世界ランキングと国家のサイバーセキュリティ準備状況

グローバル・サイバーセキュリティ・インデックス（GCI）2024によると、英国は「ロールモデル」カテゴリーであるTier 1に位置付けられており、スコアは満点の100点で、韓国と同水準です。日本は97.58点でこれに続きますが、今回は特に英国と韓国を比較対象として取り上げます。

一方、国家サイバーセキュリティ・インデックス（NCSI）ではより現実的な評価が行われています。英国は42位でスコアは75.00、デジタル開発レベル（DDL）は84.67です。韓国は英国とGCIスコアで首位を分け合っているものの、NCSIでは28位に位置し、スコアは83.33、DDLもわずかに高い85.82となっています。

GCIとNCSIのスコアの乖離は、評価の重点の違いを示しています。GCIが戦略的コミットメントや世界的なリーダーシップを重視するのに対し、NCSIは実践的な実装能力や国内のレジリエンスを評価しています。これは、英国がサイバーセキュリティ政策において世界的な模範である一方で、国内のシステム運用や機動性に関してはまだ改善の余地があることを示唆しています。

DDLスコアとNCSIスコアの差は、その国のデジタル先進性と、サイバー攻撃への対応準備状況との間に乖離がある可能性を示しています。英国の場合、DDLスコアがNCSIスコアを9.67ポイント上回っており、これはデジタルインフラが強固であるにもかかわらず、サイバーセキュリティ能力がそれに追いついていないことを意味します。

一方、韓国のDDLスコアもNCSIスコアを上回っていますが、その差はわずか2.49ポイントに留まっており、デジタル発展とサイバーセキュリティ対応能力のバランスがより取れている状態と言えます。

この結果は、サイバーセキュリティ戦略へのコミットメントと、その運用準備状況との間にある差異を浮き彫りにしています。英国は世界的な政策リーダーシップや国際協力においては優れているものの、国内レベルではインシデント対応能力、サービス保護体制、法的対応の柔軟性といった面で依然として課題を抱えています。

近年の英国で発生した注目すべきサイバーセキュリティ侵害事例

Cyber Pressの報道によると、英国国家サイバーセキュリティセンター（NCSC）の報告では、2024年9月から2025年8月までの間に、204件の国家的に重大なサイバー攻撃が確認されており、前年の89件から大幅に増加しました。

報告期間中にNCSCが調査したサイバーインシデントは約429件に上り、そのうち「極めて重大」と分類されたケースは18件で、これらの事例を検証すると、相互に関連するケースも含まれていました。

大規模な小売業者が標的にされた事例

2025年は英国でマークス&スペンサー、コープ、ハロッズなどの大手小売業者がサイバー攻撃の被害に遭ったとの報告が相次ぎました。これらの攻撃は2025年4月に集中し、大きな混乱を引き起こしました。特にマークス&スペンサーでは、3億ポンドの損失が見込まれるとともに、オンライン業務が7週間にわたって停止する事態となりました。

オンラインサイトの再開から7週間後、同社は段階的に他のサービスも順次再開していきました。事件発生から約15週間後、ようやく「クリック＆コレクト」サービスが再開されました。これは顧客がオンラインで商品を注文し、指定した店舗または受け取り拠点で直接受け取ることができるサービスで、このオンラインサービスの再開は、マークス&スペンサーの事業運営が安定を取り戻したことを消費者に示す重要なサインとなりました。

小売業者を標的とした一連の攻撃事件では、17歳から20歳までの4名が逮捕されました。当局は、これらの人物がSIMスワップやフィッシング詐欺模倣などの高度な手口で知られるサイバー犯罪グループ「Scattered Spider」と関連している可能性があるとみています。また、今回のランサムウェア攻撃については「DragonForce」グループも犯行声明を出しており、両グループの間に何らかの協力関係があったものと推測されています。

逮捕された4名は、恐喝、マネーロンダリング、さらにコンピュータ不正使用防止法違反の容疑で起訴されています。当局は捜査の一環として被疑者の所持機器を押収し、被疑者は捜査期間中拘留されていました。マークス&スペンサー社は幸いにも1億ポンドの保険補償を受けており、これにより同社が受けた被害の影響は軽減されました。

高級小売業界はその後も継続的な課題に直面しています。ルイ・ヴィトンUK社もデータ侵害の被害に遭いましたが、これは親会社であるLVMHグループ傘下のブランドにおいて3か月で3度目のデータ漏洩事件となります。顧客情報が流出し、氏名、連絡先、購入履歴などの個人情報が盗まれました。

同社は速やかに関係当局に通報するとともに、システムを隔離して被害の拡大を防ぎ、多要素認証を含むセキュリティプロトコルを強化しました。この事件は過去の事例と類似した特徴を示しています。明確な関連性は確認されていませんが、これらの事件は、高級小売業界がサイバーセキュリティ対策をさらに強化する必要があることを示唆しています。

教育分野へのサイバー攻撃

現在、教育分野をはじめとする脆弱なセクターを標的にした事例が増加しています。特に懸念されるのは、保育園に通う幼い年齢の児童が被害に遭ったケースです。英国に拠点を置くKido International Preschool & Daycareの約8,000人の園児について、個人情報および写真が流出しました。同施設が業務管理や保護者とのコミュニケーションに使用していたシステムが不正にアクセスされたことが原因と報告されています。

2025年9月、Kido International Preschool & Daycareは「Radiant」と名乗るランサムウェアグループによる攻撃を受けました。ハッカーは60万ポンド相当のビットコインを要求し、さらに保護者に直接連絡を取るなどして脅迫行為をエスカレートさせました。アクセス権を証明するため10人の園児のプロフィールを公開し、要求に応じなければさらに多くの情報を公開すると脅迫しました。s

