英国は本日、政府サイバー行動計画を開始し、デジタル公共サービス全体の防御を強化するために2億1,000万ポンド(2億8,200万ドル)を拠出するとともに、重要インフラ運用者に課しているのと同じサイバーセキュリティ基準を自らにも適用することを約束した。
この資金により、英国のCISOが主導し、科学・イノベーション・技術省(DSIT)の監督下に置かれる政府サイバーユニットが設立され、リスク特定、インシデント対応、復旧能力の向上を図る。
同ユニットはまた、専任の政府サイバー職(Government Cyber Profession)を創設し、現在はより広範な政府セキュリティ職(Government Security Profession)の下に位置づけられているサイバーセキュリティを格上げする。
サイバーセキュリティおよびレジリエンス法案の第2読会と同時に発表されたこの計画は、政府省庁に対し、クラウドプロバイダー、検索エンジン、データセンターを含む重要インフラ運用者と同等のセキュリティ要件を課すものだ。英国は、この投資により公共部門全体で年間最大450億ポンドの節減につながると見積もっている。
「サイバー攻撃は、重要な公共サービスを数分で停止させ、私たちのデジタルサービス、ひいては生活様式そのものを混乱させ得る」とデジタル担当大臣のイアン・マレーは述べた。
「この計画は公共部門の防御を強化するための新たな基準を打ち立て、英国の企業と公共サービスを守るために、私たちがより遠くへ、より速く踏み込むのだという警告をサイバー犯罪者に突きつける。」
この発表は、相次ぐセキュリティ不備を受けたものだ。外務省は10月の侵入を確認しており、これは中国の国家支援アクターによるものと広く見られている。一方、司法省の監督下にある法的扶助庁(Legal Aid Agency)は、4月に重大な侵害を被った。
12カ月前に国家監査院(NAO)が出した痛烈な報告書では、中央政府全体でレビューした72の重要ITシステムのうち58が、「成熟度の低い複数の基本的なシステム統制」を含んでいたと指摘された。
さらに、政府のセキュリティリスクは「極めて高い」と大臣らに助言されていた。2024年3月、監査人は少なくとも228のレガシーシステムを特定し、そのうち28%は運用上およびセキュリティ上のリスクが高い可能性があるとしてフラグ付けされた。
DSITは本日、ソフトウェアセキュリティ実務規範(Software Security Code of Practice)の採用を促進するため、ソフトウェアセキュリティ・アンバサダー制度も開始した。初期アンバサダーには、Cisco、NCC Group、Palo Alto Networks、Sage、Santanderが含まれ、安全な開発慣行を推進し、将来の政策にも貢献する。
この取り組みは、CISAのSecure by Design誓約を踏襲するもので、2024年には340を超える組織が参加し、多要素認証や必須パッチ適用といった改善へのコミットメントを表明した。
英国はまた、最大手ベンダーに対して安全なコードの出荷を求め、利用者の間で安全な実践を徹底させることで、同様の形でサプライチェーンのセキュリティ強化も図ろうとしている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/06/government_cyber_action_plan/
