英国 政府のサイバーセキュリティ戦略：2022年 - 2030年

こんにちは、丸山満彦です。

英国政府が、「政府のサイバーセキュリティ戦略：2022年ー2030年」を公表していますね。。。英国としては、史上初の「政府サイバーセキュリティ戦略」ということです。

昨年末に発表した国家サイバー戦略（サイバーセキュリティではなく、サイバー）に

● U.K. Governance

・2022.01.25 Government Cyber Security Strategy: 2022 to 2030

Government Cyber Security Strategy: 2022 to 2030	政府のサイバーセキュリティ戦略：2022年から2030年まで
This strategy sets out the government’s approach to building a cyber resilient public sector.	この戦略は、サイバーに強い公共部門を構築するための政府のアプローチを定めたものです。
Details	詳細
The Cyber Security Strategy explains how the government will ensure that all public sector organisations will be resilient to cyber threats.	サイバーセキュリティ戦略では、政府がどのようにしてすべての公共部門の組織がサイバー脅威への耐性を持つようにするかを説明しています。
The strategy’s vision is to ensure that core government functions are resilient to cyber attack, strengthening the UK as a sovereign nation and cementing its authority as a democratic and responsible cyber power.	この戦略のビジョンは、政府の中核機能がサイバー攻撃に強いことを保証し、主権国家としての英国を強化し、民主的で責任あるサイバー国家としての権威を確固たるものにすることです。

・[PDF] 

Foreword from the Prime Minister	内閣総理大臣からの序文
Message from the Chancellor of the Duchy of Lancaster and Minster for the Cabinet Office	ランカスター公領大臣兼内閣府大臣からのメッセージ
Executive Summary	エグゼクティブ・サマリー
Chapter 1: Context	第1章：背景
The importance of government cyber security to national resilience	国家の強靭性における政府のサイバーセキュリティの重要性
The challenges and opportunities for government	政府にとっての課題と機会
Chapter 2: Approach	第2章：アプローチ
Vision and Aim	ビジョンと目的
Pillars	柱
Objectives	目標
Chapter 3: Managing cyber security risk	第3章：サイバーセキュリティリスクの管理
Governance and accountability	ガバナンスとアカウンタビリティ
Assets and vulnerabilities	資産と脆弱性
Data assets	データ資産
Supply chain risk	サプライチェーンのリスク
Threat information	脅威の情報
Cyber security data	サイバーセキュリティデータ
Government cyber security assurance	政府によるサイバーセキュリティの保証
Private sector and international partnerships	民間企業と国際的なパートナーシップ
Chapter 4: Protecting against cyber attack	第4章：サイバー攻撃からの保護
Secure technology and digital services	安全な技術とデジタルサービス
Cyber security controls	サイバーセキュリティの管理
Secure configuration	安全な構成
Shared capabilities	能力の共有
Information and data security	情報とデータのセキュリティ
Chapter 5: Detecting cyber security events	第5章：サイバーセキュリティイベントの検知
Detection within government organisations	政府組織内での検知
Detection at scale	規模に応じた検知
Chapter 6: Minimising the impact of cyber security incidents	第6章：サイバーセキュリティインシデントの影響を最小限に抑えるために
Response preparation	対応の準備
Incident response	インシデント対応
Incident recovery	インシデントの復旧
Lessons learned	学んだ教訓
Chapter 7: Developing the right cyber security skills, knowledge and culture	第7章：適切なサイバーセキュリティのスキル、知識、文化の開発
Skills requirements	スキル要件
Attract and retain talent	人材の確保と維持
Develop talent	人材の育成
Cyber security knowledge across other government functions	政府の他部門におけるサイバーセキュリティの知識
Cyber security culture	サイバーセキュリティ文化
Chapter 8: Measuring success	第8章：成功の測定
Achieving the aim	目標の達成
Maintaining an appropriate measure of resilience	適切な回復力の尺度を維持する
Underpinning key performance indicators	重要業績評価指標の裏付け
Chapter 9: Implementing the strategy	第9章：戦略を実行する
Implementation	実行
Transformational proposals	変革の提案
Implementation plan	実行計画
Annex: Cyber Assessment Framework	附属書：サイバー・アセスメント・フレームワーク
Glossary	用語集

 

