英国 会計検査院 NAO Blog サイバーセキュリティ：パンデミックは何を変えたか？

こんにちは、丸山満彦です。

英国会計検査院のブログに「サイバーセキュリティ：パンデミックは何を変えたか？」という投稿がありますね。。。

英国の会計検査院 (National Audit Office) には、サイバーセキュリティ担当のディレクターがいるようですね。。。まぁ、重要な分野ですからね。。。

 

● National Audit Office: NAO - NAO blog

・2022.01.14 Cyber security: has the pandemic changed anything?

Cyber security: has the pandemic changed anything?	サイバーセキュリティ：パンデミックは何を変えたか？
Posted on January 14, 2022 by Tom McDonald	投稿日: 2022年1月14日 投稿者: Tom McDonald
The start of a new year brings the opportunity to look back and reflect on the challenges we faced in dealing with COVID-19 during the last year. One of the many impacts of the pandemic we did not foresee was moving many aspects of our social and economic life online to try and keep them going through lockdowns. This came with considerable advantages, keeping many businesses, social networks and relationships going. But it also came with a significant downside, as we all became more vulnerable to the risks associated with operating online. In addition to the major attacks like WannaCry and SolarWinds, which have affected organisations in the UK and overseas, it is now increasingly likely that each of us has either personally suffered from some kind of online crime or know someone else who has.	新しい年の始まりは、昨年のCOVID-19への対応で直面した課題を振り返り、反省する機会となります。パンデミックの影響で予想できなかったことは、社会的・経済的な生活の多くの側面をオンラインに移行し、ロックダウンの間もそれらを維持しようとしたことでした。これは、多くのビジネス、ソーシャルネットワーク、人間関係を維持できるという大きなメリットがありました。その一方で、オンラインでの活動に伴うリスクに対して私たちがより脆弱になるという、大きなマイナス面もありました。WannaCryやSolarWindsなどの大規模な攻撃が英国や海外の組織に影響を与えていることに加えて、私たち一人一人が何らかのオンライン犯罪の被害に遭っているか、そのような人を知っている可能性がますます高くなっています。
In its latest Annual Report, government’s National Cyber Security Centre (NCSC) is clear about the nature of the risks we have faced during the pandemic, noting the startling finding that “From household goods to vaccine appointments, there have been few avenues criminals have not tried to exploit”. And the move to living more of our lives online has resulted in some shifts in criminal activity.	政府の国家サイバーセキュリティセンター（NCSC）は、最新の年次報告書の中で、パンデミックの間に我々が直面したリスクの性質について明確に述べており、「家財道具からワクチンの予約に至るまで、犯罪者が利用しようとしなかった手段はほとんどなかった」という驚くべき発見をしています。また、生活の多くをオンラインで過ごすようになったことで、犯罪行為にも変化が生じています。
The major trend identified by the NCSC is the growth in criminal groups using ransomware to extort organisations of all kinds. The NCSC describes ransomware as the most immediate cyber security threat to UK businesses: this obviously makes it a threat to the resilience and performance of the economy. But it is also a risk to both central and local government and the wide range of services which they support. So, whether we are taxpayers or service users, we should be concerned at this increased use of ransomware being added to the existing list of cyber threats.	NCSCが指摘する大きな傾向は、犯罪グループがランサムウェアを使ってあらゆる種類の組織を脅迫するケースが増えていることです。NCSCは、ランサムウェアを英国企業にとって最も差し迫ったサイバーセキュリティの脅威であるとしています。しかし、ランサムウェアは、中央政府、地方政府、そしてそれらが支える広範なサービスにとってもリスクとなります。納税者であれ、サービス利用者であれ、既存のサイバー脅威のリストにランサムウェアが追加されたことを懸念すべきです。
