英国インフラへのサイバー攻撃の75%が敵対国家-2028年までにAIが既知の脆弱性悪用に使われる可能性が高いと警告|セキュリティと安全保障のニュース-セキュリティ対策Lab

投稿日時: 2026年06月23日更新日時: 2026年06月23日

英国の国家サイバーセキュリティセンター（NCSC）の最高経営責任者（CEO）リチャード・ホーン博士は2026年6月17日、ロンドンで開催された王立防衛安全保障研究所（RUSI）の年次セキュリティ講演で、英国の重要国家インフラ（CNI）を標的にしたサイバー攻撃の約75%が敵対国家に関連していることを明らかにしました。

NCSCは2025年6月から2026年5月までの1年間で、重要インフラとその周辺エコシステムに影響を及ぼす200件超のサイバーインシデントに対応し、そのうち約75%がロシア・中国・イランをはじめとする国家主体の関与によるものと考えられると説明しています。

これはホーン氏が今年初めに明らかにした「毎週4件の国家的に重大なサイバーインシデントを処理している」という情報をさらに裏付けるものです。

今回の講演で特に注目すべき点は、ホーン氏が自身の組織が長年使用してきた語彙そのものを転換したことです。サイバーセキュリティはもはや「管理し許容すべきリスク」として扱われるべきではなく、「戦うべき競争（コンテスト）」として捉えるべきだと主張しました。「この大きな競争において、傍観者はいません。私たちは皆、グラウンドに立っているのです」とホーン氏は強調しています。本記事では公開された一次資料をもとに、講演の主要なポイント・データの詳細・英国政府の今後の政策動向を解説します。

サマリー

講演日：2026年6月17日（水）16:00〜18:00（BST）、ロンドン
講演者：リチャード・ホーン博士（NCSC CEO。2024年10月就任。PwC UKサイバーセキュリティ部門元パートナー、Barclays PLC元サイバーセキュリティ担当マネージングディレクター）
講演場所：王立防衛安全保障研究所（RUSI）年次セキュリティ講演——NCSC設立10周年を記念する位置づけ
核心データ：2025年6月〜2026年5月の1年間で、英国の重要国家インフラ（CNI）とその周辺エコシステムに影響する200件超のサイバーインシデントをNCSCが対応。うち約75%が敵対国家（state actors）に関連すると推定
名指しされた敵対国家：ロシア・中国・イラン
語彙の転換：サイバーセキュリティを「管理すべきリスク」ではなく**「戦うべき競争（contest）」**として再定義。NATOが2022年戦略概念で示した「常に争われている領域（contested at all times）」という認識と歩調を合わせる動き
脅威の3つの空間（近・中・遠）：
- 遠い空間（far space）：敵対者の本拠地（システム・ツール・ネットワーク）。インテリジェンス収集・制裁・法執行・攻撃的サイバー作戦を通じて能力の発生源を阻害
- 中間の空間（mid space）：クラウド・テクノロジー・通信インフラの強化。多くが民間の手にあるため官民の真の協力が不可欠
- 近い空間（near space）：会議室からITヘルプデスク、自宅のソファ、海外の運用・パートナーまで——「競争はあらゆる場所にある」
AIへの警告：フロンティアAIモデルは既にコード内の長年の脆弱性発見に効果的。**2028年までにAIサイバー能力が、英国の重要インフラの老朽化技術にある既知の脆弱性悪用に使われる可能性が「高い（highly likely）」**とのNCSC評価
事前配置（プリポジショニング）への警告：「敵対者は今日、有事の際に大規模な混乱を引き起こしうる足がかりを重要インフラの基盤技術内に確立しつつある」。最も顕著な事例としてVolt Typhoon（米国デジタルインフラに侵入した中国国家関連のキャンペーン）を挙げ、こうした情報収集は将来の戦争目的にも使用されると指摘
**「明日の紛争における精密攻撃の標的選定は、今日収集された情報に基づく」**とホーン氏は警告
組織への提言：①脅威への露出の理解、②実証済みのセキュリティ基本原則に基づく防御の構築、③攻撃後も運用を継続し迅速に回復できる能力の確保
政策的背景：英国議会で審議中の「サイバーセキュリティ・レジリエンス法案（Cyber Security and Resilience Bill）」が規制を通じて基幹サービス事業者の改善を強制する見通し。政府は新たな「国家サイバー行動計画（National Cyber Action Plan）」の導入も計画中