エグゼクティブ・サマリー

Context	コンテキスト
1. The Integrated Review[1] and the National Cyber Strategy[2] set out the government’s ambition to firmly establish the UK as a democratic and responsible cyber power, able to protect and promote its interests as a sovereign nation in a world fundamentally shaped by technology. The UK’s legitimacy and authority as a cyber power is however dependent upon its domestic cyber resilience, the cornerstone of which is government and the public sector organisations that deliver the functions and services which maintain and promote the UK’s economy and society.	1. 統合レビュー[1]と国家サイバー戦略[2]は、英国を民主的で責任感のあるサイバーパワーとして確立し、テクノロジーによって根本的に形成された世界において主権国家としての利益を守り、促進することができるようにするという政府の野心を示している。しかし、サイバーパワーとしての英国の正統性と権威は、国内のサイバーレジリエンスに依存しており、その基礎となるのは、英国の経済と社会を維持・促進する機能とサービスを提供する政府と公共部門の組織です。
2. While government has made notable progress in recent years, there remains a significant gap between where government cyber resilience is now and where it needs to be. This gap is brought into sharp focus by the sheer volume of cyber attacks that the government sector experiences, and the evolving capabilities and techniques of the broad range of malicious actors conducting them. As well as the risk of disruption to government functions and public services, the targeting of essential services such as healthcare can pose a real risk to public safety.	2. 近年、政府は顕著な進歩を遂げてきましたが、政府のサイバーレジリエンスの現状とあるべき姿の間には大きなギャップがあります。このギャップは、政府部門が経験する膨大な量のサイバー攻撃と、それを実行する幅広い悪意のあるアクターの能力と技術の進化によって、はっきりと浮かび上がってきます。政府の機能や公共サービスに支障をきたすだけでなく、医療などの重要なサービスが標的となることで、国民の安全にも重大なリスクが生じる可能性があります。
Vision and Aim	ビジョンと目標
3. This strategy’s vision is therefore to ensure that core government functions - from the delivery of public services to the operation of National Security apparatus - are resilient to cyber attack, strengthening the UK as a sovereign nation and cementing its authority as a democratic and responsible cyber power.	3. したがって、本戦略のビジョンは、公共サービスの提供から国家安全保障機関の運営まで、政府の中核機能をサイバー攻撃に耐えうるものとし、主権国家としての英国を強化し、民主的で責任あるサイバーパワーとしての英国の権威を確固たるものとすることです。
4. Core government functions are delivered by many diverse public sector organisations, including government departments, armslength bodies, agencies and local authorities. This strategy therefore considers all such public sector organisations.	4. 政府の中核機能は、政府省庁、軍備拡張団体、機関、地方自治体など、多くの多様な公共部門の組織によって提供されている。そのため、本戦略ではそのような公共部門の組織をすべて考慮している。
5. To achieve its vision the strategy pursues a central aim - for government’s critical functions to be significantly hardened to cyber attack by 2025, with all government organisations across the whole public sector being resilient to known vulnerabilities and attack methods no later than 2030.	5. ビジョンを達成するために、本戦略では、2025年までに政府の重要機能をサイバー攻撃に対して大幅に強化し、遅くとも2030年までに公共部門全体のすべての政府組織が既知の脆弱性と攻撃手法に対して回復力を持つことを中心目標としています。
6. This is a bold and ambitious aim. To achieve the level of organised and objective visibility of cyber security risk across the whole of government will require extensive processes, mechanisms and partnerships to be established; a task complicated by the varying levels of cyber maturity, capability and capacity. Key to this will be enabling lead government departments to assess and articulate the macro-cyber security posture of the arms-length bodies and other public sector organisations within their purview.	6. これは、大胆かつ野心的な目標です。政府全体のサイバーセキュリティリスクを組織的かつ客観的に把握するためには、大規模なプロセス、メカニズム、パートナーシップを確立する必要がありますが、サイバーの成熟度、能力、キャパシティのレベルが異なるため、この作業は複雑になります。そのためには、政府の主管部門が、その管轄下にある独立行政法人やその他の公共部門の組織のマクロ的なサイバーセキュリティの姿勢を評価し、明確にすることが重要になります。
7. Achieving this aim will make government a significantly hardened target. As well as enabling government to protect its data and operate without undue disruption, it will ensure that government organisations are structured and organised to manage unknown and more sophisticated threats when they do arise.	7. この目的を達成することで、政府は著しくハードな標的となります。政府がデータを保護し、過度の混乱なく業務を遂行できるようになるだけでなく、未知の脅威やより高度な脅威が発生した場合に、政府組織がそれに対処できる構造と組織を確保することができます。
Strategic pillars and transformational proposals	戦略的な柱と変革の提案
8. Government’s approach to achieving this aim is centred around two complementary strategic pillars, each underpinned by a transformational proposal that will unlock and drive improvements across government.	8. この目的を達成するための政府のアプローチは、2つの補完的な戦略的柱を中心としており、それぞれの柱は、政府全体の改善を引き出し、推進する変革的提案によって支えられています。
9. The first is to build a strong foundation of organisational cyber security resilience; ensuring that government organisations have the right structures, mechanisms, tools and support in place to manage their cyber security risks.	9. 第１は、組織のサイバーセキュリティの回復力の強固な基盤を構築することであり、 政府機関がサイバーセキュリティのリスクを管理するための適切な構造、メカニズム、ツール、 サポートを確保することです。
