- 英国政府は、2030年の期限までにサイバー脅威に対して完全に安全になることはできないと認めた
- 公共部門のサイバーリスクは「極めて高い」状態が続いているとテック担当大臣
- 上級幹部が結果について個人的に責任を問われる可能性
英国政府は、自国のサイバー政策が失敗したことを認め、10年末までに未知の脅威からすべての政府機関を守るという目標の達成がもはや見込めないとして、サイバーセキュリティ態勢を改善するために2億1000万ポンドを支出することを約束した。
長年にわたる戦略にもかかわらず、英国の公共部門のサイバーリスクは「極めて高い」ままであり、繰り返される失敗が、この認めた内容が仮説上の理論に基づくものではないことを示している。
義務要件ではなく拘束力のないガイダンスに過度に依存してきたこと、そして政府業務の4分の1超(28%)で依然として使用され続けているレガシーITシステムの利用が原因として挙げられた。
英国政府、2030年までに安全を確保できないと認める
科学・イノベーション・技術省(DSIT)担当の国務大臣であるイアン・マレー閣下は、縦割りの省庁体制とITインフラへの慢性的な投資不足が「負債」を生み、その結果、国家主体や組織犯罪が政府の能力を上回るペースで進んでしまったと説明した。
実例として挙げられたのは、NHSの血液検査を混乱させたランサムウェア攻撃、2023年の英国図書館へのランサムウェア攻撃、そして2024年のCrowdStrike障害などだ。
今回の認めた内容は、主として状況がうまく機能していないことを知らせるものであり、より包括的な「国家サイバー行動計画」は今年後半に続いて示される予定だ。
その計画の一環として、2億1000万ポンドの投資に支えられた新たな政府サイバーユニットが設立される見込みだ。同ユニットは、義務的な政策と標準の策定、ならびにインシデント対応の調整を担う。
また、上級幹部がサイバーの結果について個人的に責任を問われる可能性もある。これは以前から企業の現場で批判されてきた点でもある。2024年末には、訴追の脅威によりCISOがその役割を引き受けることをためらう可能性があると、私たちは報じた。
したがって、政府が大手テック企業と提携し、部門横断で生産性を高めるAIの展開を進めている一方で、脅威が増大するなかでサイバーセキュリティを確実に掌握するには、構造面と文化面のリセットが必要であることは明らかだ。
