The UK Cyber Security and Resilience Bill: A Practitioner's Guide to Legislative Reform, Compliance, and Organisational Readiness

2025 年 11 月に提出された英国のサイバーセキュリティ強靭性法（NIS 法案）について、その拡大された規制範囲や強化された報告・執行体制を解説し、EU 指令との比較、ゼロトラストアーキテクチャの活用、および各セクター向けの具体的なコンプライアンス・ロードマップを提供する実務家向けガイドを要約した論文です。

要約

この論文は、イギリスで新しく作られる予定の**「サイバーセキュリティと回復力（レジリエンス）法案」**という、とても重要なルールブックについて解説したものです。

専門用語が多くて難しそうに聞こえますが、実は**「イギリスのデジタル社会を守るための、新しい『防犯ルール』と『消防訓練』の強化」**と考えると、とても身近な話になります。

Jonathan Shelby 氏（オックスフォード大学）が書いたこの論文を、一般の人にもわかるように、いくつかの比喩を使って簡単に説明しますね。

---

🏰 1. なぜ今、新しいルールが必要なの？（背景）

イギリスのサイバーセキュリティの現状は、**「古い城壁」のような状態でした。
2018 年からのルール（NIS 規制）は、病院や電力会社など「重要な施設」だけを守っていましたが、「その施設を管理している外部の業者（MSP）」や「データセンター」**が守られていませんでした。

• 比喩： 銀行の金庫（重要な施設）は頑丈な鍵で守られていても、**金庫の鍵を預かっている鍵屋（外部業者）**が泥棒に襲われたら、銀行も無防備になってしまいます。
• 現実： 過去に、医療システムや政府機関を管理する企業がハッキングされ、国全体がパニックになった事件が何度もありました。これでは「城壁」が穴だらけのままです。

そこで、2025 年 11 月に提出されたこの新しい法案は、**「鍵屋も、データセンターも、すべて守る対象にする」**という大改革です。

🚨 2. 何が新しくなるの？（3 つの大きな変化）

この法案には、3 つの大きな「新しいルール」があります。

① 「守る対象」が大幅に増える

• 新しいルール： 以前は対象外だった「IT 管理会社（MSP）」や「データセンター」、そして「重要なサプライヤー（部品メーカーなど）」も、守る対象（規制対象）に入ります。
• 比喩： 以前は「銀行本館」だけを守っていましたが、今後は**「銀行の鍵屋」「金庫の製造工場」「運送会社」**まで、すべて「重要施設」の仲間入りをして、厳重な管理を受けることになります。

② 「火事」の報告がもっと速く、厳しくなる

• 新しいルール：
  • 24 時間以内： 「何か変なことが起きました！」とすぐに報告（初期報告）。
  • 72 時間以内： 「何が起きたか、誰が被害に遭ったか」を詳しく報告（詳細報告）。
  • 顧客への通知： 被害を受けたお客様にもすぐに知らせる義務があります。
• 比喩： 以前は「火事を見つけてから、後でゆっくり報告していいよ」でしたが、今は**「火の粉が飛んだ瞬間に消防署に電話し、3 日以内に火元の詳細を報告し、近隣住民にも知らせる」**という、非常にスピーディーで透明性の高いルールになります。

③ 「違反したら大ピンチ」になる（罰則強化）

• 新しいルール： ルールを破ったり、報告を怠ったりすると、**最大で「1700 万ポンド（約 32 億円）」または「世界の売上の 4%」**のどちらか高い方が罰金になります。
• 比喩： 以前は「少し注意する程度」でしたが、今は**「ルール違反したら、会社の存続に関わるほどの巨額の罰金」**を科されます。これにより、経営者が本気でセキュリティ対策をするようになります。

🛡️ 3. 企業はどうすればいいの？（具体的な対策）

この新しいルールに対応するために、企業には 2 つの重要な「武器」が推奨されています。

武器 A：「ゼロトラスト（Zero Trust）」という考え方

• 説明： 「誰だって信用しない、常に確認する」という考え方です。
• 比喩： 以前は「オフィスに入れば誰でも信頼できる（内側は安全）」という考えでしたが、**「オフィスに入っても、誰が誰だか分からないので、常にパスポート（認証）を見せ、必要な場所しか行けないようにする」**というスタイルです。
• メリット： 仮に鍵屋（サプライヤー）がハッキングされても、その鍵屋がオフィス内の「別の部屋」には入れないので、被害が広がらない（爆発半径を小さくする）ことができます。

