英国政府は2026年1月6日、新たなサイバー行動計画を正式に公表した。序文では次の点が明確に示されている。「政府サイバー行動計画は、現代的なデジタル政府に向けたロードマップにおける中核的な成果物である…」。これは企業向けのサイバー行動計画ではなく、英国の国家重要インフラに対しても何ら提供するものはない。
企業にとっては失望だ。政府は自分たちのための計画を策定した一方で、民間部門には規制で十分だと考えている。「サイバーリスクは政府だけでなく、社会全体が直面する課題である。サイバーセキュリティおよびレジリエンス法案は、より多くの重要サービスおよびデジタルサービスをサイバー攻撃から保護し、リスク管理のための適切かつ比例的な対策を講じることを求め、医療、飲料水事業者、交通、エネルギーにおける混乱をよりよく防止する。政府としての対応が政府サイバー行動計画である…」
民間産業における規制遵守は、企業が回避しなければならない新たな脅威とリスクにすぎず、サイバーセキュリティの解決策ではない。
とはいえ、政府が直面するサイバーリスクは基本的に企業が直面するサイバーリスクと同じであり、政府が自らのために作った計画は、民間部門にとっても同様に基本的なひな型として役立ち得る。
第一の教訓は、セキュリティには費用がかかるが、決して不可能なほど高額ではないということだ。政府はこの計画に2億1,000万ポンド(約2億8,200万ドル)を投入している。
レジリエンスは注目すべき焦点でなければならない。「英国ではデジタル・レジリエンスにおける反復的かつ体系的な失敗を経験しており、経験上、それらが容認できないコストをもたらすことを知っている…」。セキュア・バイ・デザインは出発点である。レジリエンスの欠如は、次のような体系的課題に起因する
- 制度化された分断
- 継続するレガシー、サイバーセキュリティおよびレジリエンスのリスク
- サイロ化されたデータ
- デジタル化の不足
- 一貫性のないリーダーシップ
- デジタルスキルの不足
- 分散した購買力
- 時代遅れの資金調達モデル
より具体的には、資産管理、防御的モニタリング、対応計画における成熟度の欠如が広く見られる。これは民間部門にも同様に当てはまる
「政府の技術資産のほぼ3分の1(28%)はレガシー技術であると推定され、したがって攻撃に非常に脆弱である。」民間産業もまた、時代遅れの機器に依存しないセキュリティを確保しなければならない。
敵対者の潜伏時間(dwell time)を短縮することにも焦点が当てられている。現代のAI支援攻撃が発生し進行する速度を踏まえれば、あらゆる企業も同様に取り組む必要がある。
政府の計画にはソフトウェア・サプライチェーンへの注目も含まれており、2024年のCrowdStrikeのインシデントによって生じた問題が強調されている(英国経済への損失は17億〜23億ポンド)。それは「単一のサプライヤーへの依存が広範な混乱を生み得ることを示した」。これは確かに検討に値する妥当な論点だが、不思議なことに、この計画はオープンソース・ソフトウェアのサプライチェーンには一切触れておらず、またバイブ・コーディングの利用拡大による潜在的な危険にも言及していない。ここからは、政府のセキュリティ観が、民間産業のセキュリティに関する知見にやや遅れをとっていることが示唆される。
サイバー行動計画は新しいことを何も教えてくれず、計画自体にも欠落はあるが、自社のセキュリティ態勢を点検するためにざっと読む価値はある。不思議なことに、セキュリティ問題の解決方法を教えてくれない一方で、民間産業の困難を増やす可能性がある。質の高い採用におけるスキルギャップは誰もが抱えている。しかし政府には、発動すると約束している優位性がある。最良の人材にとって魅力的な雇用主であり、キャリアパスとなることを目指しているのだ。
「総合的な従業員向けオファーは民間部門に対してより競争力のあるものとなり、年金や柔軟な働き方など、政府が通常民間部門より優位に立てる福利厚生も強調する。」
英国政府のサイバー行動計画は、民間産業のサイバーセキュリティを直接改善するものではないが、企業のセキュリティ達成をより難しくする何かをもたらすかもしれない。
翻訳元: https://www.securityweek.com/uk-government-unveils-new-cyber-action-plan/
