火曜日、英国政府は異例ともいえる率直な認め方をし、政府自身のサイバーセキュリティに対する長年の取り組みが欠陥のあるものだったと認めた。また、2030年までに既知のサイバー脆弱性や攻撃手法からすべての政府組織を保護するという従来の目標は達成不可能になると警告した。
ホワイトホールが現在、自らのデジタルシステムを防御する方法における数々の失敗を挙げつつ、政府は公共サービスを守るための大幅な政策リセットとして、新たな政府サイバー行動計画を提示した。これは、今年後半に公表予定の、再始動する国家サイバー戦略(「国家サイバー行動計画」と呼ばれる)に先立つものだ。
この文書は科学・イノベーション・技術省(DSIT)によって議会に提出され、現行の説明責任の仕組みにより英国政府の多くがサイバー攻撃に対して脆弱なままになっていること、またリスクに関する責任がサプライチェーン全体を含め「政府のあらゆるレベルで不明確」であることを認めている。
行動計画は「重要な国家インフラを守り、公的機関を防衛し、不可欠な公共サービスへの国民の信頼を維持するためには、アプローチの抜本的な転換と、速度の段階的な引き上げを実現しなければならない」と述べている。また、攻撃や停止に対する強靭性を高めるために長年取り組んできたにもかかわらず、公的部門は「極めて高い」サイバーリスクに直面していると警告する。
政府は、こうしたリスクは「仮定の話ではない」とし、「サービスの破綻[や]国民への被害をもたらす、繰り返し起きている現実」だと述べた。さらに、Synnovisに対するランサムウェア攻撃(少なくとも1人の患者の死亡に寄与した)などの事例を、課題に対処できていない組織的失敗の症状として挙げている。
強力な「政府サイバー・ユニット」
政府は新たなアプローチの中核として、これまで公共部門の当局に対して拘束力のない指針を提供することに重点を置いてきた姿勢からの転換だと説明する。新たな行動計画の下では、サイバーセキュリティについて、より中央集権的で義務的なモデルを推進し、来年までに新設される政府サイバー・ユニットが、すべての政府組織を俯瞰して政策の方向性を定め、実施活動を調整し、説明責任の単一窓口を提供する。
インシデント対応の刷新も計画されており、大規模なサイバー事案の際のより中央集権的な調整、政府横断の定期的な演習、そして大規模な混乱への備えの強化が盛り込まれている。
政府にとって戦略的なサプライヤーには、サイバーセキュリティに関する契約上の期待がより強く課される。これは、第三者の脆弱性が公共サービスに対する脅威として増大しているという政府の評価を反映したものだ。
2023年に、著しく低賃金だと受け止められた求人が嘲笑を招いたことを受け、政府はより優秀な人材を惹きつけ、定着させるために、新たな「政府サイバー職(Government Cyber Profession)」の創設も発表した。
RUSIのサイバー研究フェローであるジョー・ジャーネツキ氏は、この動きは「政府のサイバーセキュリティ職の魅力を高める可能性が高い」ものとして歓迎されるべきだと述べた一方で、「政府は民間部門の給与水準には太刀打ちできない」と注意を促した。
ジャーネツキ氏は次のように述べた。「これは、本来であれば内部戦略であり得た、あるいはそうあるべきだったものの実施計画だとすると、なぜこれが公開文書なのか。透明性は歓迎されるべきだと思うが、私が問いたいのは、これは誰のためのものなのかということだ。」
法案に動く議員たち
この計画が発表された同日、政府の目玉法案であるサイバーセキュリティおよびレジリエンス法案(CSRB)が議会で第二読会を迎えた。第二読会は、議員が法案の基本的な前提について議論する最初の機会であり、法案に対する主要な批判の一つとして、不可欠なサービスを運営する公的部門の主体と民間企業に課される義務の間に二層構造を作り出すことになる、という指摘がある。
RUSIのサイバー研究フェローであるジェイミー・マッコール氏は、「政府サイバー行動計画のタイミングは、EUがNIS2の下で公的部門を対象に含めているのとは異なり、CSRBの対象範囲に公的部門の大半が入っていないという批判の一部を和らげる意図があるのだと思う」と述べた。
行動計画によれば、政府内の上級指導者は、セキュリティを純粋に技術的な問題として扱うことを許されるのではなく、サイバー面での成果に対して責任を負うことになる。これは、公的部門が他より低い基準で扱われているという批判に応えようとする試みだ。
CSRBの現行草案では、公的部門よりも民間部門の主体に対して、罰金や規制上の制裁を含む、より強力で執行可能な義務が課されている。EUの同種の法制であるNIS2には、そのような区分はない。
マッコール氏はRecorded Future Newsに対し、上級指導者の説明責任を問うという誓約がどのように担保されるのかは明確ではないと語った。「個人的には、行動計画がそうした具体的な批判に対処しているとは思えない。私の読みでは、政府省庁や機関が行動計画で示された基準を満たしていない場合に、意味のある執行メカニズムがない。」
失敗の遺産
サイバー脅威は、政府自身の防御よりもはるかに速いペースで激化してきた。国家支援のアクターや組織犯罪グループはますます高度化している一方で、政府の能力はそれに追いつけず、侵入を防ぐのに苦戦しているとされる。
昨年、英国のサイバーおよび信号情報機関GCHQの長官アン・キースト=バトラー氏は、同国が過去数十年で最も「競合が激しく複雑」な脅威環境に直面していると警告し、昨年の攻撃件数はその前年の4倍だったと指摘した。
行動計画によれば、英国の政府省庁や機関が自らを防御しようとする上での根本的な問題は、レガシー技術への依存にある。これは、昨年、政府ITインフラの深刻な状況を警告した国家監査院の報告書を認めるものでもある。
新文書によると、数十年にわたる投資不足により、各省庁は現代の基準での安全確保が困難、あるいは不可能な旧式システムを運用することになった。この「技術的負債」は対処される速度よりも速く蓄積し、年々脆弱性を増大させている。
この計画は大規模な一斉置き換えのプログラムではなく、政府が自らの重要なデジタル資産を可視化し理解できるようにすることでリスクを管理しようとするものだ。具体的には、政府省庁や機関全体にわたり、老朽化したシステムとその脆弱性の明確なインベントリ(資産台帳)を構築することなどが含まれる。
「ここで大きく語られていないのは資金だ」とマッコール氏は述べた。「昨年の国家監査院の報告書に立ち返れば、これはサイバーセキュリティの問題であるのと同じくらい、ITの問題でもある。
「レガシーITインフラを置き換えるための資金が十分ではないのは事実で、サイバーセキュリティ行動計画がそれを根本的に解決するものにはならない。追加の資金がなければ、内閣府やDSITが公的部門全体の基準を引き上げるためにできることには限界があると思う。」
翻訳元: https://therecord.media/uk-government-cyber-action-plan
