KNOWLEDGE - COLUMN ナレッジ - コラム

NCSC ~サイバーセキュリティにおける国家組織の国民への奉仕~

コラムイメージ

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

フェロー 関原 弘樹   顔写真2_1187x1313

オルガンによるバッハの幻想曲が鳴り響く中、イギリス女王エリザベス2世の葬儀も無事終了ました。
 
70年前の即位の際には君主として「生涯を通じた国民への奉仕」を誓った女王。
ダイアナ妃への対応では多くの人からバッシングを浴びたものの、その後は映像系メディアを最大限に活用し、開かれた王室というイメージ戦略を成功させています。
今回の崩御に際しては仇敵であるアルゼンチン政府ですら弔意を表明しており、特に晩年は世界中から敬愛される存在だったと言っていいでしょう。
イメージ
スパイ映画007でおなじみの英国情報局秘密情報部MI6も女王の崩御に際し、長い間インテリジェンスレポートを提供することができて光栄だったという内容のメッセージをサイトにあげています。
 
“Each of us were honoured to oversee the provision of intelligence to our longest running reader of our intelligence reports.”
 
SIS MOURNS THE DEATH OF HER MAJESTY QUEEN ELIZABETH II

SIS 
https://www.sis.gov.uk/(外部リンク)

WWIIでは実際に軍人として後方の現場で同僚と一緒に作業に当たったという逸話も残されている女王ですが「君臨すれども統治せず」という言葉もある中で、女王がそのレポートをどこまで読み込んで活用していたかは興味があるところですね。

イギリスの国家サイバーセキュリティセンター(NCSC)

さて、イギリスに関してコラムのテーマでもあるサイバーセキュリティの視点で見てみると国家サイバーセキュリティセンター(NCSC)という組織に気付きます。
 
国家サイバーセキュリティセンター(NCSC(外部リンク)
National Cyber Security Centre 
https://www.ncsc.gov.uk/(外部サイト)
タイトルの
The National Cyber Security Centre
の下には
Helping to make the UK the safest place to live and work online.
とあり、イギリスとオンラインのコンテクストで仕事をしたり生活をしたりする人々をサイバー脅威から安全に保護することを目的にした組織、と理解することができます。
 
情報の集約も手段として重要なので以下のサイトに記載のあるようにサイバーセキュリティに関する情報の一元窓口/Single point of contact (SPOC)の機能やインシデントレスポンスための組織機能/ Computer Security Incident Response Team (CSIRT)も与えられているようです。
 
The role of the National Cyber Security Centre (NCSC) (外部リンク)
 
日本語でも以下の様に外務省サイトで設立の経緯をふくめた過去のニュースを見ることができます。
組織自体は再編によって新たに定義されたもので、歴史のあるものではないというところが「時代への迅速な対応」という意味でポイントかもしれません。
 
--- 外務省Webサイトより
国家サイバーセキュリティセンター(NCSC)は,複数の省庁にまたがっていたサイバーセキュリティに係る各種機能を統合して2016年10月に新設された組織。サイバー空間における脅威評価を横断的に実施し,官民におけるサイバー空間上の脅威情報共有を推進している。
 
外務省HP:安倍総理大臣による英国国家サイバーセキュリティセンター(NCSC)視察
平成29年4月28日
https://www.mofa.go.jp/mofaj/erp/we/gb/page4_002979.html(外部リンク)
 ---

ちなみにこれらを日本でいうとIPA 独立行政法人情報処理推進機構の「情報セキュリティ」セクションとJPCERT/CCを合わせた組織のイメージでしょうか。
 
https://www.ipa.go.jp/security/index.html (外部リンク)

