英国 NCSC Annual Review 2024 国家サイバーセキュリティセンター2024年報告書 影響の大きなインシデントが昨年より3倍も増加したようです...
こんにちは、丸山満彦です。
英国のサイバーセキュリティセンターが年次報告書を公表していますね...8年目です...
影響の大きなインシデントが昨年より3倍も増加したようです...
● NCSC
・2024.12.03 NCSC Annual Review 2024
| NCSC Annual Review 2024 | NCSC年次レビュー2024 |
| Overview | 概要 |
| Chapter 01: Countering the cyber threat | 第1章:サイバー脅威への対応 |
| Chapter 02: Building the UK’s cyber resilience | 第2章:英国のサイバーレジリエンス構築 |
| Chapter 03: Developing the UK's cyber ecosystem | 第3章:英国のサイバーエコシステム発展 |
| Chapter 04: Keeping pace with evolving technology | 第4章:進化する技術への対応 |
・[PDF]
目次的...
CEOのスピーチ...
・2024.12.03 NCSC CEO’s speech to mark the launch of the NCSC Annual Review 2024
| NCSC CEO’s speech to mark the launch of the NCSC Annual Review 2024 | NCSC年次レビュー2024発刊記念NCSC最高経営責任者(CEO)スピーチ |
| NCSC CEO Dr Richard Horne announces the launch of the eighth Annual Review | NCSC最高経営責任者(CEO)リチャード・ホーン博士による第8回年次レビュー発刊の発表 |
| Good morning and welcome to the launch of the NCSC’s eighth Annual Review. | おはようございます。NCSC第8回年次レビュー発表会へようこそ。 |
| I am thrilled to see you here this morning. | 本日朝、皆様にお会いできて大変嬉しく思います。 |
| This is the first Annual Review that I have the pleasure of launching and I would like to start by thanking Felicity, who led the organisation as interim CEO through a large part of what’s been a really busy year before I stepped into my role. | 今回が私が発表する初めての年次レビューとなります。まず最初に、私がCEOに就任する前の非常に多忙な時期の大半において、暫定CEOとして組織を率いてくれたフェリシティに感謝の意を表したいと思います。 |
| Our mission remains the same today as it was when the NCSC was stood up all those years ago: to make the UK the safest place to live and work online. | NCSCが設立された当時から変わらぬ私たちの使命は、英国をオンライン上で生活し働く最も安全な場所とすることです。 |
| What is different is the scale of the challenge in fulfilling that mission. | 異なるのは、その使命を果たす上での課題の規模です。 |
| The contest | 対抗戦 |
| I believe I have joined the NCSC at an inflection point which calls for sober reflection. | 私はNCSCが転換点に立つこのタイミングで加わったと確信しており、冷静な考察が求められています。 |
| Because we find ourselves now in a contest for cyberspace. | なぜなら私たちは今、サイバー空間をめぐる対抗戦に直面しているからです。 |
| It’s a contest between those of us who are using technology to conduct and improve our lives and prosperity and those people who seek to use our digital dependency against us. | これは、技術を活用して生活と繁栄を営み向上させる我々と、我々のデジタル依存を逆手に取ろうとする者たちとの対決です。 |
| The UK has one of the world’s most advanced digital economies. | 英国は世界で最も先進的なデジタル経済を擁しています。 |
| It is underpinned by online infrastructure which we all rely on to keep the lights on and the water running, to improve our public services, to keep businesses running, and to drive our growth and prosperity. | この基盤を支えるオンラインインフラは、公共サービスの向上、企業の継続的運営、成長と繁栄の推進、そして電気や水道といった生活の基盤を維持するために、我々全員が依存しているものです。 |
| But those critical systems and services make attractive targets for hostile states and malicious actors in cyberspace. | しかし、こうした重要システムやサービスは、敵対的な国家やサイバー空間の悪意ある者たちにとって魅力的な標的となっている。 |
| They are increasingly using our technology dependence against us, seeking to cause maximum disruption and destruction. | 彼らは私たちの技術依存を逆手に取り、最大限の混乱と破壊を引き起こそうとますます活発化している。 |
| In the past year, we have seen crippling attacks against institutions that have brought home the true price tag of cyber incidents. | 過去1年間、私たちはサイバーインシデントの真の代償を痛感させるような、機関に対する壊滅的な攻撃を目撃してきた。 |
| The attack against Synnovis showed us how dependent we are on technology for accessing our health services. And the attack against the British Library reminded us that we’re reliant on technology for our access to knowledge. | シンノビス社への攻撃は、医療サービスへのアクセスにおいて私たちがどれほど技術に依存しているかを示した。また大英図書館への攻撃は、知識へのアクセスが技術に依存していることを改めて認識させました。 |
| What these and other incidents show is how entwined technology is with our lives and that cyber attacks have human costs. | これらの事例が示すのは、技術がいかに私たちの生活と密接に絡み合っているか、そしてサイバー攻撃が人的被害をもたらすということです。 |
| Threat landscape | 脅威の現状 |
| In conjunction with this increased dependence comes a threat landscape that is diversifying at speed. | この依存度の高まりと並行して、脅威の様相は急速に多様化しています。 |
| Hostile activity in UK cyberspace has increased in frequency, sophistication and intensity. We can see this in the intelligence we can access through being part of GCHQ. | 英国サイバー空間における敵対的活動は、頻度・高度化・強度において増加している。これはGCHQの一員として入手可能な情報からも確認できる。 |
