重要な医療サービスやエネルギー・水道事業者への破壊的な攻撃を受けており、この法案はネットワークおよび情報システム規則(NIS)を拡大し、ベンダーやデジタルインフラを含むサプライチェーン全体をカバーすることを目指しています。
これは重要なポイントであり、最近の注目度が高く深刻な被害をもたらした攻撃の大半が、サードパーティの侵害から発生しています。
企業への責任
この法案のもう一つの側面は、インシデント報告の義務化です。これにより政府がより良いデータを得て、サイバー情勢を把握し、必要な保護策をより深く理解できるようになります。
また、規制当局には、サプライヤーが最低限のセキュリティ要件を満たし、サイバー犯罪者に悪用される可能性のあるギャップを封じるための追加権限が与えられます。重大な違反に対しては、より厳しい罰則も科すことができます。
「つまり、手抜きをすることが正しいことをするよりも安上がりになる時代は終わりました。納税者サービスを提供する企業は、システムを稼働させ続けるために強固な保護策を講じるべきです」と科学・イノベーション・技術担当大臣は述べています。
新法案では、サイバーセキュリティ、IT管理、ITヘルプデスクサポートを民間・公共組織に提供する中規模および大規模企業に対し、重大なサイバーインシデントの可能性がある場合は、政府および顧客に対して積極的に報告することを義務付けています。これにより、企業には保護と復旧におけるより大きな責任が課されます。
しかし、すべての新たな法規制と同様、影響を受ける組織にとってはコンプライアンスの負担となる可能性もあり、公共サービスを脅威から守るには真の集団的努力が求められます。
「サイバーセキュリティおよびレジリエンス法案は、企業が重要インフラへのアクセスをどのように守るかを変革する動機付けとなるでしょう」とTeleportのCEO、エブ・コンツェヴォイ氏は説明します。
「コンプライアンスとは、蓄積された監査作業を乗り越え、VPNや共有認証情報、期限切れにならないSSHキーなどのパッチワークを整理することを意味します。」
