英政府が自国をサイバー法の適用対象から除外した決定は信頼を損なう

 (theregister.com)
1 ポイント 投稿者 GN⁺ 2026-01-12 | 1件のコメント | WhatsAppで共有
  • 英国の「Cyber Security and Resilience(CSR)法案」 は、国家の重要インフラとマネージドサービス提供者を規制対象に含める一方で、中央政府および地方政府は除外されている
  • 政府は代わりに 「Government Cyber Action Plan」 を通じて同じセキュリティ基準を自主的に適用すると明らかにしたが、法的義務はない
  • 複数の議員や専門家は、公共部門が主要な攻撃対象であるにもかかわらず法の適用から外れている点を批判し、法的拘束力のない自主基準は信頼不足を招くと指摘
  • 英国会計検査院(NAO) の報告によると、政府システムの セキュリティ欠陥と改善の遅れ は深刻な水準にあり、現行の計画だけでは不十分だという懸念が提起されている
  • 公共部門を除外した決定は、政府のサイバーセキュリティへの本気度に対する疑問を生み、今後の立法上の補完の必要性が高まっている

CSR法案の適用範囲と政府の自己免除

  • CSR法案 は、2018年のNIS規則に代わって英国のサイバーセキュリティ体制を近代化することを目的としている
    • マネージドサービス提供者やデータセンターなどを含むが、中央政府および地方政府は除外されている
    • EUの NIS2指令 と異なり、公的機関を規制範囲から外している
  • サー・オリバー・ダウデン は庶民院で、政府が自らを法の適用対象から除外した点を批判
    • 公共部門に対してより厳しい要件を課すべきだと主張
    • 法的義務があってこそ、閣僚がサイバーセキュリティを優先課題として扱うようになると強調した

政府の対応と「Cyber Action Plan」

  • イアン・マレー閣僚 はダウデンの提案を受け入れると答え、Government Cyber Action Plan に言及
    • この計画はCSR法案と同水準のセキュリティ基準を各政府省庁に適用するものの、法的拘束力はない
    • 批判者はこれを 批判回避のための措置 とみなし、実質的なセキュリティ強化の効果に疑問を呈している
  • Neil Brown(Decoded.legal) は、「政府が法案レベルの基準に従うつもりなら、法の適用を避ける理由はない」と指摘
    • 法案から除外されたことは、信頼を与えられない決定だと評価した

公共部門のセキュリティ実態と批判

  • NCSC の報告によれば、2020年9月から2021年8月の間に対処された攻撃の 40%が公共部門を標的としていた
    • この割合は今後さらに増えると見込まれている
  • 英国会計検査院(NAO) の2025年報告書では、政府の72の重要システムのうち58を点検した結果、多数のセキュリティ欠陥と遅い改善ペースが確認された
    • これは公共部門が依然として 定期的なサイバー攻撃に脆弱 であることを示している
  • こうした状況で政府が公共部門をCSR法案から除外したことは、政策的一貫性の欠如として批判されている

今後の立法の方向性と議論

  • 労働党議員 Matt Western は、CSR法案は完全な解決策ではなく、追加の分野別立法が後に続くだろうと述べた
    • 政府が公共部門専用のサイバーセキュリティ法案を別途整備する可能性にも言及
  • Neil Brown は、「小さく明確な法案を頻繁に制定するアプローチの方が賢明だ」と評価
    • Telecommunications (Security) Act 2021Product Security and Telecommunications Infrastructure Act 2022 のように、分野ごとに分けた立法が効果的であり得ると説明した

信頼と政治的波紋

  • 公的機関、地方議会、NHSなどが攻撃を受けるたびに、政府の 法案除外の決定 は野党の攻撃材料となる
    • 保守党政権時代(2022年)に提案されたセキュリティ改善勧告が 2年以上実施されていない 前例も指摘されている
  • 政府が自己免除を維持する限り、サイバーセキュリティ改善への本気度に対する信頼不足は続く可能性がある
    • CSR法案が国家の安全保障体制の中核として位置付くためには、公共部門を含めるかどうか が今後の重要な争点として残る見通し

