インターネットの声

英国政府のサイバー耐性誓約、M&SやCapita含む60社が署名

英国政府が発表した新たなサイバー耐性誓約に、M&SやCapitaを含む60組織が署名。過去の被害企業の参加状況や不在企業を分析する。

6分で読める SINGULISM 編集チームが確認・編集

英国政府のサイバー耐性誓約、M&SやCapita含む60社が署名
Photo by Francesco Zivoli on Unsplash

英国政府は2026年7月7日、新たな「Cyber Resilience Pledge(サイバー耐性誓約)」を発表した。The Registerの報道によれば、すでに60の企業・組織が署名しており、その中には昨年大規模なサイバーインシデントに見舞われたMarks & Spencer(M&S)や、過去に複数の情報漏洩で罰金を科されたアウトソーシング大手Capitaが含まれている。

本誓約は技術大臣リズ・ケンダル氏が立ち上げた自主的な取り組みである。署名企業は、サイバーセキュリティを取締役会レベルの責務として扱うこと、英国サイバーセキュリティセンター(NCSC)が提供する早期警戒サービスに加入すること、サプライヤーに対してCyber Essentials認証または同等のベースラインを取得するよう促すこと、の3点を約束する。

ケンダル氏は声明で、「今や英国最大手の一部の企業が、サイバー防御を強化するための行動を起こし、他社が従うべき力強い模範を示している」と述べた。同氏はサイバー攻撃がサービスを混乱させ、顧客データを露出させ、収益を損なう可能性があると警告した。さらにAIの進化により攻撃が「より洗練され、実行しやすくなっている」と指摘した。

M&Sの参加は自然な流れと言える。同社は2025年に英国で最も注目されたサイバーインシデントのひとつの被害に遭っており、加盟しない方がむしろ疑問視されただろう。一方、同様に被害に遭った企業の中には署名を見送ったケースもある。Co-opやHarrods、さらにJaguar Land Rover(JLR)は誓約リストに名を連ねていない。JLRはサイバー攻撃から数週間にわたって復旧に苦しみ、その後政府から15億ポンドの支援を受けてサプライチェーンへの影響を緩和した経緯がある。誓約は完全に任意であるため、これらの不在が直ちにセキュリティ態勢の低さを意味するわけではない。しかし政府が本取り組みを「良いサイバー市民」の証として提示する以上、なぜそのバッジを着用しなかったのかと問うのは当然だ。

Capitaの参加はより皮肉な文脈を帯びている。同社は過去数年間にわたり、The Registerが「セキュリティ事故の印象的なアーカイブ」と表現するほどの問題を積み重ねてきた。2025年には情報コミッショナー局(ICO)から、2023年のランサムウェア攻撃により600万件以上の記録が漏洩したとして罰金を科された。さらに2026年初頭には、年金ポータルが公務員の個人情報を露出させたことを開示している。Capitaが「継続的改善」を信じているのか、政府のサイバー耐性の定義が驚くほど寛大であるのか、いずれかに過ぎない。

誓約が自主的である以上、署名企業のリストは公的なコミットメントの表明に過ぎない。しかしサイバーセキュリティが取締役会の議題となるべきだという政府のメッセージは明確だ。NCSCの早期警戒サービスへの加入は、組織が脅威情報を迅速に入手し、攻撃の初期段階で対応するための実践的な手段となる。またサプライヤーへのCyber Essentials要求は、サプライチェーン全体のセキュリティ底上げを狙ったものだ。

ケンダル大臣は「サイバー耐性はもはや単なるITの問題ではなく、ビジネスの必須事項である」と強調した。AIの普及により攻撃の高度化が進む中、政府として企業の自発的な対策を促す枠組みとして本誓約を位置づけている。

編集部の見解

短期的には、本誓約が企業のサイバーセキュリティに対する取締役会の関与を可視化する効果は期待できる。60もの組織が署名したことで、プレスリリース以上の物的な「コミットメントの証」として市場に受け取られる可能性がある。ただしCapitaのような過去に問題を抱える企業の参加は、誓約の信頼性に疑問を投げかける。政府が署名企業をどの程度スクリーニングしたのか、あるいは「改善意欲」を重視したのかは定かではない。今後数ヶ月で、署名企業が実際にNCSC早期警戒サービスを導入し、サプライヤーへのCyber Essentials要求を徹底するかどうかが問われる。 長期的視点では、自主的な誓約が法的規制への布石となる可能性がある。英国政府は既にCyber Security and Resilience Billを議会に提出している。自主的な枠組みで十分な参加が得られなければ、義務化への圧力が強まるだろう。また本誓約がサプライチェーン全体への波及効果を持つかどうかは注視すべき点だ。大手企業がサプライヤーにCyber Essentialsを要求すれば、中小企業のセキュリティ向上につながる。

参考

よくある質問

Cyber Resilience Pledgeとは何か
英国政府が2026年7月に発表した自主的なサイバーセキュリティ誓約。署名企業はサイバーセキュリティを取締役会の責務とし、NCSC早期警戒サービスに加入し、サプライヤーにCyber Essentials取得を促すことを約束する。
なぜCapitaの署名が問題視されるのか
Capitaは2023年のランサムウェア攻撃で600万件超の記録漏洩、2026年には年金ポータルでの情報露出と、過去に複数の重大なセキュリティインシデントを起こしICOから罰金を科されている。政府がそのような企業の署名を認めたことで、誓約の信頼性に疑問が生じている。
署名していない大手企業はあるか
Co-op、Harrods、Jaguar Land Rover(JLR)などが署名リストに含まれていない。JLRはサイバー攻撃から復旧に苦しみ政府支援を受けたが、誓約には参加しなかった。任意の取り組みであるため、不在が直ちにセキュリティ態勢の低さを意味するわけではない。
出典: The Register

コメント

← トップへ戻る