Cloudflare、英国政府のサイバーレジリエンス誓約に賛同
Cloudflare は英国政府のサイバーレジリエンス・プレッジに参加し、サプライチェーンセキュリティやリーダーシップ責任を強化する枠組みを支持するとともに、AI を活用した攻撃への対抗策と統計データを提示した。
キーポイント
英国政府のサイバーレジレンス・プレッジへの参加
Cloudflare は英国政府が主導する自主的枠組み「Cyber Resilience Pledge」の創設署名者として加わり、セキュリティガバナンスとサプライチェーン全体の責任ある行動を約束した。
統計データによる脅威環境の深刻化
2026 年第 1 四半期の Cloudflare ネットワークは毎日平均 2340 億件のサイバー攻撃をブロックしており、英国は DDoS 攻撃で世界第 6 位の標的となっている。
Frontier AI に伴うセキュリティ課題と対策
生成 AI の台頭が攻撃のハードルを下げている現状に対し、Cloudflare は ML ベースの攻撃スコアリングやゼロトラストアクセス制御などの防御アーキテクチャを既に提供している。
集合的防衛とガバナンスの重要性
未修正システムや脆弱なアクセス管理など既知のギャップが依然として侵害の原因となっているため、企業のトップレベルでのセキュリティ優先化とサプライチェーンのセキュリティ基準達成が求められている。
レジリエンスの再定義
サイバーレジリエンスとは単なる事後復旧ではなく、脅威信号を事前に検知し、混乱を吸収して適応する設計とセキュリティ制御の統合を指す。
エッジでの保護と基本セキュリティの提供
Cloudflare はネットワーク規模を活用して脅威がコアシステムに到達する前にエッジで防御し、SSL 証明書や無制限 DDoS 保護など基本セキュリティをすべてのユーザーに無料で提供する。
小規模組織へのアクセシビリティ向上
従来高額なハードウェアと専門チームが必要だった機能を無料プランで提供することで、中小企業や自治体も参加可能なレジリエンスの底上げを支援する。
影響分析・編集コメントを表示
影響分析
このニュースは、英国政府と主要なクラウドセキュリティ企業が連携し、サプライチェーン全体を含めた包括的なサイバーレジリエンスを構築しようとする動きを示しています。特に生成 AI が攻撃の民主化を進める中で、技術的対策だけでなくガバナンスやリーダーシップ責任といった組織的なアプローチの重要性が再認識される契機となりました。
編集コメント
英国政府と Cloudflare の連携は、生成 AI 時代の脅威に対処するために「技術」だけでなく「ガバナンス」と「責任の所在」を明確にするという点で重要な転換点を示しています。特に 2026 年の統計データが示す深刻な攻撃トレンドは、企業経営層がセキュリティを最優先課題として捉える必要性を強く裏付けています。
本日、英国政府はサイバーレジリエンス・プレッジを発表しました。これは、組織に対して基礎的なサイバーセキュリティガバナンスの確立、経営陣レベルでの責任の明確化、サプライチェーン全体にわたる包括的なサイバーセキュリティ対策へのコミットメントを呼びかける自主的な枠組みです。Cloudflare は、このプレッジの創設署名者グループの一員として参加することを誇りに思い、科学・イノベーション技術省(DSIT)や国立サイバーセキュリティセンターなどとの長年にわたる協力を継続し、英国のためのより安全で将来を見据えたデジタル経済の実現に貢献してまいります。
このプレッジの柱である「セキュリティの民主化」「リーダーシップの責任」「徹底した透明性」は、Cloudflare が設立以来一貫して掲げてきた理念です。私たちはこの枠組みを新たなコミットメントのリストとして捉えるのではなく、過去 10 年以上にわたり Cloudflare が提唱してきたセキュリティ哲学と原則に対する英国政府からの歓迎すべき評価であると受け止めています。業界全体がこの方向へ動き出していることを嬉しく思います。
この誓約は重要な一歩であり、サイバーリスクが顕著に高まっている時期に発表されたものです。2026 年第1四半期において、Cloudflare のグローバルネットワークは平均して毎日 2340 億件のサイバー脅威をブロックしました。最近では、ピーク時 31.4 Tbps に達した超大容量 DDoS(分散型サービス妨害)攻撃を緩和しています。2025年末の Cloudflare データによると、英国は DDoS 攻撃の対象として世界で第6位に上昇し、脅威アクターが金融サービス、航空業界、および地域政府インフラにおけるアプリケーション層サービスの標的とすることが増えています。この傾向は、英国サイバーセキュリティ侵害調査(UK Cyber Security Breaches Survey)のより広範なデータとも一致しており、同調査では過去1年間に英国内企業の43% と慈善団体の28% がサイバー事象の影響を受けたと報告しています。