関連記事

1件のコメント

 
GN⁺ 2026-01-12
Hacker Newsのコメント

  • この法案をざっと読んだけれど、あまりにシニカルに解釈されているように思う
    要点は、重要な供給者とサービス提供者を指定し、彼らのセキュリティ義務を定めることだ
    中央政府は通常、直接の供給者ではなく、複数の外部供給者を利用する顧客の立場にある
    だから、初期段階で政府が適用対象から外れていたとしても不自然ではないと思う。まず一次供給者を整備し、その後で政府機能全体に対する規制を整えるのが順序だと考える

    • 君の言う理屈なら、政府はわざわざ免除を明記しなくても自然に法の適用対象外になるはずだ
      それなのに今回あえて免除を入れたというのは、もともとは政府も法の適用対象だったという証拠と見なせる
    • 問題は、こうしたアプローチが過去の試みの致命的欠陥の1つだったことだ
      今回が初めての試みなら同意するが、すでに何度も失敗してきたやり方だ
    • 「中央政府は顧客だ」という前提は誤っていると思う
      政府は多くのベンダーと協力しているが、同時に国家サイバーセキュリティ機関やIT支援機関が直接サービス提供者の役割を果たすこともある
      たとえばSOC運用、セキュリティコンサルティング、情報共有など、さまざまな役割を担っているので、政府を除外するのは単なる予算節約のための措置にしか見えない

  • 英国の政府機関が脆弱性開示(Coordinated Vulnerability Disclosure) を段階的に導入すれば、実質的なセキュリティ改善が可能だと思う
    これは、UK CSR法案がカスタマイズされたセキュリティ立法へと発展するための第一歩だという記事の内容とも一致している
    私は医療情報関連のソフトウェアエンジニアリングをしているので、この話題には特に専門的な関心がある
    関連資料はGitHubリンクで見られる

  • 「言うとおりにしろ、我々のやるとおりにはするな」という態度で、変化を設計するエンジニアたちが後ろに引っ込んでいるように見える

  • テキサスなど複数の地域でも、州政府機関が建築基準法を守らなくてよいのと似た状況だ
    私が州のデータセンター建設現場で働いていたときにも、そういう例を見たことがある — 「アスベスト? それ何?」という感じだった

  • こうした免除にはそれなりの理由がある
    たとえば、自分自身に報告書を提出したり、機密情報を開示したりする必要をなくすためだ
    だが正しいアプローチは、基本的な法的フレームワークを作り、詳細な施行令で「XXX機関にはNIS2を以下の例外付きで適用する」といった形で明記することだ
    こうすれば過度な免除を避けられ、各機関が勝手に規則を作るのを防げる
    原子力・軍需産業でもこうしたやり方は一般的だ。最初から広範な免除を宣言するのは誤ったアプローチだ

  • なぜ英国はサイバーセキュリティに関してこんなに権威主義的な態度を取るのか分からない
    「お前たちのためのルールであって、我々のためのものではない」という類いの法律がよく見られる

    • これはCyber Security and Resilience Billについての話だ
      重要資産のセキュリティを強化し、侵害報告義務を強めるのが目的なのに、こうした措置を「権威主義的」と呼ぶのは不思議だ
      どういう点でそう感じるのか気になる
    • 英国のコンピュータ関連法が権威主義的なのは確かだが、他の西側諸国と大きくは変わらない
    • 英国はEUとの相互承認を維持し、貿易を妨げないために、EU規制(NIS2)に似た規定を持つ必要がある
      だが同時に、「EUに従っている」と認めたくはない
      そのため、英国のエンジニアリング企業やコンサルタントが規制文書を作成し、コンプライアンスの独占を維持できるように法律を書き換えている最中だ
    • これはサイバーセキュリティだけの問題ではない。他の分野でも似た態度が見られる

  • 英国人として見ると、政府が「法的義務はないが、Cyber Action Planを通じて同等の基準を維持する」と言うのは、結局のところ「PDFを信じてくれ」と言っているのと同じだ
    もう否認防止(non-repudiation) の時代に早く移るべきだと思う

  • (前のコメントへの返信)
    誰が世界初のコンピュータを作り、誰がワールドワイドウェブを作ったのか、忘れていないかと聞きたい