海外のサイバーセキュリティ事情 ~英国全体でサイバーセキュリティを底上げする仕組み Cyber Essentials制度~
サイバー攻撃の脅威が増加し続けるなか、我が国はもちろん、諸外国でも積極的にサイバーセキュリティへの取組を進めています。日本における代表的な取組としては、IPAが実施する「SECURITY ACTION」と経済産業省が策定した「SCS評価制度(サプライチェーンセキュリティ評価制度)」が挙げられます。
これらは、企業が自己宣言や第三者評価を伴う形で自社のセキュリティへの取組をアピールするものです。このうち「SCS評価制度」の上位評価(★3★4)ついては、2026年度末の運用開始を目指し整備が進められています。これらを取得することで顧客をはじめとするステークホルダーへセキュリティへの取組をアピールできるなど多くのメリットがあります。
海外にも同様の取組は様々ありますが、なかでもその取組の内容と実施効果から注目されているのが英国の取組、Cyber Essentials制度です。Cyber Essentialsは、英国政府が支援するサイバーセキュリティ認証制度であり、現在は英国のNational Cyber Security Centre(NCSC)が技術支援を行い、その監督下でIASME Consortiumが運営しています。
英国の取組:Cyber Essentials制度とは
Cyber Essentials制度とは、英国政府が企業のサイバーセキュリティの向上を目的に2014年から開始した認証制度です。企業は定められたサイバーセキュリティ対策に関する審査を受け合格すると、Cyber Essentials認証マークを利用することが可能となり、顧客をはじめとするステークホルダーに対しサイバー対策にしっかり取り組んでいることをアピールできます。
日本企業においても英国政府関連と取引を希望する場合には取得が求められるケースが増加しています。Cyber Essentialsで求められる対策は、日常的な手洗いうがいのように、システム全体の清潔さと安全性を保つ「サイバーハイジーン(サイバー衛生)」の思想そのものです。英国政府によると、こうした基礎的なセキュリティ習慣を徹底するだけで、最も一般的なサイバー攻撃の80%を未然に防ぐことが可能といわれています。
Cyber Essentialsで確認される主な技術的管理策は、以下の5つです。NCSCは、これらの管理策を「最も一般的なサイバー攻撃から組織を保護するための基本的な対策」と位置付けています。
- 安全な構成
コンピュータやネットワーク機器を安全に設定し、サイバー犯罪者が侵入に悪用できる経路を最小限に抑えます。 - ユーザーアクセス制御
組織のデータやサービスにアクセスできる利用者を管理し、業務上必要な範囲に応じてアクセス権限を適切に制御します。 - マルウェア対策
ウイルスやランサムウェアなどの悪意あるソフトウェアを検知・防御し、被害が発生する前に無効化できる状態を整備します。 - セキュリティアップデート管理
OS、アプリケーション、ネットワーク機器などを適切に更新し、ソフトウェアの脆弱性を悪用した侵入を防ぎます。 - ファイアウォール
インターネットと組織のネットワークや端末の間に防御の境界を設け、必要な通信のみを許可します。
Cyber Essentials制度は2段階に分かれており、オンラインの事項評価を中心とする「Cyber Essentials」と認証機関による脆弱性診断と実地審査を受けて取得できる「Cyber Essentials Plus」の2種類が存在します。
【表1】Cyber EssentialsとCyber Essentials Plusの比較
| 項目 | Cyber Essentials | Cyber Essentials Plus |
|---|---|---|
| 位置づけ | 基本レベルの認証 | Cyber Essentialsの技術的検証を加えた上位認証 |
| 取得方法 | オンラインにて各質問に回答する形で申請。問題がなければ後日取得 | 認証機関(Certification Body)による評価、ヒアリングを受ける必要あり |
| 前提条件 | 特になし | Cyber Essentialsを取得している必要あり(CE取得から3カ月以内にCyber Essentials Plusの申請・審査実施が必要) |
| 評価内容 | セルフアセスメント | ユーザーデバイス、インターネットゲートウェイ、インターネットからアクセス可能なサーバーなどに対する技術評価 |
| 有効期間 | 証明書の発行から1年間 | 証明書の発行から1年間 |
National Cyber Security Centre「Cyber Essentials」を基にニュートン・コンサルティングが作成
