英国政府は新たに「Cyber Security and Resilience Bill(サイバーセキュリティ・レジリエンス法案)」を導入すると発表しました。
この法案は、英国の重要国家インフラ(CNI)の対象となる組織、具体的にはNHS(国民保健サービス)、エネルギー、水道、交通などの分野のサイバー防御を強化し、増え続けるサイバー脅威に対して産業全体のレジリエンスを高めることを目的としています。この動きは、いまの状況を踏まえると極めて重要です。なぜなら、KnowBe4の2025 Phishing By Industry Benchmarking Reportでは、英国およびアイルランドの重要インフラが、国家支援の攻撃者からより頻繁に狙われていることが示されています。
新法は、重要インフラと重要サービスを守る英国のサイバー防御を抜本的に見直すものです。2026年に国王裁可を得る見込みで、2018年のNetwork and Information Systems Regulations(NIS)を改正・更新します。
コンプライアンス対応と国家レジリエンスが問われる中、英国で重要国家インフラに該当する組織にとって、この法案は何を意味するのでしょうか。
なぜ今?
重要分野を狙うサイバー攻撃は大きな被害につながります。たとえば2024年のSynnovisへの攻撃では、1万1,000件を超える診療予約や医療処置に支障が出て、損失は3,270万ポンド(約70億円)と推計されています。また、この攻撃が患者の死亡に直接影響した可能性も指摘されています。サイバー攻撃が社会に与える影響が、いかに深刻であるかを示す事例です。
Cyber Security and Resilience Billは、サイバー攻撃が起きた際に、NHSの予約キャンセルのような大規模な混乱を防ぎつつ、英国の経済も守ることを狙っています。サイバー攻撃による年間被害額は約150億ポンドに達すると推計されており、見過ごせない数字です。
ただし、CNI組織のセキュリティ改革は簡単ではありません。多くの組織がレガシーシステムの上に成り立ち、現場は多忙で、人員の入れ替わりもある中、複数の優先事項に追われています。立法側には、よりレジリエントな現場を実現しながら、根付いた習慣も変えていくという難題が突き付けられています。
新法の主なポイント
法案が適用される組織への影響として、大きな変更点がいくつかあります。
まず重大なサイバー攻撃が発生した場合、24時間以内に速報を行い、72時間以内に詳細報告を提出することが求められます。次に規制当局は「重要サプライヤー」を指定でき、NHSや水道事業者などにサービスを提供する企業が指定された場合、最低限のセキュリティ基準の適用が義務になります。さらに重大な違反に対しては売上高に連動した制裁金が科され、事後対応よりも先回りした投資のほうが合理的になるよう、非準拠のコストを引き上げます。加えて、中規模・大規模のITサービス事業者も対象となり、重要組織にサービスを提供する事業者は、厳格なサイバーセキュリティ要件に従い、重大インシデントの報告義務や復旧計画の整備が求められます。さらにテクノロジー担当大臣には新たな権限が付与され、国家安全保障上のリスクがある場合、NHSなどの重要組織に対して監視の強化を指示し、リスクが高いシステムを切り離すといった対応を求められるようになります。
新法は、業界が以前から認識してきた事実を明文化するものです。ヒューマンリスクは重要インフラのリスクでもあります。組織は、従業員の行動を理解し、実際の業務環境に合わせてセキュリティを設計し、ヒューマンリスクを継続的に測定し、その状況を取締役会レベルで報告する必要があります。これはヒューマンリスクマネジメントにとって大きな転換点であり、これまで研修の一施策にとどまっていた取り組みが、組織レジリエンスの中核に位置づく戦略的でデータドリブンな取り組みへと格上げされます。
取締役会にとっての意味
取締役会にとってこの法案が意味することも明確です。新たな英国のサイバー法制と、非準拠に対して最大1,700万ポンドの制裁金が科され得るという点は、規制当局がサイバーレジリエンスを組織全体の経営課題として扱うことを求めているサインです。サイバーセキュリティは、IT部門に委ねる運用課題ではなく、財務、業務、評判に直結するガバナンス上の責務になりました。
また、取締役会に突き付けられているメッセージは2つあります。1つ目は、規制当局が実効性のある変化を強制できる段階に入ったことです。2つ目は、ポリシーだけではコンプライアンスを達成できないということです。多くの重要インフラ組織は、強くカスタマイズされたレガシーシステムで稼働しています。こうした環境では、標準手順だけでは回らない場面が生まれやすく、そこでの現場の工夫は意図的な怠慢というより、必要不可欠なサービスを止めずに業務を回すための現実的な対応になっている場合も少なくありません。現場の実態を無視した義務化は、監査対応のためのチェックボックス化を招き、実際のレジリエンスを高めないまま形だけ整えるリスクがあります。
だからこそ取締役会は、現場の仕事が実際にどう回っているかに根差したセキュリティ戦略を求める必要があります。テクノロジー、プロセス、統制が「正しい行動」を後押ししているのか、それとも意図せず危険な近道へ追い込んでいるのかを問い直すことが重要です。同時に、従業員を管理すべき脅威としてではなく、セキュリティのパートナーとして扱う姿勢も欠かせません。従業員が責められる不安なく課題を報告でき、現実的に回るプロセス設計に参加できる状態を作る必要があります。
要件へ対応するためには?
要件への対応を先回りするには、「安全な選択肢が最も簡単な選択肢」になるように設計することが鍵です。セキュリティが摩擦を生むほど、人は自然に回避策を探します。逆に、手間が少なく、日々のワークフローに組み込まれているセキュリティは、安全な行動を当たり前に変えます。Cyber Security and Resilience Billは実質的に、この人を中心としたアプローチを後押しし、摩擦を減らし、現場の行動の現実を理解している組織が評価される方向へ押し出しています。取締役会や意思決定者は、技術的な堅牢性だけでなく使いやすさも重視する投資判断を進めるべきです。
この法案はリスクの重みを引き上げる一方で、セキュリティを強化する好機でもあります。人を中心とした、現場の運用を踏まえた現実的なサイバーレジリエンスを推進できれば、組織はコンプライアンスを超え、実際の攻撃に対しても機能するセキュリティ文化を築けます。