英国は2023年12月14日、データセンターのサイバーセキュリティ、レジリエンス／復元力強化のために、新たに最低基準を設ける計画を発表した。計画は、火災や気象災害、物理的攻撃、サイバー攻撃からデータ・ストレージを保護するための措置を含み、セキュリティと復元力の基本要件を義務付ける新たな法的枠組みの構築を提案している。科学技術省は2024年2月22日まで業界関係者からの意見募集を行っている^[1]。

コンサルテーション文書において政府は、新たな対策は、データセンターに対する敵対行為や自然災害により機能停止のリスクが想定され、その広範囲なダメージを回避するために必要であると説明している。また、データセンター施設の最低限の安全基準を実施するための規制制度が不完全であることも認めた。政府は「データセンター部門は国家的に重要である一方、セキュリティと復元力に対する監視体制が十分でなく、リスクの範囲とその潜在的な影響に鑑みて、予防的意味から政府の行動と介入を検討することもありうる」としている。

データインフラが重要な役割を担っており、公共部門を含む多くの組織が、サービスを提供するためにデータの保存と処理に依存している。また、大量のデータがデータセンターに集中し、データセンターを通じて送信されていることから、これがさまざまな悪意ある行為者にとって魅力的な標的となっている。

計画の背景

今回の取り組みは、サービスの継続性やデータへのアクセスを中断または危険にさらす可能性のあるサイバー攻撃、物理的脅威、自然現象からデータインフラを保護することを目的としている。検討される要件は包括的で、施設やシステムの体系的管理、物理的・環境的セキュリティ、サービス継続性、インシデント管理、人的資源、監視・テストなどをカバーしている。

さらに、「業界全体の情報共有が不十分（poor）」であることで、セクターに対するリスクの特定や適切な対処を妨げていると指摘している。そのため政府は、業界と政府の自主的な協力関係を改善するためにどのような方式が適当か意見を求めている。

データセンターに重要国家インフラの指定

現在検討中の提案のなかでも焦点となるのは、データセンター部門の要素を重要国家インフラ（Critical National Infrastructure：CNI）に指定するかどうかである。

重要国家インフラのシステムを管理する事業体は、英国の「国家安全保障、防衛、国家機能」にとって不可欠とみなされる。このような事業体は、指定された同インフラを主導する政府省庁から、より高度な支援と監視を受け、当該セクターの特性とリスクに合わせた特定の法律、政策、ガイダンスの対象となっている。

一方、サードパーティでも重要インフラをサポートする一部のデータインフラ事業者は既に特定の要件に従っているが^[2]、サードパーティのデータセンターのセキュリティは現在直接には規制されていない。実態から見ると、重要インフラとして新たにサードパーティデータセンターが規制対象に加わり、従来重要インフラのシステムを管理していた事業体とともに、政府の指定を受けて強化されたセキュリティ基準を義務付けられることになるかどうかが検討されることになる。

政府は、提案された規則を監督・執行する規制機関の任命を検討中であり、これを新たな機関として創設するか既存の機関に任せるかを決定していない。さらに、規制枠組みを将来的に他の関連データインフラ、例えばデータセンターのサプライチェーンの要素も含めるよう拡大する可能性も視野に入れている。コンサルテーションでは、クラウドサービスやマネージドサービスもセキュリティおよび復元力を対象とする規制枠組みに含めるかどうかが検討される。

※この記事は会員サービス「InfoCom T&S」より一部抜粋して公開しているものです。