武器 B：「CAF（サイバー評価フレームワーク）」というチェックリスト

• 説明： 政府が作った「セキュリティの健康診断表」です。
• 比喩： 企業が「自分たちのセキュリティはどれくらい大丈夫か？」を自分でチェックし、**「A（合格）」から「C（不合格）」**まで評価するテストです。このテストで良い点を取れるように準備することが、法律を守る近道です。

🌍 4. EU のルールとの関係（二重のルール？）

イギリスは EU を離脱しましたが、EU にも「NIS2」という似たようなルールがあります。

• 金融機関の場合： EU でビジネスをするイギリスの銀行などは、「イギリスの新しいルール」と「EU のルール」の両方を守る必要があります。
• 解決策： 「どちらか厳しい方のルール」を基準にすれば、両方クリアできるという「賢い方法」が提案されています。

📝 まとめ：この論文が伝えたいこと

この論文は、CISO（情報セキュリティ責任者）や経営者に向けて、以下のように伝えています。

1. 待ってはいけない： 新しい法律が正式に決まるのを待たずに、今すぐ準備を始めるべきです。
2. サプライチェーンを見直せ： 自分たちだけでなく、**「取引先のセキュリティ」**も自分の責任の一部だと考えなさい。
3. 経営層の関与が必須： セキュリティは IT 担当者の問題ではなく、**「社長や取締役が本気で取り組むべき経営課題」**です。
4. テストと訓練： 火事が起きた時の「避難訓練」を、実際にやっておきなさい。

一言で言うと：
「イギリスのデジタル社会は、**『鍵屋も守る』『火事報告は即座に』『違反したら大罰金』**という、より強くて賢いルールで守られることになります。企業は『ゼロトラスト』という新しい防犯思想と、『CAF』という健康診断を使って、これに備えなさい」というメッセージです。

技術概要

1. 問題提起 (Problem)

英国は、2025 年 9 月までの 1 年間に 204 件もの国家的に重要なサイバーインシデント（前年同期の 89 件から 2 倍以上）を経験し、年間約 150 億ポンドの経済的損失を被っています。この脅威の増大に対し、既存の法的枠組みである「2018 年ネットワーク・情報システム規制（NIS 規制）」には以下の重大な限界が存在しました。

• 範囲の不足: 管理サービスプロバイダ（MSP）、データセンター、および重要なサプライヤーが規制対象外であり、これらが侵害された場合の連鎖的被害（カスケード効果）を防ぐ仕組みが欠けていた（例：Advanced Computer Software 社や Capita 社への攻撃）。
• 報告体制の不備: 重大なインシデントの報告率が低く、政府が国の脅威状況を正確に把握できていなかった。
• 立法の硬直性: 欧州共同体法（1972 年）に基づいて制定されたため、政府が迅速に規制を更新する権限を欠いていた。

これらを背景に、2025 年 11 月に提出された「サイバーセキュリティおよびレジリエンス（ネットワーク・情報システム）法案（CS&R ビル）」が、英国のサイバーセキュリティ法制における 10 年ぶりの大規模な改革として位置づけられています。

2. 手法・アプローチ (Methodology)

本論文は、実務家（CISO、コンプライアンス責任者、取締役など）向けに、以下の手法で法案を分析し、遵守への道筋を示しています。

• 法的・政策的分析: 法案の条文、罰則規定、大臣の権限、および EU の NIS2 指令や DORA（デジタル・オペレーショナル・レジリエンス法）との比較分析。
• 技術的フレームワークの適用: 規制要件を満たすための技術的基盤として「ゼロトラストアーキテクチャ（ZTA）」の原則を提案し、それを NCSC の「サイバー評価フレームワーク（CAF）v4.0」とマッピングしています。
• ケーススタディ分析: 過去の主要なインシデント（Advanced/NHS、Capita、M&S、JLR）を法案の条項に照らし合わせ、既存規制とのギャップと法案による改善点を検証しました。
• 実務ガイドラインの策定: 規制対象エンティティ（OES、RMSP、DCS）および業界（金融、エネルギー、医療）ごとに、具体的な実装ロードマップ、ギャップ分析ツール、およびチェックリストを提供しています。

3. 主要な貢献 (Key Contributions)

