英国は2023年12月14日、データセンターのサイバーセキュリティ、レジリエンス／復元力強化のために、新たに最低基準を設ける計画を発表した。計画は、火災や気象災害、物理的攻撃、サイバー攻撃からデータ・ストレージを保護するための措置を含み、セキュリティと復元力の基本要件を義務付ける新たな法的枠組みの構築を提案している。科学技術省は2024年2月22日まで業界関係者からの意見募集を行っている^[1]。

コンサルテーション文書において政府は、新たな対策は、データセンターに対する敵対行為や自然災害により機能停止のリスクが想定され、その広範囲なダメージを回避するために必要であると説明している。また、データセンター施設の最低限の安全基準を実施するための規制制度が不完全であることも認めた。政府は「データセンター部門は国家的に重要である一方、セキュリティと復元力に対する監視体制が十分でなく、リスクの範囲とその潜在的な影響に鑑みて、予防的意味から政府の行動と介入を検討することもありうる」としている。

データインフラが重要な役割を担っており、公共部門を含む多くの組織が、サービスを提供するためにデータの保存と処理に依存している。また、大量のデータがデータセンターに集中し、データセンターを通じて送信されていることから、これがさまざまな悪意ある行為者にとって魅力的な標的となっている。

計画の背景

今回の取り組みは、サービスの継続性やデータへのアクセスを中断または危険にさらす可能性のあるサイバー攻撃、物理的脅威、自然現象からデータインフラを保護することを目的としている。検討される要件は包括的で、施設やシステムの体系的管理、物理的・環境的セキュリティ、サービス継続性、インシデント管理、人的資源、監視・テストなどをカバーしている。

さらに、「業界全体の情報共有が不十分（poor）」であることで、セクターに対するリスクの特定や適切な対処を妨げていると指摘している。そのため政府は、業界と政府の自主的な協力関係を改善するためにどのような方式が適当か意見を求めている。

データセンターに重要国家インフラの指定

現在検討中の提案のなかでも焦点となるのは、データセンター部門の要素を重要国家インフラ（Critical National Infrastructure：CNI）に指定するかどうかである。

重要国家インフラのシステムを管理する事業体は、英国の「国家安全保障、防衛、国家機能」にとって不可欠とみなされる。このような事業体は、指定された同インフラを主導する政府省庁から、より高度な支援と監視を受け、当該セクターの特性とリスクに合わせた特定の法律、政策、ガイダンスの対象となっている。

一方、サードパーティでも重要インフラをサポートする一部のデータインフラ事業者は既に特定の要件に従っているが^[2]、サードパーティのデータセンターのセキュリティは現在直接には規制されていない。実態から見ると、重要インフラとして新たにサードパーティデータセンターが規制対象に加わり、従来重要インフラのシステムを管理していた事業体とともに、政府の指定を受けて強化されたセキュリティ基準を義務付けられることになるかどうかが検討されることになる。

政府は、提案された規則を監督・執行する規制機関の任命を検討中であり、これを新たな機関として創設するか既存の機関に任せるかを決定していない。さらに、規制枠組みを将来的に他の関連データインフラ、例えばデータセンターのサプライチェーンの要素も含めるよう拡大する可能性も視野に入れている。コンサルテーションでは、クラウドサービスやマネージドサービスもセキュリティおよび復元力を対象とする規制枠組みに含めるかどうかが検討される。

セキュリティ、復元力対策、基準

データセンターは、そのサービスのセキュリティと復元力に対するリスクを管理するために、適切な技術的・組織的対策を講じることが求められる。対策は施設、ネットワーク、システムの物理的セキュリティおよびサイバーセキュリティにわたり、その設計は1）データセンターが中断することなく高い信頼性をもって利用可能である、2）データの機密性、完全性、可用性が守られる――ことが原則となる。

さらに政府は、データセンターに対し、重要なインシデントの報告を義務付け、今後予定されているネットワーク情報セキュリティ規則（the Network and Information Systems Regulations 2018[3]）に沿って、サービスの継続性に影響を与えないインシデント（ランサムウェア攻撃など）の報告も義務付ける。政府は、インシデントの通知期限を決定していないが、「重要インフラに関する他の同様の枠組みに見られる義務」に従うと言及している。例えば、ネットワーク情報セキュリティ規則では、72時間以内にセキュリティ・インシデントを報告することが義務付けられている。提案では、指定規制当局が将来のガイダンスで詳細なしきい値を指定することが示唆されており、今後セクターあるいはインシデント累計に応じた期限が設けられることも考えられる。

提案中のセキュリティ対策は、設備、アクセス管理、サービス復元力、インシデント管理、人員、監視、サプライチェーンなどの要素にわたっている。

セキュリティとレジリエンス／復元力の要件への準拠を証明するために基準を設けることも可能だが、遵守は任意としている。

また、指定規制当局に枠組みを作らせ、管轄する特定分野において基準を分類、保証のレベルに基づいてランク付けするなどの方法もある。この枠組みには、第三者による試験や検査も含めることができるとしている。基準を適用するデータセンター・プロバイダーは、指定規制当局から合致している旨について確認を得ることができる。

今回の政府提案は、詳細の具体化で多くの議論が必要になると予想される。データインフラのセキュリティに関しては、日本でも総務省、経産省、内閣府などで議論が進んでおり、データセンターなどにおけるリスク管理、保安体制についての細目、また省庁間連携枠組みについての認識はおおむね共通すると考えられる。英国で法制化が目指されるとすれば、興味を引く問題は、例えばここで言及されている情報共有のルールに（ガイドライン以上などの形で）いかにして実効性を持たせるかという点だろう。日本でもサイバー攻撃被害に係る情報の共有・公表に関して[4]は、その在り方に頭を悩ませている。