英国政府、新たな行動計画でサイバーセキュリティ危機に対処
サイバー脅威への緊急対応
英国の科学・イノベーション・技術省は「政府サイバー行動計画(Government Cyber Action Plan)」を公表し、公的部門のデジタル防御における差し迫った危機を浮き彫りにしました。全108ページに及ぶ包括的な文書は、政府の技術システムの約3分の1が時代遅れのレガシープラットフォームに依存しており、高度なサイバー犯罪者にとって格好の標的になっていることを示す憂慮すべき統計を明らかにしています。
この行動計画は、政府が直面する脆弱性を率直に認め、「政府に対するサイバーリスクは極めて高い」と述べています。こうした透明性は政府の文脈では一般的ではありませんが、状況がどれほど深刻化しているかを強調しています。
最近のサイバーインシデントからの教訓
この動きは、複数の重大なサイバーインシデントを受けたものです。中でも注目されたのは、2023年のランサムウェア攻撃で、英国図書館の運営が数か月にわたり深刻に混乱し、重要なオンラインシステムが停止に追い込まれ、機微な利用者データが露出しました。さらに、2024年に発生したCrowdStrikeに関わるソフトウェア障害は—直接の攻撃ではないものの—英国経済に最大23億ポンドという莫大なコストをもたらしたとされています。これらの事案は、デジタルインフラの脆弱さと、重要サービス全体に連鎖的な障害を引き起こし得ることを浮き彫りにしました。
中央集権的なサイバー防衛部門の設置
新たな枠組みの一環として、政府は政府サイバーユニット(Government Cyber Unit)を設置し、2億1,000万ポンド超の資金提供を受ける予定です。この中央権限は、各省庁にまたがるサイバーセキュリティ施策を調整し、必須基準を設定し、デジタルレジリエンス維持の説明責任を確保することを目的としています。
このユニットの導入により、各省庁の会計責任者(通常は事務次官または最高経営責任者)が、サイバーリスク管理について個人的な責任を負うことになります。また、集約されたリスクを評価する新たなテクノロジー・リスク・グループ(Technology Risk Group)も設置され、脅威が適切に管理されていない場合に指導層の説明責任を確保します。
あらゆるレベルでの説明責任
イアン・マレー国務大臣によれば、「公的部門のリーダーは誰もが、この取り組みに対して直接の説明責任を負う」としています。行動計画は、老朽化したシステムの置き換えと、公的部門の業務を危険にさらす根本的な脆弱性への対処のため、緊急の投資を求めています。
政府サイバー調整センターの役割拡大
政府サイバー調整センター(Government Cyber Coordination Centre:GC3)は、単にインシデント対応にとどまらず、焦点を拡大します。今後は、悪意のないデジタルレジリエンス上の障害も監督し、システム障害時の手順と責任を定めた政府サイバーインシデント対応計画(Government Cyber Incident Response Plan)を導入します。
スキルギャップへの対処
サイバーセキュリティ分野における継続的な人材不足を踏まえ、計画では史上初となる「政府サイバー職種(Government Cyber Profession)」を導入します。英国企業の約半数と政府組織の58%が、基本的なサイバースキルに大きな不足があると報告しています。この取り組みは、国のサイバーセキュリティ需要に応えられる熟練した人材基盤を構築し、効果的な脅威管理を妨げてきた慢性的な不足の解消を目指します。
熟練人材を惹きつけるため、新たなサイバー・リソーシング・ハブ(Cyber Resourcing Hub)を設置し、政府各省庁にまたがる採用活動を効率化します。計画は、競争力のある報酬と、雇用の安定やミッション志向の仕事といった政府ならではの福利厚生を強調し、明確なキャリアパスと専門的成長の機会の整備を目指します。
省庁横断でのセキュリティギャップ解消
セキュリティ実務の標準化を図るため、この取り組みではGovAssureを通じて既存プログラムの有効性を評価し、各省庁における重要な統制の大きな欠落を特定しました。初期評価では、資産管理や防御的モニタリングといった重要領域で成熟度が低いことが明らかになりました。
さらに行動計画は、戦略的サプライヤーに伴うリスクも認め、政府サイバーユニットが正式なパートナーシップを構築し、契約にサイバーセキュリティ要件を組み込むことを約束しています。これにより、サプライヤーが持ち込む潜在的リスクについての説明責任を負わせます。
段階的な実施と今後の見通し
行動計画の実施は3段階で行われ、2029年以降まで継続します。2027年3月までに、政府は中核となるガバナンス構造を整備し、優先サービスを開始し、政府横断のインシデント対応プロトコルを公表する意向です。第2段階では、サービスの拡充と、専門的な役割に基づく学習パスの開発に注力します。
この計画は、従来のアプローチからの重要な転換を示しています。2022年の政府サイバーセキュリティ戦略(Government Cyber Security Strategy)が楽観的な目標を掲げていたのに対し、今回の計画は測定可能なマイルストーンを伴う、より現実的な期待値を設定しています。
マレー氏は「私たちはゼロから始めるわけではない。うまくいっているものを拡大し、公的部門全体や国際的なパートナーの成功から学ぶ」と強調しました。この前向きなアプローチは、英国のサイバー防衛を強化するという真剣なコミットメントを示しています。
