公共部門全体でサイバー脅威への対応を調整する新たなサイバー部隊と、安全なソフトウェア開発を促進するためのアンバサダー制度が、英国政府の新たな「サイバー・アクション・プラン」の一環として発表された。
オンラインの公共サービスをサイバー攻撃による妨害に対してより強靭にすることを目的としたこれらの施策は、2025年に英国の組織が相次いで受けた注目度の高いインシデントを受けて打ち出されたもので、ジャガー・ランドローバーやマークス&スペンサーおよびザ・コープなどが含まれる。
一方、国民保健サービス(NHS)の技術サプライヤーは、最近、サイバー攻撃を受けたことを確認した。
政府サイバー・アクション・プランには2億1000万ポンド(2億8500万ドル)が充てられ、最低限のサイバーセキュリティ基準の改善と、サイバーインシデントが発生した際の影響を最小化するための「より実践的な支援」の提供を目指すとしている。
その中核となるのが、新たに発表された政府サイバー部隊である。科学・イノベーション・技術省の一部として設置され、政府最高情報セキュリティ責任者が主導し、各省庁にまたがるリスク管理とインシデント対応を調整する。
狙いは、公共部門が直面するサイバーセキュリティ上の課題に対して、より強力な措置を講じられるようにすることにある。単一の組織だけでは解決が難しいリスクやインシデントについて、省庁横断で連携した対応を可能にする。
また、政府サイバー部隊により脅威やインシデントへの対応が迅速化し、デジタル公共サービスへの被害や混乱の可能性を最小化できること、さらに各省庁に堅牢なインシデント対応体制の整備を求めることで、それが実現されることも期待されている。
「サイバー攻撃は、重要な公共サービスを数分で停止させ、私たちのデジタルサービス、ひいては生活様式そのものを混乱させ得ます」と、デジタル政府・データ担当のイアン・マレー国務大臣は述べた。
「この計画は公共部門の防御を強化するための新たな基準を打ち立て、英国の企業と公共サービスの双方を守るために、私たちがより迅速かつ踏み込んで取り組むことをサイバー犯罪者に警告するものです。」
ソフトウェア・セキュリティ・アンバサダー制度を開始
新たなサイバー部隊に加え、政府は新たな「ソフトウェア・セキュリティ・アンバサダー制度」も発表した。これは、ソフトウェア・セキュリティ実践規範(Software Security Code of Practice)の推進を後押しすることを目的としている。同規範は、ソフトウェアのサプライチェーン攻撃と混乱を減らすために2025年に導入されたプロジェクトである。
実践規範は任意の制度である一方、ソフトウェアの脆弱性がサプライチェーンやデジタルサービスに深刻な混乱を引き起こし得ること、そしてソフトウェア市場全体に基本的なソフトウェア・セキュリティの実践を組み込むことで、ソフトウェアのサプライチェーン攻撃からの防御に役立つことを示すことを狙っている。
すでに制度に参加しているアンバサダーには、Cisco、Palo Alto Networks、Sage、Santander、NCC Groupの代表者が含まれる。
「英国政府のソフトウェア・セキュリティ実践規範のアンバサダーを務められることを嬉しく思います。これは、私たちのより広範な『集団としてのレジリエンス』へのコミットメントを反映するものです」と、Santander UKのCISOであるトーマス・ハーヴェイは述べた。
「これらの基準を提唱することで、私たちはSantanderとお客様を守るだけでなく、誰もが利用できる、より安全なデジタル経済の構築にも貢献します。」
計画は歓迎される一方、効果への懸念も浮上
この計画はサイバーセキュリティ分野のリーダーから概ね歓迎されているが、2億1000万ポンドという予算では大きな効果をもたらすには不十分ではないかとの懸念もある。
Illumioで重要インフラ担当ディレクターを務めるトレバー・ディアリングは、「政府および公共部門全体で投資が増えているのは心強く、とりわけ新たなサイバー部隊を通じて、レジリエンス、可視性、そしてリスク低減に焦点を当てている点は評価できます」と述べた。
「しかし、2億1000万ポンドでは問題の規模に対処するには到底足りません。」
翻訳元: https://www.infosecurity-magazine.com/news/uk-launches-new-cyber-unit/