1 「リスクから競争へ」——NCSCの語彙転換が意味するもの
- 1.1 「投資はいつ終わるのか」への回答——「決して終わらない」
2 脅威の「3つの空間」モデル
3 AIが脅威を「研ぎ澄ます」——2028年までの具体的な評価
- 3.1 フロンティアAIモデルによる脆弱性発見の自動化
- 3.2 NCSCの公式評価——「2028年までに高い可能性」
4 「事前配置（プリポジショニング）」の脅威—Volt Typhoonという実例
5 組織への具体的な提言
6 業界専門家の反応
7 政策的背景—「サイバーセキュリティ・レジリエンス法案」と「国家サイバー行動計画」
8 日本への示唆
9 参考情報

「リスクから競争へ」——NCSCの語彙転換が意味するもの

過去10年間、英国のサイバーセキュリティに関する助言の基本姿勢は「リスク管理」の語彙が事実上の標準でした。

NCSCの主力ガイダンス文書である「Cyber Assessment Framework（サイバー評価フレームワーク）」は「セキュリティリスクの管理」と題された目標から始まり、NCSCのウェブサイト上の既存ガイダンスもリスク評価・リスクの定量化・リスク許容度の設定について実務者を導く構成になっていました。

今回ホーン氏が示した「競争（contest）」という語彙への転換は、こうした従来の作法から明確に離脱するものです。

この再定義は、西側政府がサイバー空間をどう説明するかという、より広い潮流の変化とも軌を一にしています。

NATOは2022年の戦略概念で、サイバー領域は「常に争われている（contested at all times）」と宣言しており、それ以降、同盟国の当局者たちもサイバー空間を恒久的に争われている環境として理解するという見解を繰り返し表明してきました。

「投資はいつ終わるのか」への回答——「決して終わらない」

Infosecurity Magazineが報じたホーン氏の発言によれば、同氏は経営幹部やセキュリティリーダーに対し、サイバーを「リスク登録簿の一項目」として扱うことをやめ、継続的な改善を取り入れるよう警告しました。「経営幹部から『サイバーセキュリティへの投資はいつ終わるのか』と問われたとき、答えは『決して終わらない』です」とホーン氏は述べています。

脅威の「3つの空間」モデル

ホーン氏は脅威を「近い（near）」「中間（mid）」「遠い（far）」という3つの空間に分類して説明しました。

遠い空間（far space）——敵対者の本拠地

IT Proの報道によれば、「遠い空間」は敵対者自身の本拠地——システム・ツール・ネットワークを指します。ここでは英国とその同盟国が、インテリジェンス収集・制裁・法執行措置・攻撃的サイバー作戦を通じて圧力をかけ、発生源において敵対者の能力を阻害・劣化させると説明されています。

中間の空間（mid space）——クラウド・テクノロジー・通信インフラ

中間の空間では、クラウド・テクノロジー・通信インフラの強化と、こうした環境内の敵対者の足場を破壊することに努力が集中されます。「この空間の多くは民間の手にある」とホーン氏は述べ、「ここでの成功は政府と民間セクターの真の協力を必要とし、これがNCSCのアプローチの核心にある」と強調しました。

近い空間（near space）——あらゆる場所

RUSI公式の引用によれば、ホーン氏は「会議室からITヘルプデスク、自宅のソファ、そして海外の運用・パートナーに至るまで、競争はあらゆる場所にある」と述べています。

AIが脅威を「研ぎ澄ます」——2028年までの具体的な評価

フロンティアAIモデルによる脆弱性発見の自動化

Infosecurity Magazineの報道によれば、ホーン氏はAIを脅威の「加速要因（accelerant）」として名指ししました。フロンティアAIモデルは既にコード内の長年の脆弱性発見に効果的であり、攻撃者は今後ますます攻撃を自動化・大規模化させると予測しています。

「組織が今日許容している多くの脆弱性は、明日の紛争で悪用されるでしょう」とホーン氏は警告しました。

NCSCの公式評価——「2028年までに高い可能性」

この発言は、NCSCが公式に示した評価「2028年までに、AIサイバー能力が英国の重要国家インフラ全体の老朽化技術にある既知の脆弱性を大規模に悪用するために使用される可能性が高い」という評価を踏まえたものです。

Check Point Softwareのグレイム・スチュワート氏（パブリックセクター責任者）はこの評価について「これは遠い将来の話ではなく、次の製品サイクルの話だ」と警告しています。