10. This will be underpinned by the adoption of the National Cyber Security Centre’s (NCSC) Cyber Assessment Framework (CAF) as the assurance framework for government, with government specific CAF profiles that articulate the outcomes required by government organisations in order to proportionately respond to the varying threats to their most important functions. Objective verification by independent auditors will be a requirement for central government departments, although it will be for lead government departments to adapt and apply such an approach in a way that is most appropriate for the public sector organisations within their scope. As well as improving visibility of cyber security risks, adopting the CAF provides a common framework for government to more effectively understand and manage them.	10. これは、国家サイバーセキュリティセンター（NCSC）のサイバーアセスメントフレームワーク（CAF）を政府の保証フレームワークとして採用することによって支えられる。また、政府固有のCAFプロファイルは、政府組織の最も重要な機能に対するさまざまな脅威に適切に対応するために、政府組織が必要とする成果を明確にする。独立した監査人による客観的な検証は、中央政府の各省庁に義務付けられますが、主導的な政府省庁は、その範囲内にある公共部門の組織に最も適した方法で、このようなアプローチを適応・適用することになります。CAF を採用することで、サイバー・セキュリティ・リスクの可視性が向上するだけでなく、政府がそのリスクをより効果的に理解し管理するための共通のフレームワークが提供されます。
11. The second is to ‘defend as one’. Recognising that the scale and pace of the threat demands a more comprehensive and joined up response, government will harness the value of sharing cyber security data, expertise and capabilities across its organisations to present a defensive force disproportionately more powerful than the sum of its parts.	11. 第２は、「一体となって守る」ことです。脅威の規模とスピードに応じて、より包括的で統合された対応が求められていることを認識し、政府は組織全体でサイバーセキュリティデータ、専門知識、能力を共有することで、部分の総和よりも不釣り合いに強力な防御力を発揮します。
12. This will be underpinned by the establishment of a Government Cyber Coordination Centre (GCCC). As a joint venture between the Government Security Group, the Central Digital and Data Office and the NCSC, the GCCC will work to better coordinate operational cyber security efforts, transforming how cyber security data and threat intelligence is shared, consumed and actioned across government.	12. これは、政府サイバー調整センター（GCCC）の設立によって支えられます。GCCCは、政府セキュリティグループ、中央デジタル・データ局、NCSCの共同事業として、サイバーセキュリティの運用面での調整を強化し、サイバーセキュリティデータや脅威情報の政府内での共有・利用・対処方法を変革していきます。
Objectives	目標
13. These pillars are supported by fi ve objectives that set the dimensions of cyber resilience, providing a consistent framework and common language that can be applied across the whole of government.	13. これらの柱は、サイバーレジリエンスの次元を設定する5つの目標によって支えられており、政府全体に適用可能な一貫した枠組みと共通言語を提供しています。
Manage cyber security risk	サイバー・セキュリティ・リスクの管理
14. In order to manage cyber security risk, government organisations will be able to identify, assess and understand them. The foundation of this lies in the visibility and understanding of assets, their vulnerabilities, and the threat to them - whether internal to an organisation or emanating from its supply chain. Clear accountability and robust assurance will ensure that risk owners are aware of the risks they have the responsibility to manage, and that they are doing so appropriately.	14. サイバー・セキュリティ・リスクを管理するためには、政府機関はそれらを特定し、評価し、理解することが必要です。その基盤となるのは、組織の内部であれ、サプライチェーンから発生するものであれ、資産、その脆弱性、およびそれらに対する脅威を可視化し、理解することです。明確な説明責任と強固な保証があれば、リスク所有者は管理する責任のあるリスクを認識し、それを適切に実行していることが保証されます。
15. Information about vulnerabilities will be shared across government to provide a central view of critical vulnerabilities that will enable cross-government risks to be identifi ed and managed, facilitating rapid assessment, coordination and mitigation at scale.	15. 脆弱性に関する情報を政府全体で共有し、重要な脆弱性を一元的に把握することで、政府横断的なリスクの特定と管理を可能にし、規模に応じた迅速な評価、調整、緩和を促進する。
Protect against cyber attack	サイバー攻撃からの保護
16. The protective stance of individual government organisations will be inextricably linked to their assessment and management of risk. While it will never be possible to protect against all attacks, those accountable will be able to demonstrate that they have appropriately considered those risks and responded accordingly.	16. 個々の政府組織の保護姿勢は、リスクの評価と管理と密接に結びついている。すべての攻撃を防御することは不可能であるが、説明責任を負う者は、それらのリスクを適切に検討し、それに応じて対応したことを証明することができる。
17. Proportionate cyber security measures will be embedded in the technology government uses, and technology and digital services will be correctly designed, confi gured and managed. Crucially, government will develop its shared capabilities, tools and services to address common cyber security issues at scale, improving cyber security across the whole of government as well as driving effi ciency and value for money.	17. 政府が使用する技術には、相応のサイバー・セキュリティ対策が組み込まれ、技術やデジタル・サービスは、正しく設計され、確認され、管理されます。重要なことは、政府は、共通のサイバーセキュリティ問題に大規模に対処するための共有能力、ツール、サービスを開発し、政府全体のサイバーセキュリティを向上させるとともに、効率性と費用対効果を促進することである。
18. At the heart of this is government’s responsibility to protect the data it handles. As well as appropriately classifying information, government will handle and share it in a way that is commensurate with the risks it presents, using the appropriate IT systems.	18. この問題の中心となるのは、政府が扱うデータを保護する責任です。政府は、情報を適切に分類するだけでなく、適切なITシステムを用いて、そのリスクに見合った方法で情報を取り扱い、共有します。
