英国では、サイバーセキュリティに関する新たな規制によって、デジタルインフラやクラウドサービスのセキュリティに注目が集まっている。
クラウドに障害が発生した場合、どういったことが起こるだろうか?
提供:Getty Images/iStockphoto
英国ではサイバーセキュリティの強化を目的とする新たな規制の下、クラウドコンピューティングや検索エンジン、インターネットを支えるサービスが、水や電気などとともに重要なインフラとして見なされるようになる。
欧州連合(EU)の「Network and Information Systems Directive」(NIS指令:ネットワークおよび情報システムに関する指令)の下、重要なサービスを提供する企業は自社のネットワークや情報システムを攻撃から守るうえで十分なセキュリティを備えていることと、重大なインシデントが発生した際には関連当局に届け出ることを義務付けられるようになる。
こうした規制は重要な国家インフラ、つまりそれなくしては次第に社会が機能しなくなっていくような基本的なサービスに適用される。
これにはヘルスケアや航空、空港、航空管制、港湾、地方鉄道網および国有鉄道網、道路交通局などが含まれる。また、飲料水の供給・流通や、電気の販売・流通・送電、石油の生産・精製・処理、ガスの供給・保管・販売・流通も含まれる。
英政府の公表したガイダンスで最も目を引くのが、罰金額の高さだ。データ漏えいを引き起こした企業が、効果的なサイバーセキュリティ対策を実施していなかった場合、最高で1700万ポンド(約26億円)という罰金が科される。しかしより興味深い点は、英政府が今ではクラウドコンピューティングをはじめとするデジタルサービスを必要不可欠なものと認識しているところにある。
その理由は、このガイダンスに複数のデジタルサービスが挙げられているとともに、トップレベルドメイン(TLD)名のレジストリと、DNS、インターネットエクスチェンジポイント(IXP)を扱う事業者も準拠が求められていることにある。