「事前配置（プリポジショニング）」の脅威—Volt Typhoonという実例

ホーン氏は講演で、敵対者が有事の際の大規模な混乱を可能にするため、重要インフラの基盤技術内に既に足がかりを確立しつつあることに言及しました。

「敵対者は今日、重要国家インフラを支える技術内に足場を確立しており、これは紛争時の急速な悪用を可能にし大規模な混乱を引き起こしうる」とホーン氏は述べています。

この種の事前配置戦術の最も顕著な事例として、ホーン氏はVolt Typhoon——米国のデジタルインフラに侵入した中国国家関連のキャンペーン——を挙げました。同氏はまた、こうした情報収集活動は不可避的に戦争目的にも使用されると強調し、「明日のいかなる紛争においても、精密攻撃（kinetic targeting）の標的選定は今日収集された情報に基づくことになる」と警告しています。

組織への具体的な提言

ホーン氏は組織がサイバーレジリエンスを強化するために、以下の3つの中核的能力に焦点を当てるよう呼びかけました。

①脅威への露出の理解：自社がどのような脅威にさらされているかを把握すること

②実証済みのセキュリティ基本原則に基づく強固な防御の構築：「今日でも、基本的な対策が講じられていないために発生可能な重大インシデントがあまりにも多く見られる」とホーン氏は述べています

③攻撃後の運用継続と迅速な復旧能力の確保：攻撃を受けた後も事業を継続し、迅速に回復できる体制を整えること

ITPro報道によれば、ホーン氏は「自社の環境を敵対者にとって運用しづらいものにし、より良い形で競争に参加することで、潜在的な敵対者の選択肢を変え、紛争を抑止する上で重要な役割を果たすことができる」とも述べています。

また、多くの組織がOT（運用技術）ネットワークとの間で出入りするデータの保護を怠っていることも指摘し、「データフローを制御しトラフィック中のファイルをスキャンすることで、組織は隠れた悪意あるペイロードが重要システムに侵入する前に検知・無力化できる」と助言しています。

業界専門家の反応

Infosecurity Magazineが伝えた業界専門家の反応は以下のとおりです。

Bridewell CTO・マーティン・ライリー氏：「これはチェックリストではなく競争です。勝利はより良い統計から始まるのではありません。自社の露出を把握し、基本を直すこと、そして敵対者が侵入した後にそれを発見し止められることから始まります。これを一貫して実行する組織は、来年の集計の中に入ることはないでしょう」

Check Point Software・グレイム・スチュワート氏：ホーン氏の講演は「国内のすべての取締役会の壁に貼り出されるべきだ」と評価。「サイバーセキュリティを純粋にチェックボックス的な作業として扱う組織は、危険なほど露出した状態に陥るだろう」と警告

OPSWAT・ジェームズ・ニールソン氏（グローバルSVP）：従来のITシステムと、重要インフラ組織内のOTネットワーク・デバイスとの間に存在する「知識のギャップ」を指摘

政策的背景—「サイバーセキュリティ・レジリエンス法案」と「国家サイバー行動計画」

The Recordの報道によれば、今回の語彙転換は、英国政府が「サイバーセキュリティ・レジリエンス法案（Cyber Security and Resilience Bill）」の議会通過を進めている時期と重なっています。同法案は規制を通じて基幹サービス事業者に改善を強制する内容です。また政府は新たな「国家サイバー行動計画（National Cyber Action Plan）」の導入も計画しています。

ホーン氏の今回の講演は、こうした規制強化の動きを後押しする形で、官民双方に向けた危機感の共有を意図したものと位置づけられます。

日本への示唆

今回の英国NCSCの発表は、日本の重要インフラ事業者・情報システム担当者にとっても以下の点で参考になります。

①「リスク管理」から「継続的な競争」への発想転換：日本でも当サイトが既報した能動的サイバー防御関連法が2026年秋〜11月に本格施行される予定です。英国NCSCが示した「サイバーセキュリティは終わりのない競争である」という認識は、日本の重要インフラ事業者にとっても、規制対応を一時的なプロジェクトではなく継続的な体制として捉え直す上での参考になります。

②国家支援型攻撃者によるインフラへの事前配置への警戒：Volt Typhoonのような「平時のうちに足場を築き、有事に活用する」という攻撃パターンは、日本の重要インフラ事業者にとっても無関係ではありません。OT・レガシーシステムにおける既知の脆弱性の放置がもたらすリスクを、平時のコストではなく有事の安全保障リスクとして再評価する必要があります。

③AIによる脆弱性発見の自動化への備え：2028年までにAIが既知の脆弱性悪用に使われる可能性が「高い」というNCSCの評価は、日本の組織にとっても脆弱性管理のスピードを根本的に見直す契機となります。