| State and criminal actors are using cyber capability against organisations across our society seeking to undermine us. | 国家・犯罪組織がサイバー能力を駆使し、社会全体の組織を標的にして我々を弱体化させようとしている。 |
| Last week, you will have heard the Chancellor of the Duchy of Lancaster warn about the aggression and recklessness of cyber activity we see coming from Russia. | 先週、ランカスター公領大臣がロシア発のサイバー活動の攻撃性と無謀さについて警告したことはご存知だろう。 |
| And with our partners – including at the National Protective Security Authority, otherwise known as the NPSA – we can see how cyber attacks are increasingly important to Russian actors, along with sabotage threats to physical security which both the Director General of MI5 and the Chief of SIS have spoken about recently. | また、国家保護保安庁(NPSA)を含むパートナー機関との連携により、ロシア関係者が物理的セキュリティへの妨害工作と並行してサイバー攻撃をますます重要視している実態が確認できる。この点についてはMI5長官とSIS長官が最近言及している。 |
| All the while, China remains a highly sophisticated cyber actor with increasing ambition to project its influence beyond its borders. | 一方、中国は高度に洗練されたサイバーアクターとして、国境を越えた影響力拡大への野心を強め続けています。 |
| Earlier in the autumn, authorities in the United States reported that China state-affiliated actors compromised US telecoms networks. | 今秋早々、米国当局は中国国家関連アクターによる米通信ネットワーク侵害を報告しました。 |
| Now, given the global interconnectivity in telecommunications, we at the NCSC judge that there is almost certainly a threat to UK data from opportunistic collection as a result. | 通信網のグローバルな相互接続性を考慮すると、NCSC(国家サイバーセキュリティセンター)は、この結果として英国データが機会主義的な収集の脅威にほぼ確実に晒されていると判断しています。 |
| And we assess that all sectors of UK society are under threat of data theft from this activity – not just traditional intelligence targets – given the low threshold for information being of value. | また、情報の価値を得るためのハードルが低いことを考慮すると、この活動によるデータ窃取の脅威は、従来の情報機関の標的だけでなく、英国社会のあらゆる分野に及んでいると評価しています。 |
| These examples illustrate some of the challenges we face and yet, despite all this, we believe the severity of the risk facing the UK is being widely underestimated. | これらの事例は我々が直面する課題の一端を示すが、それにもかかわらず、英国が直面するリスクの深刻さは広く過小評価されていると考える。 |
| There is no room for complacency about the severity of state-led threats or the volume of the threat posed by cyber criminals. | 国家主導の脅威の深刻さやサイバー犯罪者による脅威の規模について、慢心する余地はない。 |
| The defence and resilience of critical infrastructure, supply chains, the public sector, and our wider economy must improve. | 重要インフラ、サプライチェーン、公共部門、そして広範な経済の防衛とレジリエンスは強化されねばならない。 |
| What has struck me more forcefully than anything else since taking the helm at the NCSC is the clearly widening gap between, on the one hand, the threat and our exposure to it and, on the other, the defences that are in place to protect us. | NCSCの指揮を執って以来、何よりも強く感じるのは、脅威とその影響範囲と、我々を守るための防御体制との間に明らかに広がる格差である。 |
| And what is equally clear to me is that we all need to increase the pace we are working at to keep ahead of our adversaries. | そして同様に明白なのは、敵対者に先んじるため、我々全員が作業ペースを加速させる必要があるということだ。 |
| The problem | 問題点 |
| The NCSC, as the National Technical Authority, has been publishing advice, guidance and frameworks since our inception in a bid to drive up the cyber security of the UK. | NCSCは国家技術機関として、設立当初から英国のサイバーセキュリティ向上を目的とした助言、ガイダンス、フレームワークを公表してきました。 |
| The reality is that advice, that guidance, those frameworks need to be put into practice much more across the board. | 現実には、こうした助言やガイダンス、フレームワークが、より広範かつ実践的に適用される必要がある。 |
| We need all organisations – public and private – to see cyber security as both an essential foundation for their operations and a driver for growth, to view cyber security not just as a ‘necessary evil’ or compliance function but as a business investment, a catalyst for innovation and an integral part of achieving their purpose. | 公的機関・民間企業を問わず、全ての組織がサイバーセキュリティを「業務の基盤」かつ「成長の原動力」と捉え、単なる「必要悪」やコンプライアンス機能ではなく、事業投資・イノベーションの触媒・目的達成の不可欠な要素として認識することが求められる。 |
| The benefits that security can bring should be no surprise. | セキュリティがもたらす恩恵は言うまでもありません。 |
| Research from insurers shows organisations are 92% less likely to make a claim on their cyber insurance if they have implemented security controls outlined by Cyber Essentials, a government programme which has evolved since its launch ten years ago but which remains just as relevant today. | 保険会社の調査によれば、政府プログラム「サイバー・エッセンシャルズ」で定められたセキュリティ対策を実施している組織は、サイバー保険の請求発生率が92%低減します。このプログラムは10年前の開始以来進化を続けていますが、今日においても同様に重要な意義を持ち続けています。 |
