2022年1月、英国政府は2022年から2030年までの政府サイバーセキュリティ戦略を発表しました。この戦略は、重要な政府機関のサイバー攻撃に対するレジリエンスを強め、主権国家としての英国を強化するために存在するものです。
GovAssureでレジリエンスを構築する
政府サイバーセキュリティ戦略の重要な要素はGovAssureです。これは、中央政府が公共部門のセキュリティとレジリエンス能力をよりよく理解し、組織が敵対的な脅威から自らをより良く保護できるようにするためのスキームです。GovAssureは、 英国国立サイバーセキュリティセンター(NCSC)の開発によるCyber Assessment Framework(サイバー評価フレームワーク)(CAF)を使用しています。CAFは、以下に示す4つの高レベルな目的と14の原則で構成されています:
4つの目標には39の貢献する成果があり、それぞれが3つのカテゴリーに分類された優れた実践の指標(IGP)と関連しています:
- 達成:達成と評価されるためには、すべての成果を達成する必要があります。
- 部分的に達成:この欄はすべての成果にあるとは限りません。部分的な達成成果によって具体的で価値のあるサイバーセキュリティ上の利益が生まれていることが重要です。
- 未達成:通常はこの欄に1つでも指標があれば「未達成」と評価されます。
GovAssureのスキームでは、各IGPを必須サービスに照らしてレビューし、要件を満たしているかどうかを表明することが組織に求められています。それぞれのIGPには、対応策を証明するための根拠と、実際に活動が実施されている証拠が必要になります。回答はその後第三者によって検証され、回答が部門間で一貫していることかどうかが確認されます。これにより、協力的で標準化されたアプローチが可能になります。また、各部門では、要求されるコンプライアンスレベルと文書化された実際の対応とのギャップを埋めるための活動を計画する必要があります。
戦略に従う
理論的には簡単なことのように聞こえても、大規模な政府部門に適用すると、現実はあっという間に複雑になります。このプロセスで重要なのは、適切な利害関係者を特定し、それぞれの重要サービスに必要なリソースを確保することです。この作業はマイルストーンのある正式なプロジェクトとして設定されるべきであり、それを推進するための経営スポンサーも必要です。
これは現在進行中のプロセスの第一段階です。エビデンスがない、あるいは制御が実施されていない場合、これはコンプライアンス違反リストに追加されます。
ヒントと推奨事項
プロセスを可能な限り効率的かつ迅速に完了するためのヒントと推奨事項は以下の通りです:
- 重要なシステムの範囲を時間をかけて十分に理解します。これにより、IGPへの回答がより分かりやすくなります。
- ローカルレベルまたは技術固有の対応を要請する前に、集中管理(ガバナンスなど)が文書化されていることを確認します。これにより、作業の繰り返しを防ぐことができます。
- 自部門のシステムや言語に合わせて作成された一連の回答例や証拠を提示します。これにより、プロセスがよりスムーズになり、部門間で一貫性が生まれます。
- このプロセスを利用し、既知の問題やリスクを洗い出します。このスキームは、ギャップの解消と脆弱性の是正のためにより多くの支援を得るためのツールとして捉えるとよいでしょう。
GovAssureの初期の作業の目的は、英国内閣府の政府セキュリティグループ(GSG)において、政府が直面する共通のサイバーセキュリティ上の課題をより可視化することです。したがって、リスクを正しく理解し、優先順位をつけることができるように、正確な現状を把握することが重要となります。
BSIデジタルトラストのサイバーリスクアドバイザリーとコンプライアンスサービスの詳細をご覧ください。BSIのExperts Cornerでは、その他のデジタルトラスト、環境、安全衛生、サプライチェーンに関するトピックをご紹介しています。