Cyber Essentials / Cyber Essentials Plusそれぞれの認定を受けると、認定番号とともに各認証マークを取得することができ、今後ビジネスシーンでセキュリティに関する信頼性を証明するツールとして利用することが可能となります。
Cyber EssentialsとCyber Essentials Plusの取得のながれ
<Cyber Essentialsの取得>
1段階目のCyber Essentialsは、オンラインで質問シートに解答し、問題がなければ認証を取得することができます。質問項目は制度の更新に合わせて見直されており、2026年4月27日以降に新たに申請する場合は、「Requirements for IT infrastructure v3.3」および新しい質問セットである「Danzell」が適用されます。NCSCによると、v3.3は2026年4月27日から有効です。
【表2】Cyber Essentialsの審査項目
| # | 項目 | 内容 |
|---|---|---|
| 1 | Your Organisation | 組織情報の入力(事業内容、認証取得の目的など) |
| 2 | Scope of Assessment | Cyber Essentialsの対象とする組織としての範囲や利用しているOSの種類、仮想サーバーの利用数など |
| 3 | Insurance | 英国に本社を置き、売上高が一定額未満である組織のうち、無料のサイバー保険に加入希望な場合の追加質問 |
| 4 | Firewalls | インターネット境界でのファイアウォール導入有無、ファイアウォールの管理パスワードの変更プロセスなど |
| 5 | Secure Configuration、Device Unlocking Method | 全対象デバイスでの不要なソフトウェアやサービスの停止状況、デバイスのロックを解除する際の手法(パスワード、指紋、顔認証、PINなど) |
| 6 | Security Update Management | サポート対象のOSやソフトウェアの利用、ブラウザのバージョンの確認など |
| 7 | User Access Control、Administrative Accounts、Password-Based Authentication | ユーザーのアクセス制御(入退社時のID管理、アクセス権限の範囲など)、管理者アカウントの制御、ブルートフォース攻撃への対策状況や強固なパスワードの利用状況など |
| 8 | Malware Protection | マルウェア対策ソフトの導入状況や検知アラートの確認方法など |
IASME「Danzell」を基にニュートン・コンサルティングが作成
審査項目は英国のCyber Essentials制度の運営団体であるIASMEより公開されていますので、事前に確認することも可能です。
Free Download of Cyber Essentials Self-Assessment Questions - IASME
2026年版の更新では、5つの基本管理策自体は維持されていますが、クラウドサービス、認証、スコープ設定、ソフトウェアセキュリティ、バックアップに関する説明が整理・強化されています。IASMEは、2026年4月の更新について、要件の明確化、一貫性、実効性の向上を目的としたものと説明しています。
<Cyber Essentials Plusの取得>
2段階目のCyber Essentials Plusは、事前にCyber Essentialsの認証を取得している必要があります。その上で、Cyber Essentialsの取得から3カ月以内に認証機関によるリモート技術審査を受けることが必要です。
Cyber Essentials Plusの審査項目(テストケース)は以下のとおりです。
【表3】Cyber Essentials Plusの審査項目(テストケース)
| テストケース 1:リモート脆弱性評価 |
|---|
| 典型的なサイバー攻撃を防御するセキュリティ対策が実施されているかを評価(多段階認証の有無、ブルートフォース攻撃を防ぐためのログイン試行回数を制限など) |
| テストケース 2:デバイスへの脆弱性スキャンによるパッチ適用のチェック |
| 認証機関が承認した脆弱性スキャンツールを利用し、高リスクな脆弱性や不足しているパッチとセキュリティ更新プログラムが残っていないことなどを確認 |
| テストケース 3:マルウェア対策の確認 |
| すべてのデバイスが、基本レベルのマルウェア対策がされているかの確認(セキュリティソフトの更新状況、メールの添付ファイルやWebサイトのアクサスにおける対策など) |