Detect cyber security events	サイバー・セキュリティ・イベントの検知
19. Building on the foundation of risk management and commensurate protective measures, government will develop its capability to detect cyber security events across every part of its estate to ensure that risks can be mitigated before they critically impact government functions and services.	19. リスク管理とそれに見合った保護措置の基礎の上に、政府は、財産のあらゆる部分でサイバー・セキュリティ・イベントを検知する能力を開発し、政府の機能やサービスに致命的な影響を与える前にリスクを確実に軽減する。
20. This means having the capability to monitor systems, networks and services to detect cyber security events before they become incidents. Enhanced coordination will enable government to have the agility to use these data inputs to detect at pace and scale, facilitating coherent responses as well as providing the capabilities to detect more sophisticated attacks.	20. これは、システム、ネットワーク、サービスを監視して、インシデントになる前にサイバー・セキュリティ・イベントを検知する能力を持つことを意味する。連携を強化することで、政府はこれらのデータインプットを利用して迅速かつ大規模な検知を行うことができ、一貫した対応が可能になるとともに、より高度な攻撃を検知する能力を備えることができます。
Minimise the impact of cyber security incidents	サイバー・セキュリティ・インシデントの影響を最小限に抑える
21. While effective risk management, appropriate and proportionate protective measures and enhanced detection capability will make government a considerably hardened target, government organisations will still be impacted by cyber security incidents.	21. 効果的なリスク管理、適切かつ比例した保護手段、および強化された検知能力により、政府はかなりハードな標的となるが、政府組織は依然としてサイバーセキュリティインシデントの影響を受ける。
22. Government will therefore be fully prepared and able to respond to cyber incidents with the capability to restore affected systems and assets and resume the operation of its functions and services with minimal disruption. A critical component of this will be establishing the mechanisms to test and exercise incident response plans, both organisationally and across government, as well as the ability to learn lessons from incidents and ‘near misses’.	22. したがって、政府は、影響を受けたシステムと資産を復元し、最小限の混乱で機能とサービスの運営を再開する能力を備えた上で、サイバー・インシデントに対応するための準備と能力を完全に整える。そのための重要な要素は、組織的にも政府全体としても、インシデント対応計画をテスト・演習するメカニズムを確立すること、そしてインシデントや「ニアミス」から教訓を学ぶ能力を持つことである。
Develop the right cyber security skills, knowledge and culture	適切なサイバーセキュリティのスキル、知識、文化の開発
23. Achieving this strategy’s vision and aim will not be possible without cultivating the required cyber security skills and knowledge, as well as fostering a cultural shift in cyber security across the whole of government.	23. 本戦略のビジョンと目標を達成するには、必要なサイバーセキュリティのスキルと知識を育成するとともに、政府全体でサイバーセキュリティの文化的変化を促進することが必要である。
24. Government will have a comprehensive understanding of its cyber security skills requirements and will incentivise and promote government cyber security careers. As well as formal career pathways that align with the UK Cyber Security Council, working towards the adoption of a single pay framework for the cyber profession will enable government to more effectively attract, develop and retain those skills, providing a sustainable government cyber security profession.	24. 政府は、サイバーセキュリティのスキル要件を包括的に理解し、政府のサイバーセキュリティのキャリアを奨励・促進する。英国サイバーセキュリティ協議会に沿った正式なキャリアパスだけでなく、サイバー専門職のための単一の給与フレームワークの採用に向けて取り組むことで、政府はより効果的にスキルを惹きつけ、開発し、維持することができ、持続可能な政府のサイバーセキュリティ専門職を提供することができる。
25. The need for suffi cient cyber security skills and knowledge extends beyond technical cyber security roles to the breadth of professional functions that must give adequate consideration to cyber security. From the Digital, Data and Technology (DDaT) profession through to government’s commercial and legal functions, suffi cient cyber security knowledge and awareness will ensure that cyber security is actively considered wherever necessary.	25. 十分なサイバーセキュリティのスキルと知識の必要性は、サイバーセキュリティの技術的な役割にとどまらず、サイバーセキュリティに十分な配慮をしなければならない幅広い専門的な機能にまで及んでいます。デジタル・データ・テクノロジー（DDaT）の専門家から、政府の商業・法律部門に至るまで、十分なサイバーセキュリティの知識と認識があれば、必要に応じてサイバーセキュリティを積極的に考慮することができます。
26. Fundamentally, this strategy recognises the importance of cultivating a cyber security culture that empowers its people to learn, question and challenge to drive continuous improvement. This begins with improving cyber security awareness and knowledge across all public sector workers, building on these foundations to create a positive cyber security culture that promotes and empowers its people to proactively engage on organisational cyber security risks. Getting this right is the key to sustainable change.	26. 基本的に、この戦略は、継続的な改善を推進するために、従業員が学び、質問し、挑戦する力を与えるサイバーセキュリティ文化を育むことの重要性を認識しています。これは、公共部門の全職員のサイバーセキュリティに対する意識と知識を向上させることから始まり、これらの基盤を基に、組織のサイバーセキュリティリスクに積極的に取り組むことを職員に奨励し、権限を与える積極的なサイバーセキュリティ文化を創造します。これを正しく行うことが、持続可能な変化の鍵となります。
[1] HMG; Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy; March 2021	[1] HMG; Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy; March 2021
[2] HMG; ‘National Cyber Strategy’; December 2021	[2] HMG;「国家サイバー戦略」；2021年12月