Unfortunately, the other threats on that list haven’t gone away. The March 2021 Microsoft Exchange Servers incident, in which a sophisticated attacker used zero-day vulnerabilities to compromise at least 30,000 separate organisations, highlighted the dangers posed by supply chain attacks. And there are plenty of examples in the news of other incidents, both malicious and accidental, which have put data, operations and organisational resilience at risk in both private and public sectors.	残念ながら、このリストにある他の脅威はなくなっていません。2021年3月に発生したMicrosoft Exchange Serverの事件では、巧妙な攻撃者がゼロデイ脆弱性を利用して少なくとも3万の個別組織を危険にさらし、サプライチェーン攻撃がもたらす危険性を浮き彫りにしました。その他にも、悪意のあるもの、偶発的なものを問わず、官民を問わず、データ、業務、組織の回復力を危険にさらした事件の例は、ニュースで数多く取り上げられています。
In its new National Cyber Strategy, government has set out some of the things it wants to do to make the UK more resilient to cyber-attack. Like its predecessors, the Strategy is painted on a broad canvas, setting out high-level objectives: it says that the UK should strengthen its grasp of technologies that are critical to cyber security and that it should limit its reliance on individual suppliers or technologies which are developed under regimes that do not share its values. These objectives are aimed at the structural factors behind cyber security. And in the meantime, government is developing its Active Cyber Defence programme – which seeks to reduce the risk of high-volume cyber-attacks ever reaching UK citizens – and pressing ahead with other work on skills, resilience and partnerships across different industries and sectors.	政府は、新しい「国家サイバー戦略」の中で、英国のサイバー攻撃に対する耐性を高めるために、どのようなことをしたいかを示しています。これまでの戦略と同様に、この戦略は大きなキャンバスに描かれており、高レベルの目標を設定しています。すなわち、英国はサイバーセキュリティに不可欠な技術の把握を強化し、価値観を共有しない体制下で開発された個々のサプライヤーや技術への依存を制限すべきであるとしています。これらの目標は、サイバーセキュリティの背後にある構造的な要因を狙ったものです。一方、政府は、大量のサイバー攻撃が英国市民に到達するリスクを低減することを目的とした「アクティブ・サイバー・ディフェンス」プログラムを展開しているほか、スキル、レジリエンス、さまざまな業界・セクター間のパートナーシップに関するその他の作業を進めています。
So, it seems clear that, despite the efforts of public and private sectors, the pandemic has exacerbated some of the threats we face online. But one thing that most experts agree on is that our best defence is getting the basics right. Many of the attacks which we have seen during the pandemic could have been avoided if individuals and organisations had followed recognised good practice. This includes actions like implementing formal information security regimes, avoiding unsupported software and adopting good password practices. We have specific guidance to help Audit Committees think about these sorts of issues in our updated Cyber and Information Security Good Practice Guide.	このように、官民一体となった取り組みにもかかわらず、パンデミックによって、私たちがオンラインで直面している脅威のいくつかが悪化していることは明らかなようです。しかし、ほとんどの専門家が同意しているのは、最善の防御策は基本を正しく理解することだということです。今回のパンデミックで発生した攻撃の多くは、個人や組織が認識されているグッドプラクティスに従っていれば回避できたはずです。これには、正式な情報セキュリティレジームの導入、サポートされていないソフトウェアの回避、適切なパスワードの使用などが含まれます。私たちは、監査委員会がこのような問題について考える際に役立つ具体的なガイダンスを、最新の「サイバーおよび情報セキュリティに関するグッド・プラクティス・ガイド」に掲載しています。
So, if you are still thinking about your New Year’s resolutions, how about refreshing your cyber security practices? That may help you avoid becoming the next victim of a cyber-attack.	もし、まだ新年の抱負を考えているのであれば、サイバー・セキュリティ対策を見直してみてはいかがでしょうか。そうすれば、次のサイバー攻撃の犠牲者にならずに済むかもしれません。

 

 

 

 

---

参考

文中のリンクに関係する部分

● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.17 英国 国家サイバー戦略

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ：グッドプラクティスガイド

 

その他。。。

・2021.09.24 英国 国家AI戦略

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.03.27 英国 国家サイバーセキュリティセンター (NCSC) の新しいCEOが今後のサイバーリスクについて説明し、自己満足にならないように警告

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書