本論文の主な技術的・実務的貢献は以下の通りです。

A. 規制範囲の拡大と新たな対象者の定義

法案により、以下の 3 つの新しいカテゴリが規制対象となりました。

1. 関連管理サービスプロバイダ（RMSP）: 50 人以上または売上 1000 万ポンド超の企業で、他社に IT 管理サービスを提供する事業者（ICO が監督）。
2. データセンター: 重要国家インフラとして指定され、規制対象に。
3. 指定重要サプライヤー（DCS）: 重要サービスを提供する事業者（OES）にとって不可欠なサプライヤー。インシデントが OES に重大な影響を与える場合、直接規制対象となります。

B. 強化されたインシデント報告体制

柔軟な 72 時間報告から、厳格な 2 段階報告へ変更されます。

• 24 時間以内: 初期通知（早期警告）。
• 72 時間以内: 包括的な詳細報告。
• 同時通知: 規制当局と NCSC へ同時に情報を提供。
• 定義の拡大: 既に被害が出た場合だけでなく、「重大な影響を与える可能性のある事象」（ランサムウェア感染中や、攻撃者の潜伏期間など）も報告対象となります。

C. 強化された執行体制と罰則

• 罰則の引き上げ: 重大な違反で「1700 万ポンドまたは世界売上の 4%（いずれか高い方）」。軽微な違反でも 1000 万ポンドまたは 2%。
• 継続的不遵守: 是正命令への対応失敗に対し、1 日あたり 10 万ポンドの罰金。
• 大臣の権限: 国家安全保障上の脅威に対し、規制当局や事業者に特定の措置を指示する緊急権限を付与。

D. 技術的コンプライアンス基盤の提案

• ゼロトラスト（ZTA）の統合: 「常に検証し、決して信頼しない」という ZTA の原則（継続的認証、マイクロセグメンテーション、最小権限）が、法案の要件（サプライチェーンリスク管理、インシデント検知、レジリエンス）を直接満たす基盤であると論証。
• CAF v4.0 との連携: NCSC の評価フレームワーク v4.0 を遵守の「保証の背骨」として位置づけ、4 つの目的（リスク管理、攻撃防御、検知、影響最小化）と 14 の原則に基づく具体的な評価指標を提供。

E. 金融機関向けデュアル・コンプライアンス・フレームワーク

EU の DORA と英国の CS&R ビルの両方に準拠する必要がある金融機関に対し、「高い基準をベースラインとする」アプローチを提案。DORA の要件（取締役の責任、脅威主導のペネトレーションテストなど）を英国事業全体に適用することで、両規制への同時対応を可能にする 4 層のモデルを提示しました。

4. 結果 (Results)

• ギャップ分析ツールの提供: 組織が自社のレジリエンスを評価し、優先順位をつけて是正計画を立てるための詳細なチェックリスト（Appendix D）とスコアリング指標を提供。
• 業界別アクションプラン: 金融、エネルギー、医療、MSP 各セクター固有の課題（例：エネルギー分野の OT/IT セグメンテーション、医療分野の患者データとインシデント通知の統合）に対する具体的な対応策を提示。
• 実装ロードマップの確立: 王室裁可（Royal Assent）後の 0〜6 ヶ月、6〜18 ヶ月、18 ヶ月超の各フェーズにおける具体的なタスク（ガバナンス確立、技術制御の導入、テストなど）を定義。

5. 意義 (Significance)

本論文は、単なる法的解説を超え、英国の重要インフラ保護のための実用的なブループリントを提供する点に意義があります。

1. 予防的アプローチの促進: 法案が成立する前に組織が準備を進めるよう促し、インシデント発生後の対応から、事前のレジリエンス構築へパラダイムシフトを促します。
2. サプライチェーンセキュリティの再定義: MSP や DCS を直接規制対象とすることで、従来の「境界防御」から「サプライチェーン全体でのリスク管理」へとセキュリティ戦略の転換を強制します。
3. 国際的な調和と英国独自性のバランス: EU の NIS2 や DORA との整合性を保ちつつ、英国の文脈に合わせた執行体制（12 の規制当局モデル）や、取締役の法的責任のあり方（現行法案では明示されていないが、自主的導入を推奨）について実務的な示唆を与えています。
4. 技術とガバナンスの統合: 技術的な対策（ゼロトラスト）とガバナンス（CAF、取締役の責任）を密接に結びつけることで、組織全体としてのサイバーレジリエンス向上を可能にする包括的な枠組みを提示しています。

結論として、本論文は英国のサイバーセキュリティ法制の近代化を解説し、組織が新しい規制環境下でコンプライアンスを達成し、レジリエンスを強化するための不可欠なガイドラインとなっています。