同時に、フロンティア AI モデルが急速にセキュリティ環境を変化させ、攻撃者の参入障壁を低下させ、より自動化された脆弱性スキャンやより説得力のあるフィッシングキャンペーンを可能にしています。Cloudflare はこの変化に備えて長年準備を進めてきました。最近公開したフロンティアサイバーモデル向けの防御アーキテクチャは、同じ原則に基づいています:企業が直面する脅威と同様にセキュリティも急速に進化しなければならない必要があります。ML(機械学習)ベースの攻撃スコアリングからゼロトラストアクセス制御に至るまで、そのハッチングアーキテクチャのすべてのレイヤーが、今日すでに Cloudflare の顧客に提供されています。
そのような背景を踏まえ、この誓約は本質的な役割を果たします:集団防衛の重要性を認識することです。組織に対し、サイバーレジリエンスを経営レベルの優先課題とすることを求め、脅威への意識を高めるための適切な統制を実装し、サプライチェーンが意味のあるセキュリティ基準を満たすよう支援することを要請しています。現在もなお、多くの侵害は未修正システムや脆弱なアクセス制御、不十分なベンダー管理など、よく理解されているギャップを悪用しています。ガバナンスの強化、監視、実装を通じてこれらのギャップを埋める組織を増やすことは、必要な出発点です。
Cloudflare は、あらゆる規模の企業や組織におけるサイバーセキュリティガバナンスの向上という英国政府の使命に完全に賛同しています。ベースラインを引き上げるすべての組織が、インターネットを他のすべての人にとってより安全なものにします。Cloudflare のミッションは、より良いインターネットを構築するお手伝いをすることであり、私たちは常に、サイバーセキュリティとレジリエンスは普遍的である場合に最も効果的に機能すると信じてきました。よりレジリエントなインターネットこそが、より良いインターネットです。
なぜレジリエンスが重要なのか
サイバーレジリエンス(Cyber Resilience)は、もはや中核的なビジネス要件として広く認識されています。顧客は、サービスが常に利用可能で、迅速に対応でき、信頼できることを期待しています。これは、攻撃の増加や障害、悪用、複雑化など、運用環境がより困難になる状況であっても同様です。
レジリエンスとは、最終的には何かが失敗した後の回復だけでなく、脅威信号を能動的に追跡し、混乱をシームレスに吸収し、より良く適応するためのセキュリティシステムと運用モデルを設計することです。このように、セキュリティとレジリエンスは不可分であり、セキュリティ制御こそがレジリエンスを実体化させるものです。
Cloudflare がセキュリティを通じてレジリエンスを強化する方法
当社のネットワークの規模を活かし、脅威がコアシステムに到達する前にエッジに近い場所で保護をシフトすることで、組織のレジリエンス構築をお手伝いできます。サイバーレジリエンスについては、いくつかの中核となるアーキテクチャ原則に基づいて考えています。
セキュリティは製品ティアではなくデフォルトとして
Cloudflare は、基本的なセキュリティ保護はすべての人に利用可能であるべきだと信じており、設立以来この原則を実践してきました。私たちは、トラフィックの暗号化に必須となる SSL 証明書を全ユーザーに対して最初に提供しました。また、Project Galileo や Athenian Project といった Impact プログラムを通じて、脆弱な声を保護しています。さらに、ネットワーク全体におけるポスト量子暗号の展開など、インターネット暗号技術の限界を絶えず押し広げています。無料プランには、攻撃の規模、継続時間、またはボリュームに関係なく無制限の DDoS 保護が含まれており、グローバルコンテンツデリバリーネットワーク (CDN) および DNSSEC へのアクセスも提供しています。これらの機能は従来、高価なハードウェアと専門的なセキュリティチームを必要としていました。しかし、組織のレジリエンスを高め、英国経済全体のサイバーレジリエンスの底上げを目指すこの誓約が効果を発揮するためには、中小企業、地方自治体、公共サービス、スタートアップが参加できる費用負担でなければならないことが不可欠です。私たちのモデルは、まさにその目標を直接支援するものです。
ネットワークこそがセンサーである