 

戦略の概要

 

 

当日のスピーチです。。。

・2022.01.25 (speech) Building a cyber-resilient public sector

Building a cyber-resilient public sector	サイバーレジリエントな公共部門の構築
Speech by the Chancellor of the Duchy of Lancaster Steve Barclay on the launch of the Government Cyber Security Strategy.	スティーブ・バークレイ・ランカスター公国首相による「政府サイバーセキュリティ戦略」の発表時のスピーチ。
From: Cabinet Office and The Rt Hon Steve Barclay MP	内閣府、スティーブ・バークレイ議員
Introduction	はじめに
It is very fitting that I should be talking to many of you virtually today. For the Covid 19 pandemic has tested all of us in every possible way and yet technology has enabled us to carry on.	今日、私が多くの方々とバーチャルでお話をするのは、とてもふさわしいことだと思います。Covid 19のパンデミックは、私たち全員にあらゆる試練を与えましたが、テクノロジーのおかげで私たちは活動を続けることができました。
To work from home, to see a doctor, to keep in touch with our families and friends and to educate our children.	自宅で仕事をしたり、医者に診てもらったり、家族や友人と連絡を取ったり、子供を教育したり。
It has also enabled government to carry on providing the precious public services that we as citizens rely on.	また、私たち市民が頼りにしている貴重な公共サービスを政府が提供し続けることも可能になりました。
But while we have been making the very most of technology – so too have cyber criminals.	しかし、私たちがテクノロジーを最大限に活用している一方で、サイバー犯罪者もまたテクノロジーを最大限に活用しています。
Seizing our sudden shift online as an unprecedented opportunity to disrupt our day-to-day lives and do our organisations harm, all of which can have a devastating impact with lasting examples.	私たちが突然オンラインに移行したことを前例のない機会ととらえ、私たちの日常生活を破壊したり、組織に損害を与えたりしています。
Let me give you just three examples from the last eighteen months, from local government, where digital services are increasingly being targeted by our adversaries due to the personal and financial data they hold.	この1年半の間に、地方自治体で起きた3つの事例をご紹介しましょう。地方自治体では、デジタルサービスが保有する個人情報や財務データが敵対者の標的となるケースが増えています。
In Redcar and Cleveland, residents couldn’t access key services or seek social care advice. They couldn’t make online appointments or look at planning documents for many weeks after the council’s computer systems and website came under attack in early 2020.	レッドカーとクリーブランドでは、住民が主要なサービスにアクセスできず、ソーシャルケアに関するアドバイスも得られませんでした。また、2020年初頭に議会のコンピュータシステムとウェブサイトが攻撃を受けた後、何週間もオンラインでの予約や計画資料の閲覧ができませんでした。
Likewise in Hackney, essential council tax, benefits and housing services for residents were left devastated after a ransomware incident almost fifteen months ago - while the most recent target, Gloucester City Council, is still working to recover full use of its IT systems after a cyber attack just before Christmas.	同様に、ハックニーでは、約15ヶ月前にランサムウェアの攻撃を受け、住民にとって必要不可欠な市税、給付金、住宅サービスが壊滅的な打撃を受けました。また、最近の標的となったグロスター市議会では、クリスマス直前にサイバー攻撃を受け、現在もITシステムを完全に利用できるようにするための作業を行っています。
We cannot dismiss these events as one-offs.	これらの出来事を一過性のものとして片付けることはできません。
This is a growing trend – one whose pace shows no sign of slowing.	これらの出来事を一過性のものと見なすことはできません。これは拡大する傾向にあり、そのペースは衰える気配がありません。
I am proud to say that when UK public services have suffered attacks, the government has acted fast to support getting key services back up and running, and also to manage any risks to stolen data – with the National Cyber Security Centre – the NCSC – providing expert technical advice.	英国の公共サービスが攻撃を受けた際、政府は迅速に行動し、重要なサービスの復旧を支援し、盗まれたデータのリスクを管理するために、NCSC（National Cyber Security Centre）が専門的な技術アドバイスを提供したことを誇りに思います。
However, the public rightly expects us to do everything we can to prevent these attacks in the first place and to get services quickly back to normal when they do indeed happen.	しかし、このような攻撃を未然に防ぎ、実際に攻撃を受けた際には迅速にサービスを復旧させるために全力を尽くすことを、国民は当然ながら期待しています。
It isn’t just local authorities that are affected.	影響を受けるのは地方自治体だけではありません。
We have repeatedly warned the public about the rapid rise in consumer-focused scams by professional predators.	私たちは、プロの犯罪者による消費者を狙った詐欺が急増していることを繰り返し警告してきました。