NCSCが保護したいターゲットとそのプライオリティ

“イギリスに関連する””オンライン”というキーワードを持つNCSCですが特に重要なターゲットは以下のタブの並びが示すように個人と中小の組織のように感じられます。
 
Individuals & families
 ⇒個人と家族
Self employed & sole traders
 ⇒自営業者&個人トレーダー
Small & medium sized organisations
 ⇒中小規模の組織
Large organisations
 ⇒大規模な組織
Public sector
 ⇒公共部門
Cyber security professionals
⇒サイバーセキュリティの専門家
National Cyber Security Centre 
https://www.ncsc.gov.uk/ (外部リンク)
これはよく知られるように脆弱な部分、例えば、対策のための予算やヒューマンリソースの無いIT利用者などにフォーカスした底上げ、それこそが複雑に関連し合うサプライチェーン全体のケイパビリティアップに効果があるという考え方がよく反映されたものに感じます。
 
--
と書いておいてなんですが“ABOUT NCSC”のページを見るとそうではないのかもしれません……
 
We support the most critical organisations in the UK, the wider public sector, industry, SMEs as well as the general public. When incidents do occur, we provide effective incident response to minimise harm to the UK, help with recovery, and learn lessons for the future.
 
私たちは、英国の最も重要な組織、幅広い公共部門、産業界、中小企業、そして一般市民を支援しています。インシデントが発生した場合、英国への被害を最小限に抑え、復旧を支援し、将来のための教訓を得るために、効果的なインシデント対応を提供します。
 
More specifically, the NCSC:
 
understands cyber security, and distils this knowledge into practical guidance that we make available to all
サイバーセキュリティを理解し、その知識を実用的なガイダンスにまとめ、すべての人が利用できるようにする。
 
responds to cyber security incidents to reduce the harm they cause to organisations and the wider UK
サイバーセキュリティインシデントに対応し、組織や英国全体に与える損害を軽減する。
 
uses industry and academic expertise to nurture the UK's cyber security capability
産業界と学術界の専門知識を活用し、英国のサイバーセキュリティ能力を育成する。
 
reduces risks to the UK by securing public and private sector networks
公共および民間セクターのネットワークを保護することにより、英国へのリスクを低減する。

NCSCサイトのコンテンツ

順番が多少前後しますが「Home」横に並ぶサイトの最上位レベルのコンテンツ分類を示すタブは以下の様になっています。
 
Information for...
 ⇒あなたにぴったりの情報を見つけるのに役立つクイックスタートガイド
Advice & guidance
 ⇒私たちのアドバイスとガイダンスは、幅広いトピックをカバーしています
Education & skills
 ⇒産官学と連携し、次世代の研究者、学生、サイバーセキュリティ専門家を支援
Products & services
 ⇒NCSCおよび認定された第三者サプライヤーから幅広い製品とサービスを見つける
News, blogs, events...
 ⇒何が起こっているかを追跡するのに役立つすべての最新情報
National Cyber Security Centre
https://www.ncsc.gov.uk/(外部リンク)
各タブの直訳を列記してみましたが“Information for.../Advice & guidance/Education & skills”そして”News, blogs, events...”あたりはIPAのサイトと照らし合わせてみても何が得られるのか容易に想像がつきますが、しかし
 
Products & services
 ⇒NCSCおよび認定された第三者サプライヤーから幅広い製品とサービスを見つける
 
については国家組織のWebサイトが提供するコンテンツとしてはちょっと異質な感じもします。
例えばU.S.ですと専門家が集まった民間団体が中心となって提供される機能というイメージもあります。

NCSCのProducts & services

ちょっとタブの中を確認してみましょう。
NCSCのProducts & services
https://www.ncsc.gov.uk/ (外部リンク)
タイトルの下には
“Products and services that will help to protect your organisation and reassure your customers that you take cyber security seriously can be found here.”
 
