英国政府は近年、サイバー攻撃を国家安全保障上の最も重大な脅威の一つとして明確に位置づけています。背景には、政府機関やエネルギー、通信、医療などの重要インフラを標的とした攻撃が増加し、その影響が社会全体に波及しやすくなっている現状があります。特に英国の国家サイバーセキュリティセンター(NCSC)が報告した最新のデータによれば、2024年から2025年にかけての1年間で、「国家的に重大」と分類されるサイバー攻撃が毎週平均4件発生し、年間では204件に達したとされています。これらの攻撃は、経済活動の停滞やサービスの停止を招き、国民生活や企業活動に深刻な影響を及ぼしています。このような状況の下で、英国政府はサイバー攻撃への対策を国家戦略の最重要課題として取り扱い、危機意識の共有と対策強化を進めている状況です。
英国が直面する脅威の実態
英国においては、国家安全保障に関わるレベルのサイバー攻撃が継続的に発生しており、その深刻度は年々増しています。英国国家サイバーセキュリティセンター(NCSC)が取り扱った「重大または高度に重大」と分類されるインシデントは、直近1年間で204件に上ったと報告されています。特に「国家的に重大」とされる攻撃は毎週約4件発生しており、英国政府はこれを記録的な増加と評価しています。
攻撃対象は政府機関に留まらず、エネルギー、通信、医療、小売など、社会基盤を構成する重要インフラ全般に及んでいます。また、攻撃主体には営利目的のサイバー犯罪組織だけではなく、国家支援型の攻撃者が関与しているとの指摘もあります。
経済面への影響も無視できません。英国政府が公開した研究では、サイバー攻撃による企業1社あたりの平均損失は約19万5千ポンドに達し、英国全体では年間約147億ポンドもの経済損失が発生していると推計されています。さらに、これらの損害にはブランド価値の毀損や顧客離脱といった長期的影響が含まれないため、実際にはさらに大きな負のインパクトが存在すると考えられます。
攻撃手法も高度化しており、ランサムウェア、サプライチェーン攻撃、DDoS、そして社会工学的手法による侵害が依然として主要な脅威となっています。特に人間の不注意や判断ミスを狙う攻撃は成功率が高く、人的要因が大きな脆弱性となっている点が、英国に限らず国際的にも共通の課題となっています。
このように、英国が直面するサイバー脅威は、その頻度・影響範囲ともに深刻化しており、国家レベルでの対策強化が急務となっています。
英国政府の対応
英国政府は、深刻化するサイバー脅威に対応するため、法制度の強化と組織体制の整備を進めています。その中心的な取り組みとして位置付けられているのが、「Cyber Security and Resilience (Network and Information Systems) Bill」による規制強化です。この法案では、重要インフラ事業者およびデジタルサービス提供者に対し、最低限のサイバーセキュリティ基準を満たすことを義務づけ、重大インシデントが発生した場合には速やかな報告を求める仕組みが盛り込まれています。また、これらの基準に違反した場合には罰則を科すことも可能となり、従来よりも強制力のある規制体系が構築されつつあります。
さらに、英国政府はサプライチェーンリスクの顕在化を受け、事業者が使用する外部製品や委託先のセキュリティ水準を含めて管理することを求めています。特に、社会全体に影響を及ぼし得る重要サービスに対しては、継続的な監査を行い、脆弱性の早期発見と改善が実施される体制を義務化する方向で政策を進めています。
これらの施策は、インシデント発生後の対応に依存するのではなく、事前にリスクを抑制する「予防重視」のアプローチを制度として定着させることを目的としています。英国政府は、過去の被害例から学んだうえで、企業任せにせず国が主体的に関与することで、国家全体のサイバー防御力を底上げする姿勢を明確にしています。この取り組みは、国際的なサイバー安全保障戦略の中でも重要な一歩と位置付けられています。
他国との比較と日本への示唆
他国の動向を見ると、サイバーセキュリティを国家安全保障政策の中核に位置づける潮流は明確です。欧州連合(EU)では、NIS2指令を通じて重要インフラおよび広範な産業分野に対し、最低限のセキュリティ基準の義務化と、重大インシデントの報告を求める枠組みが既に導入されています。また、米国においては、政府機関を対象にゼロトラストアーキテクチャを段階的に義務化する方針が進行しており、政策レベルでの強制力を伴った防御力強化が図られています。
これらの動きと比較すると、英国の取り組みは国際的な安全保障強化の流れと整合的であり、むしろ積極的に対応を進めている側に位置づけられます。英国は、重要インフラへの攻撃が現実的な脅威となっていることを踏まえ、法制度を通じて企業の対策水準を底上げする政策を明確にしています。これは、経済損失の抑制だけでなく、社会全体の安定性を確保することを目的とした取り組みといえます。
一方、日本においては、依然として企業の自主的取り組みに依存する側面が大きく、法的拘束力のある最低基準の強制や罰則制度は十分に整備されているとは言い難い状況です。社会インフラのIT化が進む中で、国際基準とのギャップが生じることは、日本の経済安全保障や国際競争力にも影響を与えかねません。英国の例が示すように、国家全体で防御力を強化するためには、政府が主体的にリスク管理の枠組みを整備し、事業者の対策を制度的に支援・監督することが重要であると考えられます。
この点において、英国の取り組みは、日本が今後強化すべき政策の方向性を示す参考例となり得ます。
おわりに
サイバー攻撃が国家安全保障に直結する時代において、セキュリティ対策を企業の自主性だけに任せることには限界があると考えています。特に、セキュリティ基準を満たしていないシステムが自由にリリースされ、個人情報を扱う業務が容易に運用されている現状は、重大なリスクを内包しています。最低限のセキュリティ要件を満たさないサービスについては、国が強制力を持って市場投入を制限する制度が必要です。
また、組織内の訓練軽視や人的要因への対策不足は、攻撃者にとって最も侵入しやすい経路を残すことにつながります。社員一人ひとりの行動と判断が組織の防御力に直結する以上、継続的な教育と訓練を実効的に機能させる文化を確立することが欠かせません。
さらに、セキュリティ担当者が過度な責任と負荷を抱える一方、十分な評価や支援を得られない状況は改善すべき課題です。安全を守る人材が疲弊してしまえば、組織の防御力は確実に低下します。
サイバーセキュリティは、もはや個々の企業の努力だけで維持できるものではなく、国全体として水準を引き上げる必要があります。英国が示しているような政策的アプローチは、日本にとっても重要な指針となると考えます。攻撃者が優位な構造を変えるためには、制度・文化・技術のすべてにおいて、これまで以上の改革が求められているといえるでしょう。
参考文献
- Independent research on the economic impact of cyber attacks on the UK
https://www.gov.uk/government/publications/independent-research-on-the-economic-impact-of-cyber-attacks-on-the-uk - Tough new laws to strengthen the UK’s defences against cyber attacks on NHS, transport and energy
https://www.gov.uk/government/news/tough-new-laws-to-strengthen-the-uks-defences-against-cyber-attacks-on-nhs-transport-and-energy - Cyberattacks ‘costing the UK economy £14.7 billion’ a year
https://www.holyrood.com/news/view%2Ccyberattacks-costing-the-uk-economy-147-billion-a-year - UK government warns cyber attacks are top national security threat affecting critical infrastructure
https://industrialcyber.co/reports/uk-government-warns-cyber-attacks-are-top-national-security-threat-affecting-critical-infrastructure/
