2025年10月、英国政府とNCSC(National Cyber Security Centre:国家サイバーセキュリティセンター)は、企業のサイバー攻撃対策に関する新たな提言を発表しました。注目すべきは、物理的な紙ベースの事業継続計画(BCP)を準備するよう企業に呼びかけた点です。
Thank you for reading this post, don't forget to subscribe!なぜ「紙」なのか?背景にある深刻な事例
このアナログな提案の背景には、2025年に発生した複数のサイバー攻撃事件があります。特に深刻だったのは、Jaguar Land Rover(JLR)の生産ライン停止や、Marks and Spencer、The Co-op、Harrodsといった小売業者の物流混乱です。これらの企業は、ITシステムが機能停止したことで、業務継続が困難になりました。
「レジリエンスエンジニアリング」への転換
NCSCのCEOであるリチャード・ホーン氏は、従来のサイバーセキュリティ対策だけでなく、「レジリエンスエンジニアリング(Resilience Engineering)」への視点転換が不可欠と述べています。これは、システムが攻撃を受けた際に、いかにして吸収・復旧・適応できるかに焦点を当てる考え方です。
その実践例として、以下のような対策が推奨されています:
- オフラインで保存された事業継続計画(BCP)の用意
- メール不通時の連絡手段の確保
- 従業員間のアナログなコミュニケーション手段の整備
- 物理的な復旧手順の明文化
「全国的に重要なインシデント」が急増
NCSCの年次レポートによれば、2025年に報告されたサイバー攻撃の件数は429件で、前年とほぼ同水準でした。しかし、そのうち204件が「全国的に重大(Category1〜3)」とされ、前年(89件)から倍増しています。
インシデントの分類は以下の通りです:
- Category 1:国家的サイバー緊急事態
- Category 2:極めて重大な事案
- Category 3:重大な事案
- (以下、Substantial, Moderate, Localisedと続く)
これにより、今や「攻撃されるか否か」ではなく「いつ攻撃されるか」が問題であることが浮き彫りになっています。
犯罪者の手口と実害
サイバー攻撃の大半は金銭目的のランサムウェアによるもので、被害者のシステムを暗号化し、ビットコインでの身代金を要求する手口が一般的です。中には、2023年の医療機関への攻撃のように、患者死亡に繋がる深刻な影響が出た例もあります。
新たな脅威:ティーンエイジャーによる犯行
また、旧ソ連圏以外でも、英語圏に拠点を置く10代のハッカー集団の活動が目立ってきました。2025年だけでも、英国では7名のティーンが大規模攻撃の容疑で逮捕されています。
企業に求められる「基本的な保護意識」
輸送会社KNPの元CEOポール・アボット氏は、自社が攻撃を受けて倒産した経験から、「我々は毎年12万ポンド(約2,300万円)を投じていたが、それでも防げなかった」と述べています。
Check Point社のグレーム・スチュワート氏は、「建設現場ではヘルメットをかぶるのが当たり前。にもかかわらず、サイバー空間では防御策なしにアクセスしている企業が多い」と警鐘を鳴らします。
まとめ:デジタル依存からの脱却も必要
クラウド、AI、IoTといった最新技術に頼る現代企業にとって、「紙とペン」による準備は一見時代遅れに見えるかもしれません。しかし、今回の英国政府の助言は、ハイテク時代においても「アナログな備え」が不可欠であることを示しています。
デジタル化と同時に、アナログ回帰も組み込んだ事業継続戦略が、これからの企業経営の要となりそうです。
コメント