英国の公立教育セクターは、過去1年間、国内で記録された脅威レベルは安定しているにもかかわらず、サイバーブリーチの大幅な増加に直面しています。
これらの知見は、英国の2つの政府機関である科学・イノベーション・技術省(DSIT)と内務省が4月30日に発表したサイバーセキュリティブリーチサーベイ2025/2026の一部です。
2025年8月から12月の間に実施された定量調査と質的インタビューに基づく年次報告書の新版は、2025年4月に発表された前のバージョンと比較して安定した傾向を示しています。
しかし、報告書の教育付録に目を向けると、2つの版の間のサイバーブリーチの有病率における最も劇的な増加の1つがあり、それは公立教育機関内で発生したものです。
まず、付録は、2025/2026年の調査結果において、サイバーブリーチを特定した英国初等学校の割合が、2024年8月から12月の前回の報告期間と比べて4%増加したことを示しています。
さらに、英国の中等学校の73%もサイバーブリーチを経験したと報告しており、これは2025年に発表された報告書の60%から上昇しています。
2025/2026年の報告書はまた、高等教育カレッジの88%が2026年の報告書でサイバーブリーチを受けたことを示しており、これは前回の報告期間比3%の増加です。
さらに深刻なことに、英国の高等教育機関は2025年の報告書で91%がブリーチを受けていたものから、2026年の報告書ではほぼ全てにあたる98%に上昇しました。
2025/2026年のサーベイでカバーされた教育機関には、273の初等学校、222の中等学校、33の高等教育カレッジ、および49の高等教育機関が含まれています。私立教育事業は別途検討され、これらの知見には含まれていません。
教育以外では、サーベイは攻撃またはサイバー犯罪における幅広い増加傾向を示しませんでした。
ほとんどの知見は前の版で報告されたものと同様であり、企業の約43%と慈善団体の28%が過去12ヶ月間でブリーチまたは攻撃を特定したという安定した傾向を示しています。2025年4月のサーベイ版では、43%の企業と30%の慈善団体がサイバーブリーチまたは攻撃を報告していました。
フィッシングが支配的、ブリーチレートは安定
フィッシングは圧倒的に最も一般的で破壊的な脅威のままです(企業の38%と慈善団体の25%が経験)。
さらに、フィッシング攻撃のみを経験し、他のタイプのインシデントを経験していない組織の割合が著しく増加しています(昨年の45%から今年は51%)。この変化は、フィッシングが攻撃者にとって大規模実行が容易になったという認識に部分的に起因しています。
ランサムウェアや詐称攻撃のようなより複雑な脅威は過去2年間で減少を見せており、2025/2026年の報告期間でランサムウェアを経験したと主張する企業はわずか1%です。
「予算が逼迫するとき、サイバーハイジーンはしばしば最初に削減される対象となり、それはまさに攻撃者が利用する瞬間なのです。」
ブリーチの全体的な頻度は安定していますが、企業への悪影響の重大性は上昇しているようです。
悪い結果を経験する組織の総割合は昨年と一貫していますが(2025/2026年のサーベイで企業が19%、慈善団体が11%対前版で企業と慈善団体の両方が16%)、ブリーチが収益またはシェア価値の喪失をもたらしたと報告する企業に特定の増加が見られました(2025年4月の報告書では2%から2025/2026年では5%)。
英国の小企業がサイバーハイジーンの後退を経験
HuntressのEMEA地域担当CISOおよびサイバーセキュリティアドバイザーのMuhammad Yahya Patelは、サーベイが「頑固に持続する」サイバー脅威の状況を描いている一方で、最も懸念される知見の1つは小企業のサイバーハイジーンの逆転だと指摘しています。
Patelは、英国の小企業が2023/2024年のサイバーハイジーンレベルに戻ったという知見を引き合いに出しており、これにはサイバーセキュリティリスク評価の実施(2025/2026年に41%で48%から低下)、サイバーセキュリティリスクをカバーする正式なサイバーセキュリティポリシーの保有(2025/2026年に52%で59%から低下)、およびサイバーセキュリティに対応するビジネス継続計画(2025/2026年に44%で53%から低下)が含まれます。
「小企業は主要な管理対策全体で大幅な低下を経験しました。予算が逼迫するとき、サイバーハイジーンはしばしば最初に削減される対象となり、それはまさに攻撃者が利用する瞬間なのです」とPatelは述べました。
「サイバー犯罪が増加している時代に事故対応計画を削除することは、数ヶ月間順調だったからといって火災警報器を取り外すようなものです。」
ApricornのEMEA地域マネージングディレクターであるJon Fieldingも、「スタッフ訓練は小企業の間では引き続き優先度が低いと見なされている」ことに気づいており、わずか3分の1が大規模組織の84%と比較してセッションを実施しています。
「このため、ユーザーは依然としてチェーンの最も弱いリンクのままであり、これらのユーザーはAIによって作成・調整された攻撃のためにますます脆弱になっています」と彼は主張しています。
「フィッシングと社会工学攻撃は現在、はるかに高度で気づきにくくなっており、従業員が疑わしい通信をどのように報告できるかを知ることが重要です。」
サイバー必須事項の採用がわずか5%で停滞
最新のサーベイは、調査対象の英国企業のわずか5%がサイバー必須事項を遵守していると報告したことを明らかにしました。
「これは構造化された回復力への見落とされた機会を示唆しています」とコンプライアンスソフトウェア企業ISMS OnlineのCEOであるChris Newton-Smithは述べました。
これは、英国国家サイバーセキュリティセンター国家回復力部門ディレクターであるJonathan Ellison氏が、CYBERUK 2026の間にサイバー必須事項の採用が過去の会計年度で約20%増加したことを示唆していたにもかかわらずです。
Newton-Smithはコメントして、「フレームワークはコンプライアンスの負担と見なされるべきではなく、実証済みで繰り返し可能なセキュリティプラクティスを提供し、断片化された外部アドバイスへの依存をしばしば減らします。コンサルタントに大きく依存する組織は、一貫性のない管理のリスクと内部能力の欠如に直面します。サイバー必須事項などのフレームワークは、組織の良い意図を運用上の規律に変えるのに役立つことができます」と述べました。
翻訳元: https://www.infosecurity-magazine.com/news/uk-education-sector-faces-surge-in/