| The way forward | 今後の道筋 |
| Together, we’re going to have to change how we do things. As our community innovates, it must also build the defences and through those defences our resilience. | 私たちは共に、物事の進め方を変えねばなりません。コミュニティが革新を進める一方で、防御体制を構築し、その防御を通じてレジリエンス(回復力)を育む必要があります。 |
| We have to make sure that technology is working for us as consumers, as users, as people; that the market for technology incentivises a ‘secure-by-design’ approach; that no-one treats security as a postscript. | 技術が消費者として、ユーザーとして、人間として私たちに役立っていること、技術市場が「設計段階からのセキュリティ」アプローチを促進していること、誰もセキュリティを後付けの付録扱いしないことを確実にする必要があります。 |
| Cyber security legislation and regulation, such as the new Cyber Security and Resilience Bill, are crucial steps towards hardening the UK’s cyber defences. | 新たな「サイバーセキュリティ・レジリエンス法案」のようなサイバーセキュリティ関連法規は、英国のサイバー防衛を強化する重要な一歩です。 |
| This will be an opportunity to broaden the scope of current regulations to protect more services and supply chains to put regulators on a stronger footing and to strengthen reporting requirements to build a better picture across government of cyber risk to the UK. | これは現行規制の範囲を拡大し、より多くのサービスとサプライチェーンを保護する機会となります。規制当局の基盤を強化し、報告要件を厳格化することで、政府全体における英国へのサイバーリスクの把握を改善するでしょう。 |
| Conclusion | 結論 |
| It’s not enough any more to talk about being resilient. | もはや「レジリエントであること」を語るだけでは不十分だ。 |
| We must all take the crucial steps that bolster our defences, that improve and grow our capability to contest. | 我々は皆、防御体制を強化し、対抗能力を向上・拡大させる決定的な措置を講じねばならない。 |
| And that includes the ability to continue and recover on the occasions that attacks do get through, and this is often overlooked. | これには、攻撃が突破した際の継続・復旧能力も含まれるが、この点は往々にして見過ごされがちだ。 |
| The NCSC has always believed that cyber security is a team sport – that is true now more than ever. | NCSCは常に、サイバーセキュリティはチームスポーツであると確信してきました。今こそその真価が問われています。 |
| We need to work together to protect each other and build a deep understanding of just how dependent we are on our teammates. | 私たちは互いを守り、チームメイトへの依存度を深く理解するために協力する必要があります。 |
| The rules haven’t changed but the field of play is evolving fast. | ルールは変わっていませんが、戦場は急速に進化しています。 |
| Together, we must act to safeguard all our interests and our prosperity. | 共に立ち上がり、全ての利益と繁栄を守るために行動しなければなりません。 |
| Thank you for joining us today. | 本日はご参加いただきありがとうございました。 |
2023年
・2023.11.14 NCSC Annual Review 2023
・[PDF]
2022年
・2022.11.01 NCSC Annual Review 2022
・[PDF]
2021年
・2021.11.17 (news) The NCSC Annual Review 2021 - a summary
・2021.11.17 (guidance) NCSC Annual Review 2021
Making the UK the safest place to live and work online
・[PDF]
2020年
・2020.11.03 (news) The NCSC Annual Review 2020
・・ (speach) Lindy Cameron on the NCSC's fourth Annual Review - The NCSC's new CEO introduces the Annual Review 2020.
・・[PDF] Annual Review 2020
・・[web] The Digital Annual Review 2020. <- お勧め
・2020.11.03 (news) NCSC defends UK from more than 700 cyber attacks while supporting national pandemic response
The NCSC's fourth Annual Review reveals its ongoing work against cyber attacks, support for the UK during the coronavirus pandemic.
2019年
・2019.10.23 (news) The NCSC Annual Review 2019
Developments and highlights from the last twelve months at the NCSC.
・・[PDF] Annual Review 2019
・・[web] The Digital Annual Review 2019
2018年
・2018.10.15 Annual Review 2018
The Annual Review 2018 - the story of the second year of operations at the National Cyber Security Centre.
・・[PDF] Annual Review 2018
・・[web] The Digital Annual Review 2018
2017年
・2017.10.02 The 2017 Annual Review
The 2017 Annual Review sets out the progress made within the first year of operations at the National Cyber Security Centre.
・・[PDF] 2017 Annual Review
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.11.16 英国 NCSC Annual Review 2023 国家サイバーセキュリティセンター2023年報告書 - 英国の重要インフラに対する永続的かつ重大な脅威を警告
(2022年は見逃していましたが、2023年にまとめて書いています...)
・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書
・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書
« 欧州評議会 AIシステムの人権への影響を評価する新しいツールを発表 (2024.12.02) | Main | 米国 Health ISAC 脅威インテリジェンスプラットフォーム (2024.12.03) とCISO向け特権管理ガイド (2024.11.26) »
Comments