| テストケース 4:多要素認証(MFA)を確認 |
| クラウドサービスへのアクセスが許可される前に多要素認証を求められることなどを確認 |
| テストケース 5:アカウントの分離を確認 |
| ユーザアカウントでログイン後、管理者権限が必要とする操作が実行できないことなどを確認 |
脆弱性診断はインターネット経由で行うほか、内部環境からも行います。IASMEにて認められた脆弱性診断ツールによる診断となり、日本に所在する日本企業が内部の脆弱性診断を受ける際には、対象デバイスへの脆弱性モジュールのインストールなどが求められます。
また脆弱性診断以外の項目でも、インタビューなどにて基本英語で審査を受けることとなります。Cyber Essentials Plusの審査費用は、ネットワークの規模や複雑性、評価対象の範囲によって変動します。そのため、Cyber Essentials Plusの評価は個別に見積もりが必要です。
重要なのはスコープ決め
Cyber Essentials / Cyber Essentials Plus両方にいえることですが、大企業であればあるほど、どの範囲をスコープとするかが重要となります。組織のビジネスを遂行するために使用されるITインフラストラクチャ全体、または明確に定義され個別に管理されるサブセットを対象とする必要があると説明されています。
対象範囲の境界(管理する事業部門、ネットワークの境界、物理的な場所)を明確に定義し、審査開始前に審査機関とスコープについて合意する必要があります。
IASMEが提供するガイドでは、以下のように、BYOD、テレワーク、ワイヤレス、クラウドサービス、サードパーティが使用するアカウントおよびインフラ、のカテゴリーに分けて説明されています。
図1:想定するITインフラストラクチャの要件範囲
BYOD
- 組織が所有するモバイルデバイスに加えて、組織のデータまたはサービスにアクセスするユーザーが所有するデバイスも対象
テレワーク
- 業務に使用されるすべてのBYODデバイスが対象
- テレワーク用のモバイルWiFiルーターも対象
ワイヤレス
- インターネットを介して他の機器と通信できる場合は対象
- 攻撃者がインターネットを介して直接攻撃することができない場合は対象外
- 自宅のISPルーターの一部である場合は対象外
クラウドサービス
- 組織のデータまたはサービスがクラウド上にある場合、それらは対象
- クラウドサービスの場合、誰がどの部分の責任を持つかは、クラウドサービスの種類による
サードパーティが使用するアカウントおよびインフラ
- サプライヤー、請負業者、MSPなどの第三者がインフラを管理またはサポートするために使用するアカウントはすべて対象
- リモート管理を利用している場合は、技術的管理基準が満たされていることを確認し、評価回答で証明する必要あり
- 特に、管理者権限を持つ外部委託先アカウントについては、多要素認証、最小権限、利用状況の確認が重要
サードパーティが使用するデバイス
- 第三者に貸与するデバイスはすべて対象
範囲の考え方としては、業務利用するものであれば、オンプレであろうがクラウドであろうが対象となります。またBYODで利用するモバイルデバイスや、テレワークで利用するPCも対象です。明確に対象外とされているのは、テレワークで利用する場合の自宅ルーターくらいで、基本業務で利用するものはすべて対象という考え方です。
しかしながら、大企業などであれば、すべての業務システムを対象とするのは現実的ではないので、ここから英国政府や企業との取引で利用するデータを閲覧・処理・保管するシステムやデバイスを特定し、範囲を限定していくことになります。
まとめ
Cyber Essentialsは、英国政府が支援するサイバーセキュリティ認証制度であり、基本的な技術的管理策を組織に定着させることを目的としています。英国企業や英国政府機関との取引に関係する日本企業にとっても、取得要否や同等の管理策の整備状況を確認しておく価値があります。
2026年4月27日からは、「Requirements for IT infrastructure v3.3」と新しい質問セット「Danzell」が適用され、クラウドサービス、認証、スコープ設定などの確認がより明確化されています。特に、クラウドサービスの利用範囲、多要素認証、管理者アカウント、ソフトウェア更新管理は、事前に確認しておくべき重要なポイントです。
グローバルにビジネスを行う企業は、取引先やビジネスエリアを考慮して、どのセキュリティ認定を取得しておくべきかを把握し、自社のサイバーセキュリティ対策やサプライチェーン管理に反映していくことが求められるでしょう。
