ランサムウェア攻撃が急増し、生活必需サービスや重要インフラに支障をきたす中、英国政府は、近々施行されるサイバーセキュリティ・レジリエンス法案の適用範囲を初めて明らかにしました。この法案は、既存のサイバー規制の欠陥を補い、ランサムウェアなどの攻撃から重要インフラを保護することを目的としています。
「サイバーセキュリティ・レジリエンス法案は、英国のデジタル経済を世界で最も安全なものの一つにするのに役立ち、英国のサービス、サプライチェーン、そして国民を保護する力を与えてくれる。これは政府にとって最初で最も重要な仕事だ」とピーター・カイル技術相はプレスリリースで述べた。
4月1日、政府はサイバーセキュリティとレジリエンスに関する政策声明を発表し、提案法案と現在検討中の追加措置の概要を示しました。具体的な実施時期は未定ですが、年内に議会に提出される予定です。
この法案には、規制範囲の拡大、規制当局の権限の強化、そして政府が自由に変更できるようにするという3つの主要な側面がある。
規制範囲の拡大
英国の現行サイバー法はEUから引き継がれたもので、2018年のネットワーク情報システム(NIS)規則で構成されています。これらの規則は、運輸、エネルギー、飲料水、医療、デジタルインフラ、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスを対象としています。2022年のレビューでは、これらの規則は著しく時代遅れであることが判明しました。
EUはこれらの規制を更新しましたが、英国は更新していません。そのため、サイバーセキュリティ・レジリエンス法案では、約1,000社のサービスプロバイダーを対象範囲に追加することを目指しています。9月にデータセンターが重要な国家インフラに指定されたことを受け、データセンターも対象に含める修正案も提案されています。
法案の影響が現れるには時間がかかるかもしれない
フリース法律事務所の紛争管理パートナーであるウィリアム・リッチモンド・コガン氏は、この法案の影響は政府が期待するほど早くは感じられないかもしれないと考えている。
彼はTechRepublicへのメールで次のように述べている。「たとえ、新しい規則の対象となるすべての組織が、現在および将来のサイバー脅威の波に対応するためのインフラ更新に投資するための予算、技術力、そしてリーダーシップの余裕を持っているとしても、すべてのシステムを統合するのは時間と費用のかかるプロセスになる可能性があります。サイバー脅威のプロファイルは常に進化しているため、時間と予算という二つの投資は継続的な取り組みとして組み込む必要があります。サイバーセキュリティ体制の確立は「一度で完了」するものではありません。」
「少なくとも同等に重要なのは、これらの国家的に重要な組織で働く人々に、サイバーセキュリティはその最も弱い部分と同じくらいしか強くないこと、そして誰もがそのような組織を安全に保つ役割を担っていることを理解してもらうという、非常に必要な取り組みです。
「ますます巧妙化するサイバー犯罪者や、これまで以上に攻撃的になる国家主体による脅威の増大を防ぐため、あらゆるレベルでの絶え間ない警戒が求められる状況において、トップダウンによる規制改革に重点を置くことは、このメッセージの真価を薄めたり、注意を逸らしたりするリスクがある。」
強化された規制権限
サイバーセキュリティ・レジリエンス法案は、適切なセキュリティ対策の実施を確保するための権限を規制当局に拡大します。規制当局には、規制活動に対する手数料の設定・徴収、行動規範やセクター別ガイドラインの発行など、より多くのツールが提供されます。また、情報コミッショナー事務局(ICO)にも、潜在的な脆弱性を積極的に調査できるよう、より多くの情報通知を発行する権限など、新たな権限が付与されます。
義務報告の強化
この新法案は、ランサムウェア攻撃を含むより広範なサイバーインシデントについて、規制当局への報告義務を導入するものです。これにより、政府の脅威情報と対応戦略が最終的に改善されることが期待されます。
報告対象となるインシデントには、業務の継続性を阻害するだけでなく、重要なサービスの提供に重大な影響を与える可能性のあるもの、またはシステムの機密性、可用性、整合性に影響を与える可能性のあるものも含まれます。例えば、企業はデータの機密性が侵害された場合や、顧客企業に影響を与えるスパイウェア攻撃の被害に遭った場合など、報告義務が生じます。
この法案は、企業に対し、重大なインシデントを発見後24時間以内に規制当局と国家サイバーセキュリティセンターに報告し、72時間以内にインシデント報告書を提出することを義務付けます。データセンターやデジタルサービスを提供する企業も、影響を受けた顧客に通知しなければなりません。
政府は法案に臨時の変更を加えることができる
技術長官は、国家安全保障上必要と判断される場合にはいつでも、規制枠組みを更新することができ、例えば新たな分野への適用拡大などが可能となる。また、提案されている改正案では、サイバー脅威やインシデント発生時に、対象組織や規制当局に対し、セキュリティに関する指示を発令する権限を政府に与えることも盛り込まれている。これには、一定期間内にシステムにパッチを適用するよう命じることも含まれる可能性がある。
施行に関しては、政策声明では「2021年電気通信(セキュリティ)法で定められた前例を考慮する」と述べられています。この法律により、政府は遵守が達成されるまで、1日あたり最大10万ポンドまたは企業の売上高の10%の罰金を課すことができます。
英国はサイバー犯罪の温床となっている
英国では過去1年間、大英図書館、スーパーマーケットのセインズベリーとモリソンズ、そして病理学会社シノヴィスを標的としたランサムウェア攻撃など、注目を集めるハッキング事件が急増しており、NHS(国民保健サービス)の業務に支障をきたしました。NCSCが2024年に処理したインシデントは430件で、2023年の371件から増加しました。そのうち89件は、生活必需品サービスや経済全体を脅かす「国家的に重大な」ランサムウェア攻撃でした。
12月、NCSCの責任者は、国のサイバーリスクは「大きく過小評価されている」と警告し、こうした国家による脅威から身を守るためには「重要なインフラ、サプライチェーン、公共部門、そして経済全体の防御力と回復力を向上させる必要がある」と述べた。
英国政府は1月、公共機関や重要産業を「犯罪者にとって魅力のない標的」にし、国内におけるインシデントの発生頻度と影響を軽減するため、ランサムウェアによる支払いを禁止することを検討していると発表した。専門家は、身代金の支払いを保留し、その結果として生じるダウンタイムが死傷者につながる可能性があるため、重要インフラや医療分野は禁止措置の対象外とすべきだと指摘している。
