一般財団法人日本情報経済社会推進協会
セキュリティマネジメント推進室　主任研究員 大熊　三恵子

• 「IT-Report2023 Winter」全文はこちらから

2023年10月24日、英国下院の科学・イノベーション及び技術委員会¹は、英国の重要国家インフラ（Critical National Infrastructure：CNI）のサイバーレジリエンスの調査のため、コメント募集を開始しました。英国は、ITUの“Global Cyber Security Index”で世界第2位（2021年版）²、ハーバードベルファーセンターの“Cyber Power Index”では第4位（2022年）と高いサイバーセキュリティ能力を誇る一方で、米国、ウクライナに次いで世界第3位のサイバー攻撃の標的国であり³、2023年8月には、数千万人分の有権者情報がサイバー攻撃によって漏えいしていた事実が1年以上検出されなかったというインシデントが報道されています。ここでは、今回のコメント募集の対象の一つとなっている『政府サイバーセキュリティ戦略2022-2030』（2022年1月25日発表。以下、本戦略）⁴について概説します。

本戦略の目標は、2025年までに政府の重要な機能をサイバー攻撃に対して大幅に強化し、遅くとも2030年までに、公共部門全体にわたるすべての政府組織が既知の脆弱性（known vulnerabilities）と攻撃手法に対して回復力を持つようにすることです。この目標を達成するために、政府は、①政府機関がサイバーセキュリティリスクを管理するための適切な構造、メカニズム、ツール、サポートを確保すること、②サイバーセキュリティに関するデータ、専門知識、能力を政府全体で共有し、一丸となって防衛すること、の2つを戦略的柱に据えています。

これらの戦略的柱を支えるために、変革案の一つとして盛り込まれたものが、サイバーアセスメントフレームワーク（Cyber Assessment Framework：CAF）の採用です。CAFは、①セキュリティリスクの管理、②サイバー攻撃に対する防御、③サイバーセキュリティ事象の検知、④サイバーセキュリティインシデントの影響の最小化という4つの目的、「ガバナンス」「リスクマネジメント」「資産管理」等を含む14の原則、「リスクマネジメントプロセス」「保証」「資産管理」「アイデンティティ及びアクセス管理」を含む、39の成果による段階的な構成となっています。このCAFの採用によって、政府は英国の重要なサービスを運営する他の組織と整合のとれた比較可能な方法でサイバーレジリエンスを評価することが可能です。CAFは、政府省庁の一貫したサイバーセキュリティ保証を提供するための枠組みとして使用されますが、各省庁は、サイバーセキュリティリスクの管理を最も適切に行うことができると考える枠組みを引き続き使用することができるとしています。特に、CAFと整合がとれているサイバーセキュリティフレームワークとして、米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークやISO/IEC 27001が挙げられています。

• 1　Science, Innovation and Technology committee
• 2　Global Cyber Security Index”で世界第2位（2021年版）別ウインドウで開く
• 3　英国議会 Cyber resilience of the UK's critical national infrastructure - Committees - UK Parliament 別ウインドウで開く
• 4　Government Cyber Security Strategy 2022-2030：Government Cyber Security Strategy: 2022 to 2030 - GOV.UK (www. gov.uk)別ウインドウで開く

ISO/IEC JTC1 SC27 WG5（アイデンティティ管理とプライバシー技術）
国内小委員会　幹事
ISO/IEC 27701 Extension to ISO/IEC 27701 and ISO/IEC 27002 for privacy
information management- Requirements and guidelines
英和対訳版　監修
ISO/IEC 29184 Online privacy notices and consent
英和対訳版　監修
ISO/IEC 29134:2023 Guidelines for privacy impact assessment エディター