英国政府高官らは、政府が本気で攻撃を阻止したいのであれば、今後ホワイトホールで採用されるサイバー担当職員には首相より高い給与を支払う必要があると理解している。
募集中。低賃金でも英国を守れるトップの情報セキュリティ専門家
続きを読む
英国公務員の最高執行責任者(COO)キャット・リトル氏は月曜日、英国の会計検査院委員会(PAC)に対し、政府はサイバーセキュリティ分野の優秀な人材を引きつけるには報酬が低すぎることを認識していると語った。これは今年初めに英国会計検査院(NAO)が発表した報告書で指摘された主要な問題の一つだ。
この報告書は、政府が2022年に設定した、2025年までに一般的なサイバー攻撃に対して「相当な」サイバー耐性を持つという目標の達成に向けた進展が見られないことについて痛烈に批判した。その進展の一部は、民間部門に比べてはるかに低い給与を提示する政府の採用方針によって阻害されている。
彼らにこれほどの高額の報酬を支払うことに反対するPACのコメントに対し、リトル氏は次のように述べた。「最高の人材を引きつけるためにはそうする必要があると断言できます。これらの人々にはもっと報酬を支払わなければなりません。」
「非常に厳しい市場において、競争力のあるスキルは非常に希少であり、我々の野望を実現するには、それを実現するためのリーダーシップと技術的専門知識が不可欠です。」
英国では、たとえどれほど上級の役職であっても、公務員が首相よりも高い給与を受け取ることは、歴史的に容認されないこととされてきました。2024年9月、スー・グレイ前首相首席補佐官の年収が17万ポンド(当時のキア・スターマー首相より3,000ポンド多い)だったことが明らかになり、労働党内で激しい論争が巻き起こりました。グレイ氏は解任の憶測が飛び交う中、まもなく辞任しました。
しかし、請負業者に費やしている資金を、主要な政府部門の少数の適切な地位にある常勤の CIO や CISO に費やした方がよいことにホワイトホールが徐々に気付くにつれ、この姿勢はすぐに変わると思われる。
リトル氏は、最大限の効果を上げるため、数名の上級サイバーセキュリティ担当者を雇用し、政府全体に戦略的に配置する可能性について言及した。
彼女はまた、高度なスキルを持つサイバー専門家が実際には公務員になっても、例えば同様の役職の報道官と同じ給料をもらえるわけではないことに気づいた後に近年導入された、デジタルに特化した給与体系についても強調した。
議論に参加したPACメンバーで国会議員のレイチェル・ギルモア氏は、個人に支払われる金額ではなく、高度なスキルを持つサイバー専門家を雇用することで節約できる潜在的なコストに焦点を当てるべきだと述べた。
ギルモア氏は、2023年に大英図書館が受けたランサムウェア攻撃と、数百万ドルに上るとされる復旧費用によって準備金が大幅に枯渇した事例を指摘した。これは、英国が高額な請負業者への支出を減らし、優秀な防衛人材への投資を増やすことで、中央政府が同様の高額な攻撃を受けるリスクを軽減できるということを示唆している。
チェック・ポイント・ソフトウェアの公共部門責任者、グレアム・スチュワート氏は、The Register紙に対し、公共部門の給与問題とそれに伴うスキル格差は永続的な問題であり、さまざまな課題と経済的非効率性をもたらしていると語った。
彼はこう述べた。「ロンドンを例に挙げましょう。サイバーセキュリティ人材の需要は高く、スキル不足は深刻です。この点については以前にも指摘しましたが、公共機関は職員の研修への投資に消極的になりがちです。なぜなら、一度研修を受ければ、地下鉄に乗って数駅移動するだけで、銀行や民間企業に倍の給料で就職できるからです。」
このような人員の流動性は深刻な問題です。そのため、多くの公共機関は人材不足を補うために請負業者に大きく依存しています。しかし、それには独自の問題が伴います。請負業者は日当がかなり高額になることが多く、頻繁な人員の入れ替わりは継続性の欠如を意味します。
人材の入れ替わりが激しく、知識は失われ、一貫性が損なわれます。根本的な問題は公共部門の給与低下ですが、その連鎖的な影響として高額な請負業者への依存度が高まり、最終的には長期的には公共部門のコストが増大します。給与が市場の動向に追いついていないため、この苛立たしい悪循環が続き、サイバーセキュリティの長期的なレジリエンスが損なわれています。
遺産の海