Businesses and retailers, too, are on our adversaries hit-lists. Just in December, three hundred Spar grocery stores in the north of England were affected by a computer and IT outage.	企業や小売業者も敵の標的になっています。12月には、イングランド北部の食料品店「Spar」300店舗がコンピュータとITの障害に見舞われました。
And as if to prove the hackers’ total lack of scruple, an attack last year on the Irish health system meant people had to wait for cancer treatment and X-rays.	また、ハッカーの冷静さの欠如を証明するかのように、昨年、アイルランドの医療システムが攻撃を受け、がん治療やレントゲン撮影のために人々が待たされました。
Indeed globally, we have seen the impact on our allies, including the US government, following the compromise of Solarwinds’ network management software in 2020.	世界的に見ても、2020年にSolarwinds社のネットワーク管理ソフトウェアが侵害されたことで、米国政府をはじめとする同盟国にも影響が及んでいます。
And we have witnessed, too, the destabilising effects on public confidence in Ukraine following recent cyber attacks on its government infrastructure.	また、ウクライナでは、政府のインフラがサイバー攻撃を受けたことで、国民の信頼が不安定になっています。
So my priority now – having taken over this critically important brief as lead government minister for cyber – is to ensure that the UK government, at all levels, is much more resilient to cyber attacks.	そこで、サイバー担当の主務大臣として重要な任務を引き継いだ私の優先事項は、英国政府があらゆるレベルでサイバー攻撃に対する耐性を高められるようにすることです。
Delivering change through the Government Cyber Security Strategy	政府サイバーセキュリティ戦略による変革の実現
That is why the first ever Government Cyber Security Strategy – which I am delighted to be launching today – is so important.	だからこそ、本日発表する史上初の「政府サイバーセキュリティ戦略」が非常に重要なのです。
If we are to continue to prevent our public services coming under pressure and to protect them from the harmful consequences of cyber attacks, we need to act.	公共サービスの低下を防ぎ、サイバー攻撃の被害から公共サービスを守るためには、私たちが行動を起こす必要があります。
The Strategy has a very clear vision.	この戦略は非常に明確なビジョンを持っています。
Our core government functions, from the delivery of public services, to the operation of National Security apparatus, must be more resilient than ever before to cyber attacks.	公共サービスの提供から国家安全保障機関の運営に至るまで、政府の中核機能は、サイバー攻撃に対してこれまで以上に耐性を持たなければなりません。
And we are setting out the clear aim for government’s critical functions to be significantly hardened to cyber attack by 2025.	そして、2025年までに、政府の重要な機能をサイバー攻撃に対して大幅に強化するという明確な目標を掲げています。
This aim accounts for all public service organisations – including across local government, and the health and education sectors – which in many cases are starting from a very low level of maturity.	この目標は、地方自治体や医療・教育分野を含むすべての公共サービス機関を対象としており、多くの場合、非常に低いレベルの成熟度からスタートしています。
Achieving our aim is essential. Not only to protect government functions and public services but also to realise the ambitions set out in the Integrated Review and the National Cyber Strategy	この目標を達成することは不可欠です。政府機能と公共サービスを守るだけでなく、統合レビューと国家サイバー戦略で掲げられた野望を実現するためにも。
It will also help cement the UK as a democratic and responsible ‘Cyber Power’.	また、英国が民主的で責任感のある「サイバーパワー」としての地位を確立することにもつながります。
Only by ensuring that cyber attacks neither disrupt our core functions, nor erode vital trust and public confidence can we use the full potential of cyber as a lever to protect and promote our interests in a world that is being fundamentally and rapidly reshaped by technology.	サイバー攻撃によって中核的な機能が破壊されたり、重要な信頼や国民の信用が損なわれたりしないようにしてこそ、テクノロジーによって根本的かつ急速に形を変えつつある世界において、我々はサイバーを梃子にして自国の利益を守り、促進することができるのです」と述べています。
The Government Cyber Security Strategy will deliver this in two fundamental ways.	政府のサイバーセキュリティ戦略は、2つの基本的な方法でこれを実現します。
First, by building organisational cyber resilience in a way that allows government organisations to understand the risks and threats they face, and indeed then to manage them.	第一に、政府機関が直面するリスクと脅威を理解し、実際にそれらを管理できるような方法で、組織のサイバーレジリエンスを構築することです。
