海の向こうの“セキュリティ”

日本企業も無関係ではない? 英国の認証制度「Cyber Essentials」に重要な更新、クラウドやMFAなどで厳格化

 4月27日、英国家サイバーセキュリティセンター(National Cyber Security Centre、以降NCSC)による認証制度「Cyber Essentials」について、そのITインフラ要件がバージョン3.3に更新されました。中核となる管理措置に変更はありませんが、その評価方法が変更されており、近年で最も重要な運用上の更新の1つであるとされています。

 「Cyber Essentials」とは、その名が示すように、どのような規模の企業や組織でも確実に満たすべきセキュリティ要件を定めた制度です。2014年から運用されており、機密情報や個人情報を扱う英国政府の特定の契約においては必須要件となっています。

 この制度の核となるITインフラ要件は以下の極めて基本的な5点であり、「最先端・最高水準のセキュリティ対策」を求めるものではありません。

  • ファイアウォール:インターネット接続の出入りを適切に制御する。
  • セキュアな構成:不要なソフトウェアを削除し、デフォルト設定を見直す。
  • セキュリティ更新管理:パッチを迅速に適用し、脆弱性を放置しない。
  • ユーザーアクセス制御:ユーザー権限を最小化し、管理権限を分離する。
  • マルウェア対策:ウイルスやランサムウェアの侵入を防ぐ。

 この制度による認証の有効期間は1年であるため、毎年更新する必要があり、要件についても定期的に更新されています。

 なお、英国政府による公式資料によれば、2025年4月から2026年3月までの間で認証された件数は5万9090となっており、英国全体の事業者数と比較すると、認証取得組織はまだ一部にとどまっています。また、制度自体の認知度もまだ低く、2025年に英国政府が公表した資料によれば、企業全体では12%(うち零細企業では9%)、慈善団体では15%となっています。

 このような中で実施された今回の更新では、適用範囲が拡大され、実施基準が厳格化され、曖昧さが解消されたため、認証組織は対応に多くの時間を要するだろうと指摘されています。

 バージョン3.3で更新された点としては、以下の6つが挙げられています。

  • 「クラウドサービス」の定義を提供
  • FIDO2を含むパスワードレス認証の定義を更新
  • クラウドサービスは対象範囲から除外できないことを明確に記述
  • ソフトウェア開発セクションにソフトウェアセキュリティ行動規範を導入
  • 対象範囲の基準から「信頼できない接続(untrusted connections)」への言及を削除
  • データバックアップの重要性を強調

 まず注目すべきは「クラウド」でしょう。これまでは「クラウドサービスはプロバイダーが管理しているから」という理由で、対象範囲から除外することが企業側の判断で可能だったのですが、これを明確に禁じるとともに「クラウドサービス」を以下のように定義することで、組織のデータを扱う、あらゆるクラウドサービスを審査対象とすることになったのです。これにより、組織が利用しているクラウドサービスを把握・管理することが、これまで以上に重要になったと言えます。

クラウドサービスとは、共有インフラ上でホストされ、インターネット経由でアクセス可能な、オンデマンドで、拡張可能なサービスを意味する。Cyber Essentialsにおける定義では、クラウドサービスとはアカウント(組織が発行した認証情報、または業務目的で使用されるメールアドレスなど)を介してアクセスされ、組織のデータを保存または処理するものを指す。

 また、上記の更新内容の6点には明記されていませんが、多要素認証(MFA)についても実質的に更新されています。なお、要件自体は以下のように記載されています。

利用可能な場合はMFAを導入すること。クラウドサービスへの認証には、常にMFAを使用しなければならない。

 この要件に関して、本制度の運用認定機関であるIASMEは以下のように明言しています。

今後は、多要素認証(MFA)が利用可能なクラウドサービスの全てで、MFAが必須要件となる。MFAが無料、標準機能、または有料オプションであるかを問わず、クラウドサービスにおいてMFAを導入していない組織は、自動的に審査不合格となる。この変更は、システム保護におけるMFAの重要な役割を強調するとともに、強力な認証手段の導入の重要性を浮き彫りにするものである。

 つまり、MFAの要件自体は以前から存在していましたが、今回の更新でクラウドサービスを対象外にできなくなったことで、MFAの要件が実質的に強制化されたことになったわけです。

 また、セキュリティ更新についても注意が必要です。要件の本文では以下のように記載されています。

対象デバイスの全てのソフトウェアは:(中略)

  • 以下の場合、リリースから14日以内に、脆弱性修正を含む更新を行わなければならない。
    • 当該更新が、ベンダーにより「重大(critical)」または「高リスク(high risk)」と分類された脆弱性を修正する場合
    • 当該更新が、CVSS v3の基本値が7以上の脆弱性に対処する場合
    • 当該更新が修正する脆弱性の深刻度に関する詳細情報がベンダーから提供されていない場合

 これに関してIASMEは以下のように述べています。これもまた大きな変更です。

セキュリティ更新管理に関する2つの新しい質問が「自動不合格(auto-fail)」質問として指定される。これらの質問は、オペレーティングシステム、ルーターおよびファイアウォールのファームウェア、アプリケーション(関連ファイルおよび拡張機能を含む)に対する、リスクの高い(high-risk)または重大な(critical)セキュリティ更新および脆弱性修正の適時インストールに関するものである。具体的には以下のとおり。

A6.4:オペレーティングシステム、ルーター、ファイアウォールのファームウェアに対する、リスクの高い、または重大なセキュリティ更新および脆弱性修正は、リリース後14日以内に全てインストールされているか?

A6.5:アプリケーション(関連ファイルや拡張機能を含む)に対する、リスクの高い、または重大なセキュリティ更新および脆弱性修正は、リリース後14日以内に全てインストールされているか?

これらの質問のどちらか1つでも要件を満たさない場合、他の分野での評価結果に関係なく、審査は自動的に不合格となる。この変更は、重要な更新が遅れることで、システムが悪用されるリスクにさらされる事態に対処することを目的としている。

 今回紹介した変更点はいずれも重要ですが、これら以外にも変更・更新されている点がいくつもあります。関係する企業や組織の担当者は、NCSCが提供しているITインフラ要件バージョン3.3だけでなく、IASMEやIASMEから認定された公式認証機関(BCNなど)が公開している情報にも必ず目を通してください。


 「Cyber Essentials」は英国の認証制度ではありますが、その更新は英国で事業をしている日本企業に影響があるのはもちろん、英国で事業をしていない日本企業にとっても、完全に無関係とは言えないでしょう。というのも、2026年度末ごろに開始予定の経済産業省による「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」は、策定にあたって、この「Cyber Essentials」を参考の1つにしており、今後の展開によっては、何らかの影響を受ける可能性があるからです。今回の更新そのものが直接SCS評価制度に対して影響を与えるかは分かりませんが、「Cyber Essentials」は定期的に更新されていますし、SCS評価制度も現状のまま何も変わらないとは考えられず、いずれは更新されるはずです。その際にも「Cyber Essentials」を参考にする可能性は高く、また、「Cyber Essentials」と同様の事実上の必須要件に「格上げ」される可能性も考えられます。いずれにせよ、英国の動向は注視する必要があるでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。