Cloudflare は世界中で 13,000 以上のネットワークと直接ピアリングしているため、攻撃パターンは発生した瞬間に把握できます。ネットワークのある一部で収集された脅威インテリジェンスは、数秒のうちに他のすべての場所での保護に転換可能です。シンガポールの顧客に対する攻撃を軽減する過程で検出された脅威は、その直後にシェフィールドの顧客を守るルールとして機能します。この同じ可視性は、Cloudflare のネットワークおよびセキュリティサービス全体における攻撃の検出、スコアリング、対応方法を改善するためにも役立ちます。スケールした可視性が実現することで、Cloudflare の顧客とネットワークに対してスケールしたレジリエンスがもたらされます。
Cloudflare は自社の最初の顧客です
当社の顧客は、当社自身のシステムを保護するために使用されているのと同じ業界最高水準のセキュリティ製品およびインフラストラクチャの恩恵を受けます。Cloudflare の従業員は、社内アプリケーションへのアクセスに Cloudflare Access および Gateway を利用しており、内部システムに対するすべてのリクエストには、ハードウェアベースの多要素認証、ポスチャーチェック、暗号化された検証済みアイデンティティトークンが必要です。私たちはまず自社のセキュリティ層すべてをテストし、自社で得た教訓を活用して、自分たち自身とネットワークのためのより優れたセキュリティソリューションを構築しています。セキュリティをビジネスのあらゆるレベルに統合することで、Cloudflare はこの誓約の核心に位置する、根本からのコミットメントを示しています。
透明性と対応
最後に、回復力には、問題が発生した際の誠実さと透明性、そして将来のシステム強化へのコミットメントが必要です。セキュリティインシデントやゼロデイ脆弱性が発生した場合、私たちは Cloudflare Blog で詳細な技術的事後分析(postmortem)を公開します。侵害指標(IOC)やアーキテクチャの振り返りを共有し、より広いセキュリティコミュニティが当社のテレメトリから学べるようにしています。しかし、透明性は第一歩に過ぎません。私たちはすべてのインシデントを、ネットワークをより回復力あるものにするための命令として捉えています。昨秋の大規模な停止事象の後、Code Orange 取り組みによりエンジニアリングチームが動員され、回復力を重視した再構築が行われました。彼らはシステムを「小規模で失敗する」ように設計し、より安全な設定変更の強制やベストプラクティスの自動化を行う新しいツールを開発しました。これにより、同じ失敗が二度と起こらないようにしています。
Cloudflare におけるサイバー回復力誓約の実装方法
前述の通り、今回の自主的な誓約は、企業や組織に対し、取締役会の責任とガバナンス、サプライチェーンセキュリティ、および英国の Cyber Essentials 認証制度に基づく技術要件において特定の基準へのコミットメントを求めています。グローバルなサイバーセキュリティおよびネットワーク回復力プロバイダーとして、私たちは高度な内部サイバーセキュリティガバナンスモデルを運用しています。
取締役会の責任とガバナンス
サイバーセキュリティとレジリエンスは Cloudflare のグローバルビジネスの中核であり、私たちは取締役レベルでのサイバーセキュリティを強化する実践の開発と提唱においてリーダーとして誇りを持っています。
Cloudflare の取締役会は、サイバーリスクの監督を中核的な責任と捉えています。当社の取締役会には、最高セキュリティ責任者から少なくとも四半期ごとにサイバーセキュリティに関するブリーフィングが提供され、直接的な脅威に関するブリーフィングも含まれます。さらに、取締役会の監査委員会には、企業リスク管理に関する四半期ごとのブリーフィングが提供され、そこではサイバーリスクへの特定の焦点と、サイバー脅威およびリスクを定期的にレビューし軽減するための当社のプロセスが含まれています。
DSIT のツールキットやリソースが、英国経済全体にわたる取締役会の継続的なガバナンス努力のベンチマーク、強化、支援のために利用可能であることに感謝しています。
サプライチェーンセキュリティと Cyber Essentials (CE)
Cloudflare は厳格な国際的なセキュリティコンプライアンス認証を遵守しています。当社は、サプライチェーンに対して、Cyber Essentials の中核要件を組み込み、それに基づいて構築された包括的な国際基準を満たすことを要求しています。Cloudflare はグローバルにベンダーリスクを管理しており、Cyber Essentials プログラムの基本的な技術統制を含み、かつそれを上回る包括的な国際セキュリティフレームワークを優先しています。