1月のNAO報告書では、レガシーシステムとそれが公共部門のサイバーレジリエンスをいかに弱体化させるかが主要なテーマでした。報告書では、最近の監査で数百ものシステムがレガシーシステムに分類されていることが明らかになったことを強調していますが、実際にはその数ははるかに多いと考えられていました。
政府の暫定最高デジタル責任者であるジョアンナ・ダビンソン氏は、報告書の発表後に更新された最新の数値によると、レガシーシステムの数はNAO報告書で指摘された228個よりも100個近く多い(319個)と述べている。これは政府のIT資産全体の約28%に相当する。
これらのうち約4分の1は、GovAssureの評価基準でもレッド評価を受けました。2023年4月に導入されたGovAssureは、政府機関の重要システムのサイバーセキュリティ体制を把握するための自己評価ツールです。
ダビンソン氏は、IT成熟度とレガシー技術へのエクスポージャーは部署間で大きな差があると付け加えた。部署によっては、資産の10%がレガシーシステムであると回答した部署もあれば、60%がレガシーシステムへのエクスポージャーであると回答した部署もあった。15%の部署は、政府セキュリティグループ(GSG)にレガシーシステムの内容を伝えることすらできなかった。つまり、ITが十分に成熟しておらず、エクスポージャーを把握できていなかったのだ。
PAC メンバーは、政府全体にわたってレガシーシステムとして適格かどうかがまだ評価されていないレガシーシステムの総数に関する質問に対して、明確な回答が得られなかったことに苛立っているようだった。
ダビンソン氏は、この種のデータは各省庁内で一元的に集計されることは少ないと説明した。リトル氏は、ここで問題となっている多くの問題は、DVLAのような行政機関、環境庁のような省庁外の公的機関、そしてHMRCやOfgemのような省庁外の省庁といった、独立した機関に関係していると付け加えた。中央政府機関は物事をはるかによく理解している傾向があると、彼女は付け加えた。
問題の一部はGovAssureシステム自体にも起因しています。GovAssureは自己評価ツールであるため、データはGSGによってレビューされますが、このフレームワークを使用して提供されるデータは、各部署がレガシーテクノロジーへのエクスポージャーを把握できるかどうかに依存しており、その把握能力は一様ではありません。
これに、政府自身もリトル氏も認めているように良くない政府の情報共有のアプローチを組み合わせると、独立した機関が省庁の階層を2、3段階上げてデータを共有しなければならないことになり、それが必ずしも効果的に行われているわけではないことになる。
こうした状況は、政府全体のレガシーテクノロジーの現状に関する不完全な全体像を招いている。労働党議員で政治活動委員会(PAC)委員のルーク・チャーターズ氏は、「独立機関全体におけるレガシーシステムの現状を把握できていないように見えるのは本当に残念だ」と述べた。リトル氏もこの意見を認め、公聴会の冒頭で同様の見解を示した。
チャーターズ氏はさらに、多くの独立機関が英国の国家安全保障全体にとって重要でないわけではないと指摘した。前述の機関に加え、国家犯罪庁(NCA)、検察庁(Crown Prosecution Service)、原子力廃止措置庁(Nuclear Decommissioning Authority)なども同様に分類されている。ただし、これらの機関はレガシー技術に関わっていることが知られているため特に取り上げられたわけではなく、重要な独立機関(ALB)の例として挙げられているに過ぎないことを付け加えておく。
- 英国軍、デジタル最前線防衛のためサイバー戦士を急ピッチで育成
- 支出監視機関、英国政府のIT防御強化の怠慢な進捗を非難
- 「ベイン」と改名した北朝鮮の開発者、IT労働者の詐欺容疑で告発される
- 北朝鮮の工作員が給与体系に慣れる前に見抜く方法
チャーターズ氏から、このデータの徴発システムの改善に関する質問を受けたダビンソン氏は、GSGは既に多くの組織と連携しているものの、すべてのALBと連携しているわけではないと答えた。これまでのところ、IT資産が最も大規模な組織が優先されてきたとダビンソン氏は述べ、リトル氏は、なぜより深い理解がまだ得られていないのかを説明した。
彼女はこう述べた。「明確にしておきたいのは、私たちがすべての独立した機関と協力したことがないわけではないということです。ただ、サプライチェーンの仕組みが複雑で、責任の階層が複数あるため、システムの深い理解に到達するのが難しくなっているのです。私はただ課題について説明していただけです。私たちは確かに多くの公的機関と協力してきました。」®
