英国の「サイバーリーグ」とは何か／英国政府が「殺人予測」システムを開発中

英国の「サイバーリーグ」とは何か ～セキュリティの官民連携コミュニティ

　2025年4月、英国家サイバーセキュリティセンター（National Cyber Security Centre、以降NCSC）はオーストラリア、カナダ、ドイツ、ニュージーランド、米国の関連機関と連名で、スパイウェア「BADBAZAAR」と「MOONSHINE」に関する注意喚起を公開しました。その詳細についてはここでは触れませんが、そのなかで今回の注意喚起について以下のような文言がありました。

「developed in collaboration with industry experts from the NCSC’s Cyber League.（NCSCのサイバーリーグの業界専門家と共同で作成された。）」

　ここで「サイバーリーグって何？　NCSCの研究部門？」のように疑問に思われた方は少なくないのではないかと思います。そこで今回は、この「サイバーリーグ」について、その背景を含めて簡単に紹介します。

　サイバーリーグ（Cyber League：サイバー同盟）とは、NCSCが2024年1月に正式に発表した取り組みで、英国におけるセキュリティの官民連携コミュニティです。

　実は、このサイバーリーグとは別に、英国では以前から官民連携の取り組みとして「Industry 100（i100）」があります。これは2016年のNCSC設立当初から計画されていたもので、遅くとも2017年には活動実績があることが確認されています。

　i100は、民間企業から100名を目安にセキュリティ専門家をパートタイムの出向者としてNCSCが受け入れるスキームです。その勤務形態はかなりフレキシブルであり、週1日から月1日まで、さまざまな場所で勤務が可能です。なお、その給与は出向元が支払います。また、i100の全ての出向者はセキュリティチェックのクリアランスが必要です。

　NCSCにとっては、民間の持っている知識や経験をサイバーセキュリティ政策に生かすことができる一方、出向元企業にとっては、トップクラスの専門家が集まる職場でスタッフのスキルアップが図れるほか、NCSCだけでなく、他の企業の専門家との人的ネットワーキングを構築できるメリットがあります。

　日本でも内閣サイバーセキュリティセンター（NISC）や情報処理推進機構（IPA）が民間企業からの出向を受け入れており、基本的には同様のものと考えていいでしょう。また、i100については海外におけるセキュリティに関する官民連携の代表的な事例として、日本の政府関連の資料でも紹介されています。

　しかし、i100は出向のかたちを取るため、そこまでの時間を割くことができない専門家は参加したくてもできないという問題があります。そこでi100の出向プログラムを補完し、i100に必要な時間を割くことができない専門家でも経験や知識を共有できるようにしたのが、今回紹介する「サイバーリーグ」なのです。

　サイバーリーグのメンバーは、さまざまな業界の専門家で構成されており、NCSCの分析官や他のメンバーと連携しながら、脅威の現状把握に対して独自の知識などを提供しているほか、分析ワークショップやディスカッショングループなど、さまざまな活動に参加しています。

　サイバーリーグへの参加は任意ですが、参加者が所属する組織は以下の要件を満たす必要があり、実際に参加するにあたっては要件を十分に満たしているか評価されます。

• 英国のサイバーセキュリティおよびサイバー脅威インテリジェンス分野で重要な役割を果たしている。
• 英国の顧客にサイバーセキュリティサービスまたは製品を提供している。
• サイバー脅威や被害セクターの全範囲にわたって活動する、または英国の安全保障にとって極めて重要なセクターで戦略的な役割を果たしている。

　サイバーリーグについて、NCSCの運営ディレクター（Director of operations）であるポール・チチェスター氏は以下のように述べています。

「サイバー防衛は巨大で複雑、そして常に変化し続けるパズルであり、重要な知識、スキル、そしてイノベーションが産業界と政府に広く浸透しています。英国をオンラインで生活し、働くうえで最も安全な場所にするという共通の目標を達成するには、協力し合うことが必要です。 」

　国や地域全体のセキュリティを向上させるうえで、官民の連携は必須であり、日本を含め、すでに多く国や地域でさまざまな取り組みが行われています。今回紹介した英国のケースは際立って斬新なものというわけではありませんが、すでに実績を上げている海外の事例として紹介しました。何かの参考になれば幸いです。

殺人を犯す可能性の高い人物を特定、英国政府が「殺人予測」システムを開発中

　セキュリティそのものの話題ではないですが、セキュリティに関わる者にとって気になる話がありましたので、簡単に紹介します。これもまた英国です。

　英ガーディアン紙は、英当局が把握している人物の個人データを使用し、殺人犯になる可能性が最も高い人物を特定できる「殺人予測（murder prediction）」プログラムを英国政府が開発していると報じました。同紙によると、この計画は当初「殺人予測プロジェクト（homicide prediction project）」と呼ばれていましたが、現在は「リスク評価の改善のためのデータ共有（sharing data to improve risk assessment）」に変更されているとのことです。また、このプロジェクトの存在は慈善団体ステートウォッチ（Statewatch）が発見したもので、情報公開請求によって入手した文書を通じてその活動の一部が明らかになったそうです。

　英司法省の広報担当者は「このプロジェクトは研究目的でのみ実施している」と説明しており、すぐにでも実運用に移るといったものではないようですが、「ぞっとするディストピア（chilling and dystopian）」との批判の声が上がっていると報道されています。

　フィリップ・K・ディックの短編小説を原作としたスティーヴン・スピルバーグ監督、トム・クルーズ主演の2002年のSFアクション映画「マイノリティ・リポート」を思い出す人も多いかと思いますが、確かにここまでストレートに分かりやすく「ディストピア」な世界を実現する国家プロジェクトが存在しているのは恐ろしい話です。それでも、情報公開請求で入手できる資料に記載され、その存在を一般国民が知ることができるだけ、まだマシなのかもしれません。

　ちなみに、この件とは別に、ステートウォッチは英司法省のAIシステムが再犯リスクを「予測」するために毎日1300人以上の人物をプロファイリングしていることについてもデータの偏りや不正確さといった問題を指摘しています。

　このような国家によるシステムとは意味や深刻度が異なるので一概に比較すべきではないですが、企業や組織において内部不正を犯す可能性が高い従業員を特定できる予測システムはすでにさまざまな企業から提供されています。青臭いことを言うようですが、セキュリティをはじめとした何らかの「安全・安心」を確保するために技術的な対応は「どこまで可能か」だけでなく、「どこまでやって良いのか」という倫理的な問題がこれまで以上に問われる時代になって来ていることを今更ながら改めて強く感じる話題でした。