より具体的には、Cloudflare は重要サプライヤーに対して、厳格かつ国際的に認められたセキュリティコンプライアンス認証およびレポートの遵守を要求します。主に ISO 27001 および SOC 2 Type II が該当します。これらのフレームワークは、ファイアウォールの実装、安全な設定、ユーザーアクセス制御、マルウェア対策、パッチ管理(Cyber Essentials の5つの柱)の明確な実施を求めています。
Cloudflare は引き続きリスクベースの手法を用いてサプライヤーを評価していきます。DSIT が Cyber Essentials Supplier Check Tool へのアクセス拡大を進めたことを称賛します。このツールは Cloudflare が英国内でサプライチェーン検証に採用できるものです。また、英国の Cyber Essentials がネイティブまたは実用的な認証ではないグローバルサプライヤーについては、Cloudflare は同等の国際認証(ISO 27001 など)を、堅牢なセキュリティ体制の十分な証明として受け入れます。これらの実践は、Cloudflare の重要サプライチェーンが厳格なセキュリティ審査を受け、Cyber Essentials が意図するリスク低減成果を満たすことを確実にします。
Onward
サイバーレジリエンスは一度きりの誓約ではなく、安全に障害を起こし、素早く回復し、より良くなるために学ぶシステムを構築し続ける継続的な実践です。英国の組織にとってこれは、セキュリティをビジネス上の最重要課題とし、経営陣の支持を得て、直面する脅威を理解したチームを持ち、リスク管理されたサプライチェーンを維持することを意味します。この誓約は、すべての組織が達成を目指すべき基準を設定しています。
Cloudflare は、セキュリティとレジリエンスが最も小さな開発者から最大規模の企業に至るまで、普遍的に利用可能であるべきという信念に基づいてプラットフォームを構築しました。私たちは DSIT および本誓約の他の署名者と共に立つことを誇りに思い、英国および世界中でサイバーレジリエンスを高めるための継続的なパートナーシップとイノベーションを楽しみにしています。
原文を表示
Today, the UK government launched the Cyber Resilience Pledge: a voluntary framework inviting organizations to commit to foundational cybersecurity governance, board-level accountability, and comprehensive cybersecurity coverage across supply chains. Cloudflare is proud to join the pledge’s founding cohort of signatories and continue our long-standing work with the Department of Science, Innovation and Technology (DSIT), National Cyber Security Centre, and others to shape a more secure, future-ready digital economy for the UK.
The pledge's core pillars — democratizing security, leadership accountability, and radical transparency — have been at the heart of Cloudflare since day one. Instead of approaching this framework as a new set of commitments to meet, we see it as a welcome validation from the UK government of the security philosophy and principles Cloudflare has championed for over a decade. We are glad to see the rest of the industry moving in this direction.
