headless 曰く、

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)は1日、クラウドベース製品を政府機関が使用する場合のリスク管理に関するガイダンスを公開した。また、クラウドベース製品のサプライチェーンに対するリスク管理に関し、NCSC CEOのCiaran Martin氏が各政府機関の事務次官に宛てた書状や、テクニカルディレクターIan Levy氏のブログ記事も同日公開されている。

ガイダンスでは特に触れられていないが、書状やブログ記事ではロシア企業によるアンチウイルス(AV)製品のリスクを強調した内容になっている。主なポイントとしては、AV製品が確実に脅威を発見・除去するのに必要な能力を悪用されると国家機密の漏洩リスクにもつながるため、AV製品の原産国に注意を払う必要があるというものだ。

中でもロシアはサイバー攻撃の能力が高く、英国の国家機密をターゲットにする可能性も高いため、機密情報を扱うシステムではロシア製AV製品を使用すべきではないと勧告する。また、英国の重要なインフラストラクチャーがターゲットになる可能性もあるため、NCSCでは関連する部署からの相談を受ける用意もあるとのこと。逆に一般市民や組織の大多数がターゲットになる可能性は低いとも述べている。

今回の発表は、Kaspersky Labの製品が原因で米国家安全保障局(NSA)の機密情報がロシア側に渡ったと報じられた問題を踏まえたものとみられる。この件でロシア側にKaspersky Labが協力したという証拠はなく、NCSCでは英国のデータがロシアに送信されていないことを確認できるような枠組みの構築についてKaspersky Labと話し合っているそうだ。