英国、政府サイバー行動計画の早期改定版を発表

英国は、「デジタル・レジリエンスにおける繰り返しの、構造的な失敗」を指摘する戦略の中で、政府システムとインフラを保護する計画のやり直しを求めている。

火曜日に議会へ提出された「政府サイバー行動計画」は、既存戦略の早期刷新版であり、2022年に当時の保守党政権が導入し、2030年までの運用を想定していた。同様に、政府は2022年の国家サイバー戦略についても、この春に改定する計画だ。

キア・スターマー首相率いる政権が火曜日に導入した改定版の政府サイバー行動計画は、より現代的なデジタル政府サービスを構築するために必須だと、こうした取り組みを主導する科学・イノベーション・技術省（DSIT）のイアン・マレー国務大臣は述べた。新計画は「政府が明確な説明責任、義務要件、包括的な中央支援のもとで、積極的かつリスク主導の行動を取る方法を示している」と同氏は語った。

より良い対応が急務となっているのは、重要インフラに対する有害なサイバー攻撃が長年続き、老朽化した政府システムが攻撃に弱いという警告が繰り返されてきたためだ。2024年に官民パートナーシップのSynnovisが受けたランサムウェア攻撃は、ロンドン全域での手術キャンセルと、O型血液の重要アラートに関する全国的な不足を引き起こした。ランサムウェア事案により、地方自治体が社会福祉サービスを提供できなくなった例もある。イングランド銀行は11月、2025年秋の自動車メーカーJaguar Land Roverへの攻撃が経済成長の鈍化に影響したことを一部要因として挙げた。

新計画は、4つの戦略目標を段階的に実施することに焦点を当てている。すなわち、サイバーセキュリティおよびレジリエンスのリスクをより可視化すること、最も複雑で深刻なリスクに対処すること、急速に進展する事象への対応を迅速化すること、そして政府自身のサイバー・レジリエンスを急速に高めることだ。

政府はまた、科学・イノベーション・技術省内に新たなサイバーユニットを立ち上げると発表した。政府CISOのベラ・パウエルが率いるこの新ユニットには、行動計画を推進し政府機関を支援するため、4年間で2億8200万ドルの資金が投入される。

政府のサイバー実装責任者であるアレックス・ハリスは、計画の早期刷新を促した要因の一つとして、「私たちが置かれている、はるかに深刻な脅威とレジリエンスの状況」によって生じる「重大な課題」を挙げた。

専門家らは、政府が従来のアプローチを反復していると述べた。「求めている内容自体が新しいというより、現行のアプローチが機能していないことを認め、より支援の手厚い新しいアプローチにコミットするものだ」と、DSITサイバー・レジリエンス専門家諮問グループのメンバーであるジェン・エリスは語った。

「『何を』というより『どうやって』の話です」と彼女は述べた。

これを実現するために必要なサイバーセキュリティの専門性をより良く育成・採用するため、政府は50の異なるセキュリティ職種にわたって専門家を採用・訓練・定着させることを目指す新たな「政府サイバー職（Government Cyber Profession）」の立ち上げを発表した。

2025年1月の国家監査院（NAO）報告書は、サイバー改善に関する政府自身の進捗の遅さにより、国家主体およびサイバー犯罪集団の双方がもたらす増大する脅威に対して政府が深刻なリスクにさらされていると警告した。

依然として数百のレガシーシステムが使用されており（政府のIT資産の約3分の1を占める）、監査院はさらに、「各省庁は、これら脆弱なシステムの半数について、十分に資金が確保された是正計画を持っていない」と警告し、必要なサイバー・レジリエンス能力で多くの重要機能を強化できない状況に政府が置かれているとした。

政府の新たな行動計画の発表は、監査院の指摘に対する部分的な反応であり、現行の取り組みが十分ではなかったことの認めでもあると、シンクタンクの王立防衛安全保障研究所（RUSI）の上級研究員ジェイミー・マッコールは述べた。

「政府のサイバーセキュリティの状況、そして国全体の状況の両面で、切迫感は確実に高まっていると思います。ただ、実際に違いを生み出せるような対策や仕組み、資金が整備されているかについては、やや懐疑的です」とマッコールは語った。

資金の問題――十分かどうか、そして最も有利に活用されているかどうか――は大きな論点として立ちはだかる。水曜日、議会委員会は、2024年12月のハッキングをめぐり、司法省とその法的扶助機関（Legal Aid Agency）を厳しく非難した。この攻撃は「法的扶助の申請者および提供者の個人データの相当量を侵害した」もので、同機関は最初の侵入から4カ月後に特定した。委員会は、システムがオフラインにされ、法的扶助の弁護士が無償で働かざるを得なくなったこの攻撃が、司法省が老朽化した法的扶助のITシステム更新にすでに6700万ドル超を費やしていたにもかかわらず成功したと述べた。

政府よ、まず己を癒せ

サイバー行動計画の公表は、政府の「サイバーセキュリティおよびレジリエンス法案」の第2読会の前日に行われた。同法案は、民間部門の広範な領域にわたり、インシデント報告とサプライチェーンの脆弱性管理に関するより厳格な規則を課すことになる。

同法案は、中央政府を対象となる重要インフラ部門に含めていない。専門家らは、新たな行動計画のタイミングは、ウェストミンスターが自らの改善の必要性を自覚していることを示すものに見えると述べた。

英国政府は、EUのネットワーク・情報セキュリティ指令2（NIS2）に追随していない。NIS2は、多数のサイバーセキュリティ実務に加え、より良いリスク管理、報告要件、情報共有を義務化し、従わない場合には厳しい罰金を科すという脅しによって裏付けられている。NIS2の遵守が求められる18部門の中には、EUの中央政府も含まれる。

マッコールは、新たなサイバー行動計画について、説明責任の面など一部では前進として良い一歩だが、必要な資金や求められる水準の強制力が欠けていると分析する。「多くは良いし、私には論理的に思える部分も多い。しかし、立法や規制で得られるような強制の仕組みを根本的に置き換えるものではない」と彼は述べた。

サイバーセキュリティおよびレジリエンス法案は、民間組織がサイバーセキュリティとレジリエンスの基準を満たすことを求め、満たさない場合には罰金の脅威で担保する。

「CSRBの対象となる多くの民間組織から聞こえてくる批判は、『民間にもっとサイバーセキュリティに金を使えと言う一方で、政府には同じ基準を課していない』というものです。これは妥当な批判だと思います」とマッコールは語った。