This pledge is an important step, and it comes at a time of significant cyber risk. In the first quarter of 2026, Cloudflare's global network blocked an average of 234 billion cyber threats every day. Recently, we mitigated a hyper-volumetric DDoS attack that peaked at 31.4 Tbps. At the end of 2025, Cloudflare data showed that the UK had risen to be the sixth-most targeted location across the globe for DDoS attacks, with threat actors increasingly targeting application-layer services in financial services, aviation, and regional government infrastructure. This trend is consistent with broader data from the UK Cyber Security Breaches Survey, which revealed that 43% of surveyed British businesses and 28% of charities reported suffering from a cyber incident this past year.
At the same time, frontier AI models are rapidly changing the security landscape, lowering the barrier to entry for attackers, and enabling more automated vulnerability scanning and more convincing phishing campaigns. Cloudflare has long been preparing for this shift. The defensive architecture we recently published for frontier cyber models reflects the same principle: security has to evolve as quickly as the threats companies face. Every layer of that harness architecture, from ML-based attack scoring to Zero Trust access controls, is available to Cloudflare customers today.
Against that backdrop, the pledge does something essential: it recognizes that collective defense is critical. It asks organizations to make cyber resilience a leadership-level priority, to implement appropriate controls to boost threat awareness, and to help ensure supply chains meet a meaningful security baseline. Most breaches still exploit well-understood gaps, like unpatched systems, weak access controls, or poor vendor oversight. Encouraging more organizations to close those gaps through enhanced governance, monitoring, and implementation is a necessary starting point.
Cloudflare is fully aligned with the UK government's mission to elevate cybersecurity governance within companies and organizations of all sizes. Every organization that raises its baseline makes the Internet safer for everyone else. Our mission at Cloudflare is to help build a better Internet, and we have always believed that cybersecurity and resilience work best when they are universal. A more resilient Internet is a better Internet.
Why resilience matters
Cyber resilience is increasingly recognized as a core business requirement. Customers expect services to be available at all times, responsive, and trustworthy. And that’s true even when the environment gets more challenging to operate in, whether from increased attacks, outages, abuse, or complexity.
Resilience ultimately is not just about recovering after something goes wrong. It is about designing security systems and operating models that can proactively track threat signals, seamlessly absorb disruptions, and adapt to be better. In this way, security and resilience are inseparable. Security controls are what make resilience real.
How Cloudflare helps strengthen resilience through security
Thanks to the scale of our network, we can help organizations build resilience by shifting protection closer to the edge, before threats reach core systems. We think about cyber resilience through a few core architectural principles:
Security as a default, not a product tier
Cloudflare believes baseline security protections should be available to all and has been living that principle since our founding. We were the first to offer SSL certificates, required for traffic encryption, to all users. We protect vulnerable voices through our Impact programs like Project Galileo and the Athenian Project. We continuously push the boundaries of Internet cryptography, including the deployment of post-quantum cryptography across our network. Our free plan includes unmetered DDoS protection regardless of the size, duration, or volume of attacks, and also provides access to a global content delivery network (CDN) and DNSSEC. These capabilities have historically required expensive hardware and specialist security teams. But the pledge’s aim of elevating organizational resilience and raising the cyber resilience floor across the UK economy only works if small businesses, local authorities, public services, and startups can afford to participate. Our model directly supports that goal.
The network is the sensor
Because Cloudflare directly peers with more than 13,000 networks globally, we see attack patterns as they emerge. Threat intelligence collected in one part of the network can be turned into protection everywhere else in a matter of seconds. A threat detected while mitigating an attack on a customer in Singapore can become a rule that helps protect a customer in Sheffield moments later. That same visibility also helps improve how we detect, score, and respond to attacks across Cloudflare’s network and security services. Visibility at scale leads to resilience at scale for Cloudflare’s customers and network.
