サイバー攻撃への対策強化へ

英国政府は11月12日、医療や交通、エネルギー、水道など特定のデジタル・重要サービスを対象としたサイバー攻撃への対策強化法案を議会に提出した。同法案には次の内容が盛り込まれている。

• 重大（または潜在的に重大）なサイバー攻撃の発生時に、ITサービス供給業者による政府や顧客への迅速な報告と対処計画の策定を義務付け
• 重要サービス供給業者の指定に関する規制当局への新たな権限付与
• 重大な違反があった場合、企業の売上高に基づく罰則を強化
• 重要サービスの保護・確保を目的とし、科学・イノベーション・技術（DSIT）相に対して、規制当局やその監視下にある組織に指示を行う権限を付与

英国では2025年、小売り大手のマークス＆スペンサー（M＆S）や、自動車製造大手ジャガー・ランドローバー（JLR、2025年9月29日記事参照）など、大手企業を標的としたサイバー攻撃が相次いだ。これを受け、DSIT相ら政府閣僚は10月14日、ビジネスリーダーやロンドン証券取引所（LSE）の「FTSE350」（注1）構成企業宛てに書簡を送付し、主要組織を狙う脅威の拡大に対処するため、サイバー防衛体制の強化を促した。

政府機関の国家サイバーセキュリティセンター（NCSC）が同日公表した年次報告書によると、2025年8月末までの1年間に、1,727件のサイバー攻撃被害が確認された。うちNCSCによる支援が必要だった被害は429件で前年度と同水準だったが、重大なインシデントに分類された案件（注2）が48％（204件）を占め、前年度（89件）から大幅に増加した。さらに4％（18件）はきわめて重大なインシデントとされ、同件数は3年連続で増加した。

また、英国保険会社協会は11月10日、同協会所属企業全体での2024年のサイバー攻撃に関する保険金支払い額が2023年の3.3倍に増大し、1億9,700万ポンド（約408億円、1ポンド＝約207円）に達したと発表した。そのうちランサムウェア（身代金要求型不正プログラム）などのマルウェア（悪意のあるソフトウェア）による被害が51％を占めた。

（注1）ロンドン証券取引所（LSE）の株式指標。LSEに上場する企業のうち、時価総額上位350社で構成している。

（注2）英国政府による重大なインシデントの分類基準は次のとおり。

• カテゴリー1（国家サイバー緊急事態）：重要サービスに持続的な混乱を引き起こす、または国家安全保障に影響を与え、深刻な経済的・社会的影響、または人命の損失をもたらすサイバー攻撃。
• カテゴリー2（極めて重大なインシデント）：中央政府、重要サービス、人口の大部分、または経済に深刻な影響を与えるサイバー攻撃。
• カテゴリー3（重大なインシデント）：大規模組織、または地方自治体に深刻な影響を与える、あるいは中央政府、または重要サービスに重大なリスクをもたらすサイバー攻撃。

（野崎麻由美）