To do this we will adopt the NCSC’s Cyber Assessment Framework for the whole of government, as the foundation of a new, detailed and comprehensive assurance regime, backed up by independent assessment.	そのために、NCSCのサイバーアセスメントフレームワークを政府全体に採用し、独立した評価に裏打ちされた、詳細かつ包括的な新しい保証体制の基盤とします。
And from this we will emerge not with a generic sketch of government cyber defences but a properly objective picture of our collective strengths and weaknesses –	これにより、政府のサイバー防御の一般的なスケッチではなく、私たちの集団的な強みと弱みを正しく客観的に把握することができるようになります。
And far from being an additional layer of bureaucracy and compliance, the new assurance regime will be an early warning system for all government organisations.	新しい保証制度は、官僚主義やコンプライアンスの追加ではなく、すべての政府機関にとっての早期警告システムとなります。
By the very nature of their activities, some of these organisations regularly face more sustained, determined, and well-resourced attacks on them.	これらの組織の中には、その活動の性質上、定期的に、より持続的で強固な、そして十分な資源を持った攻撃にさらされているものがあります。
And we all have a vested interest in getting their protection right.	私たちは、これらの組織を正しく保護することに関心があります。
So – as the second fundamental element of the Government Cyber Security Strategy – we are going to ‘Defend as One’.	そこで、政府のサイバーセキュリティ戦略の2つ目の基本要素として、「一体となって守る」ことを掲げています。
Ensuring that government presents a defensive force more powerful than the sum of its parts.	これは、政府が各部分の合計よりも強力な防御力を発揮できるようにするためです。
At the moment, considerable talent and capability is spread over a range of government organisations - and is not always harnessed to best effect.	現在、膨大な才能と能力がさまざまな政府機関に分散しており、必ずしも最高の効果を発揮しているとは言えません。
Our new Government Cyber Coordination Centre, or GCCC, will transform how we use cyber security data – by facilitating threat and vulnerability management at scale, and fostering partnerships across the public sector and the Union – to rapidly identify, investigate and coordinate responses to incidents.	新設されたGCCC（Government Cyber Coordination Centre）は、脅威と脆弱性の管理を大規模に行い、公共部門と連邦のパートナーシップを促進することで、サイバーセキュリティデータの利用方法を変革し、インシデントの迅速な特定、調査、対応の調整を行います。
This joint venture between the Government Security Group, the Central Digital and Data Office and the NCSC, – is intended to underpin our long-term ambitions for cyber security, and ensure that our efforts are better coordinated.	Government Security Group、Central Digital and Data Office、NCSCの3者によるこの共同事業は、サイバーセキュリティに関する我々の長期的な目標を支え、我々の努力がよりよく調整されることを目的としています。
Investment in cyber resilience	サイバーレジリエンスへの投資
The significance of the cyber security challenges we face is reflected in the funding we as a government are making available to tackle them.	私たちが直面しているサイバーセキュリティの課題の重要性は、政府がそれらの課題に取り組むために用意している資金にも反映されています。
The government is investing £2.6 billion in cyber over the next three years – significantly more than the £1.9bn that was committed in the last National Cyber Strategy, with a particular emphasis on improving the government’s own cyber security.	政府は、今後3年間で26億ポンドをサイバー分野に投資します。これは、前回の国家サイバー戦略でコミットした19億ポンドを大幅に上回るもので、特に政府自身のサイバーセキュリティの向上に重点を置いています。
This includes over £85m to tackle the challenges facing councils, helping them build their cyber resilience and protect vital services and data.	これには、地方自治体が直面する課題に取り組むための8,500万ポンド以上が含まれており、地方自治体がサイバーレジリエンスを高め、重要なサービスやデータを保護することを支援します。
And we will continue to invest in government’s cyber resilience, prioritising by risk to ensure that our most critical functions and services are protected.	また、政府のサイバーレジリエンスへの投資を継続し、リスクに応じて優先順位をつけ、最も重要な機能とサービスを確実に保護していきます。
Developing leadership and skills	リーダーシップとスキルの向上
I’d like to give particular focus to the importance of people and culture in making this a reality.	これを実現するためには、人材と文化が重要であることを特に強調したいと思います。
Strong leadership is crucial to success.	成功には強力なリーダーシップが不可欠です。