Cloudflare is customer zero
Our customers benefit from the exact same industry-leading security products and infrastructure that safeguard our own systems. Cloudflare employees use Cloudflare Access and Gateway to reach internal applications, and every request to an internal system requires hard key-based multi-factor authentication, posture checks, and cryptographically verified identity tokens. We test every security layer on ourselves first, and use our own internal learnings to build better security solutions for ourselves and our network. By integrating security into every level of the business, Cloudflare demonstrates a ground-up commitment that sits at the very heart of the pledge.
Transparency and response
Finally, resilience requires honesty and transparency when things go wrong and a commitment to strengthen systems for the future. When security incidents or zero-day vulnerabilities emerge, we publish deep-dive technical postmortems on the Cloudflare Blog. We share indicators of compromise and architectural retrospectives, so the broader security community can learn from our telemetry. But transparency is only the first step. We treat every incident as a mandate to make our network more resilient. After a significant outage last fall, our Code Orange effort mobilized engineering teams to rebuild for resilience. They designed systems to "fail small," and built new tooling to enforce safer configuration changes and automate best practices, so the same failure can't happen twice.
How Cloudflare implements the Cyber Resilience Pledge commitments
As noted above, today’s voluntary pledge asks companies and organizations to commit to certain standards in board responsibility and governance, supply chain security, and the technical requirements under the UK’s Cyber Essentials certification scheme. As a global cybersecurity and network resilience provider, we operate an advanced internal cybersecurity governance model.
Board responsibility and governance
With cybersecurity and resilience at the core of Cloudflare's global business, we are proud to be a leader in developing and advocating for practices that strengthen cybersecurity at the board level.
Our Board of Directors treats cyber risk oversight as a core responsibility. Cloudflare’s Board receives cybersecurity briefings from our Chief Security Officer on at least a quarterly basis, including direct threat briefings. In addition, the Audit Committee of the Board receives quarterly briefings on enterprise risk management that include a specific focus on cyber risks and the company's process for regularly reviewing and mitigating cyber threats and risks.
We are grateful that DSIT's toolkit and resources are available to benchmark, reinforce, and support boards' ongoing governance efforts across the entire UK economy.
Supply chain security and Cyber Essentials (CE)
Cloudflare adheres to rigorous international security compliance certifications. We require our supply chain to meet comprehensive international standards that incorporate and build upon the core requirements of Cyber Essentials. Cloudflare manages vendor risk globally, prioritizing comprehensive international security frameworks that encompass and exceed the fundamental technical controls of the Cyber Essentials program.
More specifically, Cloudflare requires critical suppliers to adhere to rigorous, internationally recognized security compliance certifications and reports — primarily ISO 27001 and SOC 2 Type II. These frameworks explicitly require the implementation of firewalls, secure configurations, user access controls, malware protection, and patch management (the five core pillars of Cyber Essentials).
Cloudflare will continue to use a risk-based methodology to evaluate suppliers. We commend DSIT for expanding access to the Cyber Essentials Supplier Check Tool, which Cloudflare can adopt for localized supply chain validation within the UK. And for global suppliers where UK Cyber Essentials is not a native or practical certification, Cloudflare will accept equivalent international certifications (like ISO 27001) as sufficient verification of a robust security posture. These practices help ensure that Cloudflare's critical supply chain undergoes stringent security vetting, meeting the risk-reduction outcomes intended by Cyber Essentials.
Onward
Cyber resilience is not a one-time pledge — it is a continuous practice of building systems that fail safely, recover quickly, and learn to be better. For organizations across the UK, it means making cybersecurity a business-critical priority, with leadership buy-in, teams that understand the threats they face, and supply chains managed for risk. The pledge sets a baseline that every organization should strive to meet.
Cloudflare built its platform on the belief that security and resilience should be universal and available to both the smallest developer and the largest enterprise. We are proud to stand with DSIT and the other signatories of this pledge, and look forward to continued partnership and innovation to elevate cyber resilience across the UK and around the globe.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み