イギリスは、年間約150億ポンド(196億ドル)もの損害につながっているサイバー攻撃から、病院、エネルギーシステム、上水道、交通ネットワークを守るため、サイバーセキュリティ防御を強化する新たな法案を導入しました。
サイバーセキュリティおよびレジリエンス法案(Cyber Security and Resilience Bill)は、英国議会において11月12日に提出されたもので、既存のネットワークおよび情報システム規則2018(NIS Regulations 2018)を基盤とし、重要サービス保護に対する英国のアプローチを抜本的に見直すものです。
この法案は、1万1,000件以上の診療予約に影響を与えたNHS(国民保健サービス)の大規模な障害や、国防省の給与システムの侵害を引き起こした、拡大する脅威に対処するものです。
「本日(11月12日)議会に提出される新たな法律により、病院、エネルギーおよび水の供給、交通ネットワークは、サイバー攻撃の脅威からこれまで以上に保護されることになります」と、科学・イノベーション・技術省は水曜日に述べました。
「増大するサイバー脅威に直面する中で、この法律は混乱を防ぎ、水道を止めず、電気を灯し続け、英国の交通サービスを動かし続けるとともに、重要サービスを提供する事業者に対して、より強固なサイバー保護を義務付けるものです。」
この法案により、中規模および大規模のIT管理、ヘルプデスクサポート、サイバーセキュリティサービス事業者は、初めて義務的なセキュリティ基準の遵守を求められます。これらのマネージドサービスプロバイダーは、効果的な対応計画を整備するとともに、重大なサイバーインシデントが発生した場合には、24時間以内に国家サイバーセキュリティセンター(NCSC)および所管規制当局に報告し(詳細報告は72時間以内)、対応しなければなりません。
規制当局は、医療診断サービス事業者や水道会社向けの化学薬品供給業者などを重要サプライヤーとして指定し、サプライチェーン上の脆弱性に対処するため、最低限のセキュリティ基準の遵守を義務付けることができます。
技術担当大臣は、テムズ・ウォーターやNHSトラストなどの規制当局および組織に対し、国家安全保障が脅かされている場合には、監視強化やシステムの隔離といった措置を講じるよう指示する権限を持つことになります。
新たな法制度には、重大な違反に対する売上高連動型の制裁金も盛り込まれており、手抜きよりも法令遵守の方が費用対効果の高い選択となるよう設計されています。また、データセンターや、電気自動車の充電ポイントなどスマートエネルギーインフラを管理する組織にも保護対象を拡大しています。
英国政府のプレスリリースで紹介された新たな独立調査によると、英国における平均的な「重大なサイバー攻撃」のコストは19万ポンドを超え、年間では約147億ポンドに達し、これは同国のGDPの0.5%に相当します。
例えば、9月にジャガー・ランドローバー(JLR)を襲い、この英国自動車メーカーにシステム停止を余儀なくさせたサイバー攻撃は、「英国史上最も高額なサイバー攻撃」と評されており、少なくとも19億ポンドの損害をもたらしたと推計されています。
また、英国予算責任局は、重要インフラへの攻撃が発生した場合、一時的に政府の借入額が300億ポンド以上増加する可能性があると見積もっています。
先週、詐欺対策を目的とした政府との新たなパートナーシップの一環として、英国最大手の携帯電話キャリア各社は、1年以内に詐欺師が電話番号をなりすます行為を不可能にするため、自社システムをアップグレードすることにも合意しました。
今年初めには、英国政府は方針を発表し、ランサムウェア攻撃を受けた後に、重要インフラおよび公共部門の組織が身代金を支払うことを禁止する計画を明らかにしています。
