分析 5月の法的扶助庁(Legal Aid Agency)へのサイバー攻撃から、数カ月後の外務省の侵害に至るまで、英国政府ではサイバーインシデントがますます日常的になっている。
規模はこうした注目度の高い事例にとどまらない。NCSCによれば、2020年9月から2021年8月の間に同機関が対応した攻撃の40%が公共部門を標的としており、この割合は増えると見込まれている。
この脅威環境を踏まえると、なぜ英国の看板法案であるサイバーセキュリティおよびレジリエンス(CSR)法案は、中央政府と地方政府の双方を適用除外としているのか。
今週、下院では、元デジタル担当相で現・影の副首相であるサー・オリバー・ダウデンが、中央政府をサイバーセキュリティおよびレジリエンス(CSR)法案の適用対象から外すという労働党の立場を再考するよう求める声を主導した。
「この法案が議会を通過するにあたり、その点をもう一度見直していただくよう大臣に強くお願いしたい。そして、公的部門により厳格な要件を課し、その点について閣僚の意識を強制的に向けさせるべきだという理屈は成り立つと思う」
CSR法案は、サー・キア・スターマーが首相に就任して数日後に発表され、著しく時代遅れとなった2018年のNIS規則を不可欠な形で刷新することを目的としている。
同法案は、2022年に予定されながら立ち消えになった計画どおり、マネージドサービスプロバイダーを対象に含めることや、データセンターなど、多くの領域を対象に取り込むことを提案していた。
EUのNIS2との類似点も見いだせる。しかしCSR法案の適用範囲はより狭く、EUの同等の規制刷新とは異なり、公的機関を除外している。
2つの省庁にまたがる国務大臣で、データ政策と公共部門改革を一部所管するイアン・マレーは、ダウデンの提案に謝意を示し、取り入れると約束した。
影の副首相への回答の中で、マレーは、CSR法案が下院で第二読会にかけられる数時間前に立ち上げた政府サイバー行動計画にも言及した。
この計画は表向きには、政府各省庁にCSR法案と同等のセキュリティ基準を課すというものだが……法的義務は一切伴わない。
冷笑的に見れば、中央政府まで適用範囲を広げないという法案への批判を鎮めるための道具であり、確固たるセキュリティ上の約束を何一つしないままに済ませる狙いだと映るかもしれない。
ダウデンが火曜日の下院で指摘したとおり、サイバーセキュリティは政府内でしばしば優先順位がすぐに下げられる問題だ。「公的部門への義務についての大臣の発言は歓迎する。しかし私の経験上、サイバーセキュリティは閣僚が口では語るものの、別の優先事項に追い越されてしまう類いのものだと注意しておきたい。立法上の要件の利点は、閣僚にそれを考えさせることを強制できる点にある」
「閣僚のサイバーセキュリティに関する説明責任については、より強い圧力をかける必要があると思う。これを主要法(一次立法)に盛り込まなければ、閣僚の受信箱の中でどんどん後回しになっていくことを懸念している。[一部の]閣僚に取り組む意思があったとしても、より差し迫った目先の問題が注意をそらしてしまう」
政府が、CSR法案の対象となる重要サービス提供者と同じ基準を自らにも本気で適用するつもりなら、政府自身と地方自治体も適用範囲に入れるはずだ、という議論も成り立つ。
英法律事務所decoded.legalのディレクター、ニール・ブラウンはThe Registerにこう語った。「政府各省庁は法案に定めるものと同等の基準に従うことになるのだから、法案に含める必要はない、というのが理屈だ。しかし、これでは安心できない。
「政府が法案に定めるものと同等の基準を自らに課すつもりなら、定義上、順守しているはずなのだから、法案に含まれることを恐れる理由は何もない」
国家安全保障戦略合同委員会の委員長も務める労働党議員マット・ウェスタンは、CSR法案は万能薬ではなく、国家安全保障を改善するために政府が成立させる数多くの特別立法の第一弾にすぎないだろうと示唆した。
これは、公共部門のセキュリティを将来的にさらに強化するための個別立法を政府が検討していることを示唆する。おそらく希望的観測に過ぎない。
ブラウンは「別立ての立法は、ひどい考えには聞こえない」と述べ、既存の英国の通信法制も効果を狙って分離されていると指摘する。
たとえば、2021年通信(セキュリティ)法と2022年製品セキュリティおよび通信インフラ法はいずれも通信分野のセキュリティ向上を目指すが、対象とする組織は異なる。セキュリティ要件は組織の種類によって異なることが多いため、公共部門に特化したサイバーセキュリティ法案を別途用意するのは一つの道かもしれない。
閣僚の計画には、急速に変化するサイバーセキュリティ環境の要求に応じて必要に応じた新たな法改正を導入できるよう、法案に規定を盛り込むことも含まれており、そもそも前回のNIS更新を遅らせたブレグジット関連の足かせを置き去りにする狙いがある。
しかし、効果的な法改正を迅速に実現できる可能性は不透明だ。
政府が正しくやろうとするなら、両院で改正を通す前に、包括的(かつ長期にわたる)な業界協議を実施するだろう。これもまた通常は骨の折れるプロセスである。
既存法をこのように反復的に更新していくやり方が、スピードと網羅性を両立できるかどうかは不明のままだ。
ブラウンにとって、労働党が採っている――小刻みに立法する――アプローチは、より賢明な選択に見える。
「私の好みは、あらゆる人にとってあらゆるものになろうとする単一の法律を作るよりも、必要に応じて反復しながら、小さく頻繁に立法することだ」と彼は言う。「立法には必然的に妥協が伴い、しばしば多数の利害関係者(ロビー団体を含む)の相反する利害を反映する――たとえば2023年オンライン安全法を見れば分かる。より小さな法案/法律で、対象範囲をより絞り、明確に言語化された問題提起に応答するほうが、私には理にかなっている。
「CSRがNIS2より良い結果をもたらすかどうかについては、残念ながら分からない」
英国の公共部門が直面するサイバー脅威の規模を踏まえると、CSR法案でこれを考慮しないことは、政府を厳しい精査にさらす可能性がある。
2025年1月に公表された、英国政府のセキュリティ改善に関する国家監査院の報告書は、そのシステムの惨状を白日の下にさらした。各省庁が運用する最重要システム72件のうち58件がレビューされ、監査人はそれら全体にわたる多数のセキュリティ欠陥を見つけ、問題への対処が驚くほど遅いペースで進んでいると指摘した。
これは、公共部門が定期的なサイバー攻撃から自由であるという評価と両立しない。
中央当局、独立行政機関、地方議会、あるいはNHSトラストが侵害されるたびに、公共部門をCSR法案の適用範囲に含めないという政府の判断は、サイバーセキュリティへのコミットメントを野党が問いただす新たな機会を与えることになる。
少なくとも労働党には、もしこのシナリオが現実になった場合に反撃する材料が多少はある。保守党は、実行するのに2年以上の時間があったにもかかわらず、2022年の協議で示されたサイバーセキュリティ勧告を法制化できなかったからだ。
政府のサイバー行動計画があったとしても、公共部門を看板のサイバー立法の適用範囲に入れることを渋る姿勢は、この問題領域でセキュリティを改善するという本気の野心があるとは、とても思わせない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/10/csr_bill_analysis/