And I welcome the strong emphasis public sector leaders are placing on cyber security as a catalyst and enabler for UK digital transformation.	公共部門のリーダーたちが、英国のデジタルトランスフォーメーションの触媒および実現者として、サイバーセキュリティを重視していることを歓迎します。
Indeed for my own part, one of my top priorities will be promoting government cyber resilience and driving forward the implementation of this strategy across government.	実際、私自身の最優先事項の一つは、政府のサイバーレジリエンスを促進し、政府全体でこの戦略の実施を推進することです。
I look forward to working with the Prime Minister and my Ministerial colleagues, who I know are very supportive of this agenda.	私は、この課題に非常に協力的な首相や同僚の閣僚たちと一緒に仕事ができることを楽しみにしています。
Technical experts are also, of course, crucial to building ‘secure by design’ government infrastructure. But we also need sufficient skills and knowledge beyond the specialised technical roles, alongside the ‘softer skills’ they will need for management roles later in their careers.	もちろん、技術的な専門家も、"デザインによる安全性 "を備えた政府インフラの構築には欠かせません。しかし、専門的な技術的役割を果たすだけでなく、キャリアの後半で管理職に就くために必要となる "ソフトスキル "も含め、十分なスキルと知識が必要です。
From 2022, we will have 130 cyber apprentices across 21 government departments, and we are going to carry on building on this great foundation.	2022年には、21の政府機関で130名のサイバー実習生を採用する予定で、この素晴らしい基盤をさらに強化していきます。
And the new Cyber Fast Stream will begin to produce leaders as part of the Autumn 2022 cohort – a generation with the technical expertise to bring the Cyber Strategy off the printed page and into practice.	また、新しいサイバーファーストストリームでは、2022年秋の卒業生からリーダーを輩出する予定です。
Even so, there is much more to do.	とはいえ、やるべきことはまだたくさんあります。
Because government cannot address the skills challenge alone.	なぜなら、政府だけではスキルの課題に対処できないからです。
As I set out in the National Cyber Strategy, we will need a whole-of-society approach to equip Britain with the skills it needs to prosper in a digital age.	国家サイバー戦略で述べたように、英国がデジタル時代に繁栄するために必要なスキルを身につけるには、社会全体のアプローチが必要です。
This afternoon I’m off to Ada, the National College for Digital Skills, to see the fantastic work they are doing to equip young people – I’m having a go myself – with Computer Science and STEM skills and expertise.	今日の午後、私はAda（National College for Digital Skills）に行って、若い人たちにコンピュータサイエンスやSTEMのスキルや専門知識を身につけさせるために行っている素晴らしい活動を見学してきます（私もやってみます）。
The kind of expertise running throughout society that will turn this vision into reality not just for the government but Britain – making us a Cyber Power at the forefront of the digital age.	社会全体に通じる専門知識は、政府だけでなく英国にとっても、このビジョンを現実のものとし、デジタル時代の最先端を行くサイバーパワーとなるでしょう。
Conclusion	まとめ
Everyone who is involved in the cyber security sector can be proud of the progress made so far.	サイバーセキュリティ分野に携わるすべての人は、これまでの進歩を誇りに思うことができます。
But to meet the threats we face in the coming decade we must build on our success and intensify our approach to cyber security.	しかし、今後10年間に直面する脅威に対応するためには、これまでの成功を基に、サイバーセキュリティへの取り組みを強化する必要があります。
The Government Cyber Security Strategy is the foundation of that effort.	政府サイバーセキュリティ戦略は、その取り組みの基礎となるものです。
A stronger, better-defended government sits at the very heart of the UK as a cyber power – leading the work to deter and disrupt the activities of those who wish to do us harm.	より強力で防御力の高い政府は、サイバーパワーとしての英国の中心に位置し、私たちに危害を加えようとする者の活動を抑止し、混乱させるための活動を主導しています。
Today marks another important step in our journey to creating a cyber resilient public sector.	本日は、サイバー攻撃に強い公共部門の構築に向けた重要な一歩となりました。
There is now a huge task ahead of us.	現在、私たちの前には大きな課題があります。
But having laid the framework for success through the strategy. I look forward to taking this challenge forward with all of you.	しかし、戦略を通じて成功のための枠組みを築いてきました。皆さんと一緒にこの課題に取り組んでいきたいと思います。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

5年毎に作る国家セキュリティ戦略です。（主要国の国家サイバー戦略も記載しています。。。）

・2021.12.17 英国 国家サイバー戦略