サイバーセキュリティに役立つ製品とサービスをここで見つけることができると記載があります。
そしてこのレベルのタブには以下のようなコンテンツが展開されています。
 
All products & services
⇒Find certified products & services that will help you protect and guard against cyber attack.
サイバー攻撃からの保護と防御に役立つ認定製品とサービスを検索できる
 
Verify suppliers
⇒Industry and educational establishments work with the NCSC to deliver products, services, education and research to meet the security needs of a wide range of organisations.
組織が持つセキュリティニーズを満たす製品、サービス、教育、および研究についてサプライヤーをキーに検索できる
 
NCSC certification
The NCSC, working with partners, offer certification that covers a range of products, services and organisations.
NCSCがパートナーと協力して提供する認証について知ることができる
 
Evaluation partners
⇒Evaluation partners are the test laboratories and companies we have approved to carry out various evaluations and assessments on our behalf.
NCSCが各種評価・査定を代行することを認めた評価パートナーについて知ることができる
 
Cyber Essentials
⇒Reassure your customers that you're working to secure your IT against cyber attack, ideal if you work with government.
サイバー攻撃から組織を保護するための政府の支援スキームについて知ることができる
 
 
こうしてみてみるとイギリスのサイバーセキュリティ政策では公的機関本体から意外と手厚いサポートが提供されている印象を受けますね。
 
もちろん現代のサイバーセキュリティの世界では
「近所が燃えちまったらこっちも無事じゃあいられない!」
という江戸の大火にも似たサプライチェーン経由の延焼による被害拡大は最も警戒すべき要素の一つです。
 
このサポートこそが国家のITインフラを保護する最も効果的、効率的(=経済的)な方法として共通の認識になっているのでしょう。
イメージ

Verify suppliersとその内訳

参考までにProducts & ServicesからVerify suppliersを開いてみると203の assured product/servicesがあると確認できます。
Verify suppliers
さらにその内訳を確認してみると以下の様に製品というよりはサービスのほうが充実している模様で、それ故に(?)にオランダ拠点のAirbus系を除くとほぼほぼUK企業(少なくとも現地法人がありPoCが国内)で占められているようです。
カテゴリと解説
個人的に驚いたことはサイバーセキュリティといいつつフィジカル攻撃中心のTempest(Pentest/侵入テストではなく電磁波セキュリティ/盗聴)のカテゴリに17の企業が登録されておりCertified trainingのカテゴリの2企業もそのコースの中心にTempest対策のコースを挙げていることです。

これはイギリスが(盗聴を大きな武器とする)インテリジェンスの国だからなのか、ここは識者の意見を待ちたいところです。

なお、日本からは東芝の現地法人によるスマートメータ事業が登録されています。
参考サイト

おわりに

そして報道されているように新国王としてチャールズ3世が即位しています。

国王チャールズといえばご存じのようにチャールズ1世

~400年前 -W.シェイクスピアが絶筆であるThe Tempestを残して没した後ほどなく- 日本でいえば江戸時代、三代将軍家光の治世と同時期にイングランド/スコットランド/アイルランドを統治~

が歴史にその名を残しています。
イメージ
After the Battle of Naseby in 1645
出典:Wikipedia
しかしながら数十年にわたるその栄光の時代は国王の強権政治に不満を持つ勢力が国教会のプロテスタントを焚付けて成功に導いた清教徒革命による王の処刑で幕を閉じています。

ちょっと縁起が悪い名前かもしれませんね。


ではまた、次回のエントリーでお会いしましょう。

 
Hiroki Sekihara,
CGEIT, CRISC, CISSP, CCSP, CEH, PMP, CCIE #14607 Emeritus,
AWS Certified Solutions Architect – Professional,
AWS Certified Security – Specialty,
Azure Solutions Architect Expert,
Google Cloud Certified Professional Cloud Security Engineer,
Oracle Cloud Infrastructure 2021 Certified Architect Professional,
Oracle Cloud Platform Identity and Security Management 2021 Certified Specialist,


当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン


関原 弘樹

フェロー

この執筆者の記事一覧

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

関連するナレッジ・コラム

我が家のIoT化 ~スマートスイッチを導入してみた

台湾訪問から考えるWi-Fi7の進化とは

スマートフォンの安全性を向上させる「GrapheneOS」とは?