デジタル・文化・メディア・スポーツ省(DCMS)がサイバー評価フレームワークの遵守を義務化する計画を浮上させたことを受けて、英国政府によるMSPのセキュリティ対策の取り締まりがますます近づいている。
ジュリア・ロペスデジタル大臣は声明で、「我々は企業のサイバーセキュリティ強化を支援するという使命を果たすため、次のステップを踏み出す。また、英国全土の企業に対し、企業のデジタルフットプリントを安全にし、機密データを守るため、国立サイバーセキュリティセンターの助言と指導に従うよう奨励する」と述べた。
マネージドサービスプロバイダー(MSP)とクラウド企業に対するNCSC認定の何らかの認証取得は、中期的には義務化される可能性が高いようです。これは、MSPのみを規制することについての意見を求める政府の夏季協議を受けてのものです。
しかし、規制の砂利が変わりつつある兆候として、政府は今週の公式回答で「将来の政策は、マネージドサービスのみに焦点を当てるのではなく、より幅広いデジタル技術プロバイダーを考慮すべきだ」と述べた。
UK.gov の見解では、セキュリティ強化とは、MSP やその他のクラウド サービス プロバイダーが NCSC が支援するサイバー評価フレームワーク (CAF)「またはそれに基づくフレームワーク」に準拠する必要があることを意味しているようだ、と政府主催の調査に対する業界からのフィードバックで述べられている。
- 英国はサイバーセキュリティを非常に重視しており、マネージドサービスプロバイダーの情報セキュリティの実践を法律で規制する予定です。
- ロシアを拠点とする犯罪者は依然として英国の最大のサイバー敵であり、NSOグループの製品は「危険信号」だとNCSC長官は述べている。
- システム管理者: インストールするすべてのプログラムにバックドアがないことを確認し、サイバードラマを回避してみてはいかがでしょうか?
- 英国の給与計算会社ジャイアント・ペイは、「高度な」サイバー攻撃を受けたことを認めた。
フィードバックは次のように続いています。「多くの意見書において、政府が英国のデジタルセクター全体に追加の要件を課す意図について懸念が表明されました。クラウドやマネージドサービスを含むデジタル技術ソリューションを提供する様々なプロバイダー間の定義を策定し、明確な境界を設定することは、政府にとって依然として困難な課題です。」
しかし業界はDCMSに対し、CAFが規定する以上の「規範的な要件」、つまり「監査を伴う正式な認証」や「事故を報告する義務」を求めていると伝えられている。
これらが DCMS に伝えられた内容を正確に反映しているのであれば、DCMS がどのようなセキュリティ フレームワークを選択してもコンプライアンス監視を求めるこれらの要求を採用すれば、Cyber Essentials Plus が英国企業の MSP/クラウド セキュリティのベースライン標準になる可能性が示唆されます。
Cyber Essentials (プラスなし) は、本質的には自己評価チェックリストですが、すでに政府サプライヤーの基本的なセキュリティ標準となっています。
一方、既存の英国のセキュリティアンケートのアドバイスは実際には活用されていない。
英国のクラウドサービス購入者の半数がサプライヤーセキュリティアンケートを使用していないことを示すグラフ
MSP サービスの購入者に関しては、大手テクノロジー企業については興味深い注意点があるものの、全員が規制強化に賛成している (少なくとも DCMS の規制当局者らはそう述べている)。
サプライチェーンのセキュリティに対する政府の関心は、米国におけるKaseyaのような大規模なMSP攻撃によってさらに高まりました。このMSPは、VSAエンドポイントとネットワーク管理ツールを標的とした攻撃者によって侵害され、顧客のほとんどが瞬時に可視化されました。最近の同様の攻撃では、米国のネットワーク管理会社SolarWindsなどの企業がロシアの諜報機関の標的となったほか、多数の小規模な攻撃も発生しました。
しかし、2019 年の比較的軽微な(しかし警告的な)ランサムウェア復旧事例が示すように、英国のすべての MSP が期待されるほど優れたセキュリティ対策に熱心に取り組んでいるわけではありません。®
