レガシーITの問題が、極めて機密性の高いデータ漏洩を防ぐために設計された主要な技術的対策を妨げていると、英国政府当局者は述べています。
火曜日、議会の科学・イノベーション・技術委員会は、国防省(MoD)がアフガニスタンの情報提供者の命を危険にさらすデータを誤って公開した事件の再発を防ぐために講じられた進捗について、閣僚を厳しく追及しました。
この公聴会は、政府の情報セキュリティレビューに対する対応を議論するために予定されたもので、レビューでは特に、ソースから直接情報を共有し、電子メール経由ではない技術的手段を実装することが推奨されていました。
英国近代史において最も機密性の高い漏洩の一つと考えられているこの事件で、国防省はタリバン紛争中に英国軍を支援したアフガニスタン人の詳細を2回公開しました。英国の再定住制度の申請者約19,000人の詳細が、典型的なCCではなくBCCの電子メールミスによって漏洩しました。
2023年にまとめられたが2025年8月まで公表されなかったレビューの14のデータセキュリティ推奨事項の中には、電子メールに依存しない政府間情報共有の方法を開発することが含まれていました。
その目的は、偶発的なデータ漏洩を引き起こす人為的エラーを排除することであり、これは情報コミッショナー事務所が以前に指摘し、文化的変化を通じて修正しようとしていた問題点でした。
デジタル政府・データ担当大臣のイアン・マレー氏は、「文化的変化は実践を通じて起こる」と述べ、公務員が電子メールに文書を添付することを技術的ソリューションでブロックするという考えは、これを実現する方法の一つであると述べました。
政府全体で展開されているかどうか尋ねられたマレー氏は、「適切な場合には」展開されると確認しましたが、政府の最高データ責任者であるエイミー・スミス氏は課題について警告しました。
「さまざまな異なるレガシーシステムで運用されている部門がある場合、内部的に添付ファイルをメールで送信することが、実際には情報をあるシステムから別のシステムに移動できる唯一の方法である可能性があります」と彼女は述べました。
「それが、すべての部門と独立行政法人全体で私たちが見ているものの複雑な性質です。したがって、原則として、私たちは人々がどのように運用すべきかを設定しますが、部門がそこに到達するためには、ある程度の検討されたサポートと焦点、そして投資が必要になります。」
スミス氏はまた、Google WorkspaceまたはMicrosoft 365のどちらを実行しているかに関わらず、政府部門全体には文書を公開せずに共有するための「十分以上の能力がある」とも述べました。
政府部門が内部的にこの方法で文書を共有することは、異なるレガシー機器を実行している可能性がある独立行政法人などの外部受信者に提供するよりも簡単です。
「私たちは、部門に提示される電子メールの種類 – 電子メールで送信できるものとできないもの – およびシステムをどのように構成すべきかについての基準を持っています」とスミス氏は述べました。
異なるレガシーITシステムのため、外部受信者との部門間共有はより大きな困難をもたらすと彼女は述べました。しかし、必要なツールは存在しており、最近の年度末ガイダンスが発行され、部門に遵守を求めています。
小競り合い
会議は出席した閣僚にとって順調に始まりませんでした。委員会メンバーのキット・マルサウス氏は、委員会の要請にもかかわらず、ロンドンでの電話盗難の増加という以前のトピックについて議論する準備をせずに到着したことについて、謝罪する英国のセキュリティ担当大臣ダン・ジャービス氏を叱責しました。
その直後、マレー氏は、政府のデータセキュリティが彼の言葉で「かなり良好」であることに関する以前のコメントについて質問されました。委員会はこの表現に満足せず、これが何を意味するのかについての保証を求めました。
マレー氏は、人為的エラーは常に考慮できない要因であるため、「すべてのデータを確保できると確信を持って言うことは決してできない」ため、より強い表現を控えたと述べました。
彼は、関与するデータの量 – 1日あたり数十億のトランザクション – を考えると、大部分は安全に処理されていると述べましたが、そうでない事例の深刻さは、それがどれほどまれであっても認識していると述べました。
委員会議長のデイム・チー・オンウラ氏は、特に今後導入されるデジタルIDプログラムと広範なeVisaシステムの問題を背景に、政府が十分に高い基準を自らに課しているかどうかを疑問視しました。
「どのようなデータ漏洩も重大な問題であり、政府は常に正しく行わなければなりません。特に政府サービスと提供の基礎となるデジタルIDを展開している場合は」と彼女は述べました。「政府は常に正しく行わなければなりません。」
ジャービス氏は政府を擁護し、次のように述べました。「それが私たちが到達したい場所ですが、マレー大臣が完全に合理的に述べていた点は、これらの損失や事件の一部を引き起こす人為的エラーがあるということです。
「そして、お好きなだけすべてのプロセスを導入し、適切な文化と適切なリーダーシップを持つことができますが、犯されるミスはあるでしょう。私たちがしなければならないのは、人々がそれらのミスを犯すリスクを最小限に抑えることであり、ミスが犯された場合には、それらの後始末をするための適切な手順があることを確認することです。
「しかし、最高の結果を達成するという私たちの絶対的な決意以外は何も受け取らないでください。それが私たち全員が達成しようとしているものです。」
データを見せてください
委員会はさらに、政府システムに対して行われた評価に関する情報を求め、関連データを公開できるかどうかを尋ねました。
委員会が求めた詳細の中には、データセキュリティに関連する各政府システムの具体的なレッド・アンバー・グリーン(RAG)評価が含まれていました。
マレー氏は、政府全体のレガシーシステムの全体的な割合に関する詳細を委員会と非公開で共有することに異議はないと述べましたが、何かを約束する前に同僚と協議する必要があると述べました。
英国政府セキュリティ責任者のビンセント・デヴァイン氏は、2025年10月に「保証演習」が実施され、政府部門全体でデータセキュリティ基準への90%のコンプライアンス率が判明したと述べました。
このデータを今後の年次レビューに含める計画がありますが、今年どれだけ報告されるかは言えませんでした。
デヴァイン氏は、部門はさまざまなセキュリティ対策について年次RAG評価を受けており、全体的な組織評価も割り当てられていると述べました。しかし、このデータは潜在的な攻撃者にインテリジェンスを提供することを避けるため、機密のままです。
デイム・チー氏は、委員会が利用可能なデータへのアクセスを歓迎すると強調し、そのような測定可能な指標は部門の進捗を追跡するために不可欠であると述べました。
委員会議長はまた、セキュリティレビューの公表後の8月に、政府が報告書の14の推奨事項を満たすために行っている進捗に関するより多くの透明性を求めるよう呼びかけました。
彼女は当時次のように述べました。「政府はまだレビューについて答えるべき質問があります。なぜ14の推奨事項のうち12しか実施されていないのか?そして、2022年のアフガニスタン情報漏洩が公になった後でさえ、なぜこのレビューの存在そのものをこれほど長く秘密にしてきたのか?
「私はパット・マクファデン大臣と情報コミッショナーのジョン・エドワーズ氏に、このレビューの状況とその推奨事項がどの程度実施されているかを説明するために委員会に出席するよう要請しました。これについての適切な精査が切実に必要であり、政府がこれらの危険なデータ漏洩を止めるためにどのように計画しているかについて、より良い理解を持つことが重要です。」
マレー氏は、14の推奨事項のうち13.5が実施されていると述べました。
「13.5と言うべきでしょう。ガバナンス構造に関してまだいくつかの技術的な会議が行われる必要があるという根拠ではありますが、それらの推奨事項の意味では、それらはすべて実施されており、実際にいくつかの分野ではさらに進んでいます。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/11/uk_afghan_breach_probe/
