# 英国、業界圧力の中で通信サイバーセキュリティ保護を弱体化 英国は、当初「Salt Typhoon」諜報活動キャンペーンへの直接的な対応として考案された、通信ネットワークに対する重要なサイバーセキュリティ保護を弱体化したと報じられています。Recorded Future Newsがレビューした文書によると、この後退は、通信会社がコストと実用性の懸念を理由に提案された要件に反対してロビー活動を行った後に実施されました。 英国政府も通信業界も、中国関連の「Salt Typhoon」キャンペーンによる英国ネットワーク内の侵害を認めていませんが、**National Cyber Security Centre (NCSC)** は以前、中国のハッカーが世界的に「重要セクターの組織を標的とし」、「英国で活動のクラスターが観測された」と述べていました。 ## 国家安全保障におけるより広範な緊張 この決定は、西側の安全保障・諜報当局者が説明する、繰り返される緊張関係を浮き彫りにしています。それは、国家が支援するハッカーに対して政府の支援を求める産業界が、効果的な防衛に必要なアクセスと義務には抵抗するというものです。NATO同盟国の高官は、大手通信会社が中国のハッカーとされるものに対する支援を求めたにもかかわらず、支援機関へのネットワークアクセスを拒否したシナリオを語りました。 歴史的には、このような状況ではありませんでした。「**NCSC**」の創設者である**Ciaran Martin**氏は、通信セキュリティフレームワークが最初に開発されたとき、業界幹部は規制を積極的に求め、それを株主へのセキュリティ投資を正当化するための法的義務と見なしていたと指摘しています。 ## 新規制の起源 現在弱体化されているサイバーセキュリティ対策は、昨年8月に**Department for Science, Innovation and Technology (DSIT)** によって最初に提案されました。これらは、通信事業者がネットワークをどのように保護しなければならないかを規定する、更新された行動規範の協議の一部を形成しました。この取り組みは、「Salt Typhoon」事件後に明らかになった、米国通信ネットワークに対する国家関連攻撃への対応として開始されました。 **BT**、**VMO2**、**VodafoneThree**、**Sky**、**Ericsson**、**Amazon Web Services**を含む企業が協議に応じました。「TechUK」という業界団体が共同提出を調整しました。「TechUK」は、フレームワークが「適切、比例的、かつ技術的に実行可能」であると主張し、行動規範の開発に積極的に関与したと述べましたが、出版時点ではどの企業も声明を発表していませんでした。 政府が先週、協議への回答を発表した際、最も重要な対策の多くは削除または延期されました。これらの後退はこれまで報告されていませんでしたが、議会によって反対されない限り、7月中旬に発効する予定です。 この行動規範は「**Telecommunications (Security) Act 2021**」に基づいて発行されており、事業者に適切かつ比例的なセキュリティ対策の実施を義務付けています。直接的な法律ではなくガイダンスですが、「**Bratby Law**」のマネージングパートナーである**Rob Bratby**氏は、それが重要な「基準」として機能すると説明しています。彼は、正当な理由なく逸脱した場合、売上高の最大10パーセントの罰金につながる可能性があると指摘しています。 ## 廃止または延期された主要な保護措置 いくつかの重要な保護措置が廃止または延期されました。 * **独立したシグナリング侵入検知システム:** ネットワーク事業者が、バイパスされた制御を監視するために、別のシステム（理想的には異なるベンダー製）を導入することを義務付ける要件が削除されました。これらのシステムは、「Salt Typhoon」キャンペーンの特徴であるデータ吸い上げ方法を検出するように設計されており、80カ国以上に影響を与えました。 * **信頼できない着信シグナリング:** 通信会社が着信シグナリングをデフォルトで信頼できないものとして扱うことを義務付ける要件も削除されました。攻撃者は、他のネットワークからのメッセージを信頼できると想定する通信プロトコルを頻繁に悪用します。 * **月次ネットワーク機器再起動:** 洗練されたメモリオンリーマルウェアを消去するために設計された、ネットワーク機器を月次で再起動する要件は、事業者が実行不可能と判断しました。改訂された規則では、再起動は「可能な場合」にのみ推奨されています。 * **サービスアカウントセキュリティ:** 政府が「侵害の主要な標的」として特定した、広範なアクセス権を持つ自動化されたバックグラウンドアカウントであるサービスアカウントを保護する要件は、2028年末から2029年末に延期されました。 * **脆弱性マッピングと防御テスト:** 事業者に脆弱性をマッピングし、防御をテストし、外部とのシステム通信を文書化することを要求する措置も同様に延期されました。 「**Ofcom**」の2025年12月のセキュリティレポートは、英国の大手プロバイダーの一部が、サービスアカウントセキュリティを含むIDおよびアクセス管理対策の既存の期限を逃す可能性が高いことをすでに示していました。「**Rob Bratby**」は、サービスアカウントの遅延について懸念を表明し、政府自身の脅威評価と整合させるのが難しいと述べました。「サービスアカウントは、まさに有能な攻撃者が入り込みたい場所であり、政府もその回答でそれを認めています。」 ## 一方的な比例性計算 Recorded Future Newsへの回答で、「**DSIT**」の広報担当者は、「英国はすでに世界で最も強力な通信セキュリティフレームワークの1つを持っています。私たちは「**NCSC**」と緊密に協力し、業界のフィードバックが考慮されるようにしました。変化するセキュリティ脅威、そしてこれらの新しいガイダンス措置を実施するコストと実用性と並行して。」と述べました。 しかし、各後退に対する比例性評価は一貫してパターンに従っていました。措置が提案され、事業者がそのコストまたは実用性に反対し、その措置がその後削除、緩和、または延期されました。重要なことに、公表された評価のいずれも、英国の通信インフラへの敵対国家による侵入が成功した場合の潜在的なコストを考慮していませんでした。 英国の大手プロバイダー7社が追加調査で機密のコスト見積もりを提出しましたが、これらは公表されていません。「**Rob Bratby**」は、政府の法的基準ではより包括的な会計が必要だと主張しました。「産業界へのコンプライアンスコストのみを算出し、インシデントが国に与えるコストを考慮しない比例性評価は、それ自体では不完全です。」 現在オックスフォード大学「**Blavatnik School of Government**」の教授である「**Ciaran Martin**」は、「これらの措置を、起こりうる国家安全保障上の損害のコストに対して評価するはずです。そうでなければ、何を測定しているのですか？」と、これらの懸念を繰り返しました。 政府は以前、他の法律に対してそのような評価を公表していましたが（「**Cyber Security and Resilience Bill**」を支援するために、サイバー攻撃が英国経済に年間147億ポンド（197億ドル）のコストをもたらすと推定）、通信セクターに対して同等の分析は行われませんでした。 「**NCSC**」の最高技術責任者である「**Ollie Whitehouse**」は、2025年6月のブログ投稿でこれを体系的な問題として特定していました。彼は、サイバーセキュリティ投資の決定は、これらのコストが初期投資を行う企業ではなく、顧客や一般の人々が負担するため、下流のコストを過小評価することが多いと主張しました。「サイバーセキュリティへの投資不足のコストは、最終的にはベンダーではなく、顧客、保険会社、政府、そしてより広い社会によって負担されます」と彼は書きました。 一部の後退は、業界が代替のコンプライアンス方法を示した通常の協議プロセスとして説明できるかもしれませんが、変更の規模と包括的な費用便益分析の欠如は、洗練された国家が支援するサイバー脅威に対する英国の準備状況について重大な懸念を引き起こしています。