1.「サイバーセキュリティおよびレジリエンスに関する政策声明」の概要
2025年4月1日、英国政府は「サイバーセキュリティおよびレジリエンスに関する政策声明」を発表し、国家のデジタル防衛を強化するための重要な一歩を踏み出しました。本政策声明では、国家のサイバーレジリエンスの強化を目的とした広範な取組みの一環として、ネットワークおよび情報システム(NIS)規制の適用範囲を拡大する法的措置が導入されました。
本政策声明に含まれる「サイバーセキュリティおよびレジリエンスに関する法案」は、英国におけるデジタルシステムへの依存の高まりや、一層複雑化するサプライチェーンがもたらすリスクを強調しています。本法案はコンプライアンスと規制措置に焦点を当てているNIS規制を基盤としつつ、積極的なリスク管理とレジリエンスの強化を通じたより戦略的なアプローチが採用されており、重要なサービスをサイバーインシデントから防御するための先見的な検討と防御策の整備を推奨しています。
本法案の狙いは脅威の状況および英国のデジタルインフラを構成する重要なエンティティを既存の規制に反映することであり、マネージドサービスプロバイダー(MSP)を含む広範なエンティティまで規制対象を拡大しています。
これにより、政府は重要なITシステムおよびサービスのセキュリティとレジリエンスの向上を図るとともに、より広範囲に対するサイバー攻撃からの保護と英国の重要なデジタルサービスが晒されるリスクへの包括的な理解の深化を目指しています。
また、日本国内の企業をターゲットにしたランサム攻撃が増えており、2025年秋頃には、攻撃を受けた企業だけでなく、サプライチェーン全体へ影響が広がる事例が相次ぎました。受注から出荷に係る一連の業務中断や供給遅延、さらには代替の商品やサービスを提供する関連事業者への波及など、単一のインシデントが広範な業務停止を引き起こす「システミックリスク」が現実のものとなっています。
これらの事例は、重要インフラや金融機関を含む重要サービス提供者にとって、サイバーセキュリティがオペレーショナルレジリエンスの根幹であることを改めて示しており、英国の制度設計が示すような、マネージドサービスプロバイダー(MSP)やクラウド事業者といったサードパーティやソフトウェアサプライチェーンへの監督強化、インシデント報告の迅速化、レジリエンス文化の醸成といった観点は、日本の制度整備や企業の実務対応においても重要な論点となることが予想されます。
2.サイバーセキュリティ関連規制の対象拡大
- マネージドサービスプロバイダー(MSP)
多くの組織に重要なITサービスやサイバーセキュリティ支援を提供している組織は、1件の侵害が多数のクライアントに影響を及ぼすリスクがあります。このリスクを踏まえ、本法案ではMSPにも従来の重要分野と同様の厳格な基準を適用しています。
- 重要サービス事業者(OES)および関連デジタルサービスプロバイダー(RDSP)
本法案はNIS規制の大きなギャップへの対応として、サプライチェーンのサイバーリスク管理に焦点を当てた措置を導入しています。政府はOESおよびRDSPに対してより厳格なサプライチェーン管理義務を定める権限を有し、規制当局はリスクの高いベンダーを「指定重要サプライヤー(DCS)」として指定することができます。これにより、指定重要サプライヤーは規制対象事業者と同様の義務を負うことになり、サードパーティプロバイダーの脆弱性に起因する主要サービスが停止するリスクを低減し、国全体のサイバーレジリエンスを強化します。
組織への影響
本法案の対象となる組織は、重要インフラのレジリエンス強化・重要サービスの継続的な提供の確保を目的とした、以下の要件を満たすことが求められます。
- レジリエンス文化の醸成
経営層レベルでのサイバーガバナンスの導入を促進し、「Cyber Essentials※」などのフレームワークの採用や、定期的なセキュリティ監査・システム更新などの厳格なプロトコルの導入を推奨します。
- サイバーインシデント報告態勢の強化
重要サービスの提供に重大な影響を及ぼす可能性のあるサイバーインシデントについて、組織は規制当局に通知する義務を負います。報告は2段階で構成され、1段階目の報告はインシデントを認識してから24時間以内に規制当局およびNCSCに初期通知を行い、2段階目は72時間以内に詳細な報告書を提出する必要があります。
- 情報コミッショナー事務局(ICO)の強化
デジタルサービスプロバイダーに対する義務の範囲が広がり、登録時のICOへの情報共有、ICOが情報通知を発行するための基準の拡大および第三者がICOに関連情報を提供できる情報共有ゲートウェイの設置などの対応が求められます。
- サプライチェーンの強化
規制当局が重要なサプライヤーを能動的に特定・監督できるようにすることでシステミックリスクを低減し、相互接続されたサプライチェーン全体のレジリエンスを向上させます。組織は、供給者との関係の評価・強化、堅牢な第三者リスク管理態勢の構築および広範な業務ネットワーク全体におけるコンプライアンスの確保が求められています。
※「Cyber Essentials」は、英国政府が策定した基本的なサイバーセキュリティ対策の認証制度であり、マルウェア対策、ファイアウォールの設定、アクセス制御、セキュリティ更新の管理など、組織が最低限実施すべき技術的・運用的な対策を体系的に示しています。中小企業から大企業まで、業界を問わず幅広い組織を対象としており、特にサプライチェーン全体のセキュリティ水準を底上げする手段として活用されています。さらに、英国政府の入札要件として、Cyber Essentialsの認証取得またはそれと同等の対策が求められていることから、多くの組織が認証取得に向けた取組みを進めています。
3.なぜサイバーセキュリティがオペレーショナルレジリエンスの中心なのか?