この事件は保護者の間で深刻な懸念を引き起こしただけでなく、広く世間の怒りを買いました。弱い立場にある子どもたちを標的にした行為は、倫理的な一線を越えたものだったからです。驚くべきことに、ハッカーは後に画像をぼかし、公開したデータを削除した上で公式に謝罪しました。彼らは盗んだ情報はすべて削除したと主張していますが、サイバーセキュリティの専門家たちはこの主張に懐疑的で、過去の事例ではこのような約束が必ずしも守られなかったことを指摘しています。

Radiantは、ブローカーから認証情報を購入したことで不正アクセスに成功したと主張しています。Kido International Preschool & Daycareは身代金の支払いを拒否し、外部のサイバーセキュリティ専門家と連携して対応にあたりました。

その後ハートフォードシャー州で、17歳の少年2名がコンピュータ不正使用および脅迫の容疑で逮捕されました。この逮捕は現在も継続中の捜査において重要な進展をもたらし、同校は当局と全面的に協力を続けており、被害を受けた園児の家族を支援するため全力を尽くしています。

政府の対応と取り組み

サイバー攻撃への備えを強化するため、英国政府と国家サイバーセキュリティセンター（NCSC）は、企業に対して物理的な形での緊急時対応計画を立てるよう強く推奨しています。具体的には、デジタル環境に障害が発生した場合に備え、重要データのハードコピーをバックアップとして保管しておくことが求められています。また、各組織はサイバーレジリエンスを戦略的に重要な課題として優先的に取り組むことが推奨されています。

大手小売業者を標的とした重大なサイバー攻撃が相次ぎ、企業の運営に深刻な影響を及ぼした様々な事例は、堅牢なオフライン戦略の重要性を改めて浮き彫りにしました。

これを受け、政府は無料のサイバーセキュリティツールや保険オプションの活用を推進し、さらに専門家らは、サイバーセキュリティを健康・安全と同様に重要な課題として扱うべきだと強調しています。

2025年6月に開始された英国のサイバーセキュリティ戦略の中核をなすのが「サイバー成長行動計画」です。この計画では、サイバーセキュリティを国家デジタル経済の中核的な柱として位置付けています。本計画の目的は、国家レベルのサイバー能力を強化するとともに、イノベーションとレジリエンスの促進を図ることであり、1,600万ポンドの投資でこの取り組みを後押ししています。ブリストル大学およびインペリアル・カレッジ・ロンドンとの協力により策定されたこの取り組みは、各業界の強みと成長機会を特定することを目的としており、業界全体で高品質な雇用創出と持続的なイノベーションを実現するための基盤構築を目指しています。

この計画は、英国経済の改善と国民生活の質向上を目的とした政府の包括的な計画の一部ではありませんが、その目標と方向性は完全に合致しており、英国の長期的なデジタル変革に重要な貢献を果たすものです。

国際連携

英国は日本、米国、カナダ、欧州諸国、ASEAN加盟国など、幅広い国際的なサイバーセキュリティパートナーシップを構築しています。これらの協力関係は、英国がデジタルレジリエンス、技術革新、そしてグローバルな安全保障に対してコミットしている姿勢を反映したものです。

日英連携：インド太平洋地域における共通価値観

英国と日本はサイバーセキュリティ分野において緊密な戦略的パートナー関係にあり、自由で開かれた安全なデジタル環境の実現に向けて協力しています。両国の連携は、インド太平洋地域における共通の価値観と戦略的方向性に基づいています。主な協力分野は以下の通りです。

これらの取り組みは、両国が掲げる経済安全保障、イノベーション、地域安定といったより広範な目標の達成を支援するものです。

三国間協力：サイバーセキュリティとAI防衛の推進

英国は独自に、米国およびカナダとの間で三国間パートナーシップを立ち上げ、防衛・安全保障分野におけるサイバーセキュリティとAI研究の加速を図っています。この取り組みでは、強靭なシステムの構築、信頼性の高いAIの開発、高度なサイバー脅威に対抗するためのツールの整備に重点を置いています。その主な目的は以下の通りです。

英国-ASEAN連携：東南アジアにおける能力構築支援

英国はまた、東南アジア全域におけるサイバーセキュリティ能力の構築支援を強化しており、マレーシア、インドネシア、タイ、フィリピン、ベトナムなどと協力関係を築いています。1,300万ポンド規模の投資により、地域のレジリエンス強化、安全なデジタルインフラの整備、戦略的パートナーシップの構築を支援しています。これらの取り組みはすべて、防衛・貿易・外交面での関与を重視する英国のインド太平洋戦略と整合性が取れています。

また、現在課題になっている人材不足の問題に対処するために、英国は「英国-東南アジア女性サイバーフェローシップ」を立ち上げました。この取り組みは、サイバーセキュリティ分野における女性のエンパワーメントとジェンダー多様性の強化を目的としています。

まとめ

英国のサイバーセキュリティ政策における世界的なリーダーシップは明らかですが、最近の事件が示すように、国内のレジリエンス強化は喫緊の課題です。デジタルインフラが進化を続ける中、それを保護するシステムも進化し続けなければなりません。戦略的ビジョンには運用面での機動性が伴わなければならず、サイバーセキュリティは単なる技術的専門分野としてではなく、国家的な優先課題として扱われるべきです。

IIJでは、サイバーセキュリティの重要性を深く理解し、信頼・透明性・技術的な優位性をもってサービス基盤を運営しています。複雑化する脅威への対応から長期的なレジリエンス構築まで、IIJはお客様のサイバーセキュリティへの取り組みを全面的にサポートいたします。デジタルリスクが増大する現代において、最も重要な資産を守るため、ぜひIIJにお任せください。