次の訪問先は、昨年スナク政権の下で再編されたデジタル関連を管掌する科学・イノベーション・技術省(Department for Science, Innovation and Technology:DSIT)。日本のデジタル庁の機能に加え、電気通信事業の規制を担当するから総務省の一部、研究開発・人事育成も担当するので文科省の一部も入っているようだ。イノベーションとあるようにサイバーセキュリティだけ専門ではなく、デジタル政策立案から利用普及策まで考えるという。
強調していたDSITの役割は、次の4点。
1)サイバーレジリエンス
攻撃を受けても被害を局所化し、迅速な復旧を目指す体制づくり。重要インフラ⇒公共サービス⇒一般企業⇒個人の順に普及させている。まず企業のガバナンスコードを制定した。次にソフトウェアベンダーの評価をし、必要なら規制(指導?)する
2)ガバナンス
経営者が事業部門や関連企業をしっかり管掌するべきで、まず経営者の意識改革、事業停止に追い込まれないBCPの考え方で対策を練り、サイバー防衛をマネジメント戦略に組み込むよう求めている。具体的には、リスク管理・サイバー戦略・人材育成活用・インシデント対応計画・補償の仕組みを構築すること。
3)エッセンシャル
企業が獲得する「サイバーセキュリティをちゃんとしている」という政府御墨付の認定資格。外部からの企業の見える化のための評価制度として貴重。当該企業を5つのファクター(*1)でチェックして通常・上級の2段階の資格を与える制度。経産省の<Security Action>に似ているが上級には監査があり、すでに30万社ほどが認定済み。
4)ソフトウェアサプライチェーン
政府や企業が利用するソフトウェアにつき、製品そのものの・適用やメンテナンス・コミュニケーション(何かあった時の対応力だろう)の信頼性を確認している。昨今ソフトウェア導入よりサービスの形(*2)で利用していることが多いので、サービサーに対する規制も検討している。
3)の取組みは面白いが、KPIは何社が採用したかではなく、採用した企業の業績や株価がどのくらい向上したかだろうとコメントしたら、ちょっと困っていた。ただDSITが「社会全体の安定」を目指して種々の努力をしていることは理解できた。
ちなみに会議したのは、入り口の直上の部屋。WWⅡ終結時に時の首相チャーチルが種々のアナウンスをした<チャーチル・ルーム>だとのこと。
*1:Configuration・Firewall・Access Control・Malware Protection・Patch Management
*2:例えばクラウドサービス