本法案は英国のデジタル防衛を強化することを目的としていますが、真の価値はサイバーセキュリティを組織のリスク管理と事業継続計画の中核に組み込むことで、オペレーショナルレジリエンスをより広範に強化する事にあります。
現代のデジタル社会では、ランサムウェアやサプライチェーン攻撃などのサイバー脅威はITのみの問題ではなく、組織が重要サービスを継続的に提供する能力に対する直接的なリスクです。したがって、サイバーレジリエンスはオペレーショナルレジリエンスの根幹を成す要素となります。
金融サービス業界では、サイバーとオペレーショナルレジリエンスを統合する方法の好例を提供しており、特に「重要な第三者(CTP)」の規制を通じてその実践が見られます。これらは、本法案が期待する内容に関する貴重な示唆を提供します。
- 本法案とCTPフレームワークは、いずれも第三者リスクを重視
クラウドプラットフォームやITインフラサービスなど、単一のプロバイダーの障害が複数の重要サービスに波及する可能性があるため、MSPのレジリエンスは広範なサプライチェーン全体にとって極めて重要です。
- インシデント報告も両者の共通事項
両フレームワークは重大なサイバーインシデントの迅速な通知を求めていますが、本法案ではより構造化されたアプローチと厳格なタイムラインが導入されています。これにより、規制監督の強化に加え、迅速かつ連携のとれた対応が可能になります。
- 本法案は国家サイバーセキュリティセンター(NCSC)の「Cyber Assessment Framework(CAF)」の原則も採用
CAFの採用はEUの「デジタル・オペレーショナル・レジリエンス法(DORA)」の影響を受けた金融業界のアプローチを反映しており、CTPは内部および外部のリスクを継続的に評価・管理し、得られた教訓に基づいて対応を見直すことが求められています。
4.まとめ
「サイバーセキュリティおよびレジリエンスに関する法案」は、英国におけるサイバーレジリエンスの強化おいて極めて重要な一歩を示しています。NIS規制の適用範囲を拡大し、マネージドサービスプロバイダー(MSP)やサプライチェーンのセキュリティにより大きな重点を置くことで、より広範な重要サービスを高度化するサイバー脅威から保護することを目的としています。
近年の事例は、サイバー脆弱性が現実世界に与える影響を如実に表しています。たとえば、今年初めにヒースロー空港で発生した大規模なIT障害では、多数のフライトがキャンセル・遅延し、数千人の乗客に影響を与えました。同様に、2024年初頭にスペインの電力網がサイバー攻撃を受け、一時的な停電や業務の混乱が発生しました。これらの事例は、脅威アクターが重要インフラを標的にし、全体の運用を不安定化させる可能性があることを示しています。
本法案は、サイバーインシデントが「起こるかどうか」ではなく「いつ起こるか」という前提に立ち、時宜を得た取組みです。単なる規制措置としてではなく、サイバーレジリエンスを業務継続の中核に組み込むための戦略的な起点として捉えるべきものであり、金融サービス分野で得られた教訓を活かして、英国のデジタルインフラをより強固なものにすることを目指しています。
<レジリエンスシリーズのご紹介>
本記事はシリーズの第1弾であり、次回の記事では、これらの変化におけるサイバーセキュリティの観点をより詳しく掘り下げていきます。新たな規制の期待が実務において何を意味するのか、組織が現在のサイバー成熟度をどのように評価すべきか、そして本法案の要件に整合するための対応ステップを解説します。
また、脅威アクターがどのように進化しているのか、今日の環境におけるプロアクティブな防御とは何か、そして組織が自社の業務だけでなく、デジタルサプライチェーン全体にわたってどのようにレジリエンスを構築できるかについても解説します。
サイバーセキュリティと業務継続性が融合し、準備が競争優位性となるレジリエンスの未来を紐解いていきます。今後の連載にご注目ください。
本稿は、KPMG英国が発行している「The UK Government publishes its Cyber Security and Resilience Policy Statement」を翻訳し、日本企業向けの見解を追記したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
全文はこちらからご覧いただけます(英語)。
執筆者
KPMGコンサルティング
パートナー 関 憲太
マネジャー 木村 卓哉
シニアコンサルタント 鈴木 貴也
シニアコンサルタント 高坂 啓酬
KPMG LLP(KPMG UK)
Director Janina Herrmann(ジャニナ・ヘルマン)
Director Georgia Hunter(ジョージア・ハンター)
Senior Manager 加藤 菜穂子
KPMGコンサルティング
ビジネストランスフォーメーション(事業変革)、テクノロジートランスフォーメーション、リスク&コンプライアンスの3分野から企業を支援します。戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験から、幅広いコンサルティングサービスを提供しています。
