CISA CPGsとは
CISA CPGs(Cross-Sector Cybersecurity Performance Goals)は、米国サイバーセキュリティ・社会基盤安全保障庁(CISA)が策定した、重要インフラ事業者向けのサイバーセキュリティ実践目標です。電力、水道、通信、医療、金融など分野横断で適用可能な「最低限実施すべきサイバーセキュリティ対策」を、具体的かつ測定可能な形で定義しています。
CPGsの特徴は、NIST CSFのような包括的なフレームワークとは異なり、リスク削減効果が高い限定的な対策に絞り込んでいる点です。中小規模のインフラ事業者でも実装可能な、コスト効率の高い対策が優先的に選定されています。
CPGsは義務ではなく任意の実践目標です。包括的なフレームワーク(NIST CSF)の代替ではなく、「まず何から始めるべきか」を示す最優先ベースラインとして設計されています。
策定の背景
近年、米国ではランサムウェアによるパイプライン停止(Colonial Pipeline事件、2021年)、水処理施設への不正アクセス(Oldsmar事件、2021年)など、重要インフラを標的とするサイバー攻撃が急増しました。これを受け、2022年に初版(Ver.1.0)が公開され、2025年にはNIST CSF 2.0に対応したCPG 2.0が公開されています。
IPAは国内のインフラ事業者支援を目的に、CPGs Ver.1.0.1の日本語翻訳版を2023年8月に公開しました。
6つの機能領域
CPG 2.0はNIST CSF 2.0に合わせて6つの機能にゴールを分類しています(Ver.1.0.1は5機能)。
| 機能 | 概要 | 主なゴール例 |
|---|---|---|
| Govern(統治) | 経営層のサイバーセキュリティへの関与・責任 | サイバーセキュリティ責任者の任命、リスク管理戦略の策定 |
| Identify(特定) | 資産・リスクの把握 | IT/OT資産のインベントリ管理(月次更新)、サプライチェーンリスクの把握 |
| Protect(防御) | アクセス制御・データ保護 | MFA(特権アカウント必須)、デフォルトパスワードの変更、データ暗号化 |
| Detect(検知) | 異常・インシデントの検知 | セキュリティログの収集・保管、ネットワーク監視 |
| Respond(対応) | インシデント対応 | インシデント対応計画の策定・年次訓練、CISAへの報告手順 |
| Recover(復旧) | 復旧・事業継続 | バックアップの定期テスト、復旧計画の策定 |
主要なゴールの内容
アカウントセキュリティ
- MFAの実装:すべてのインターネット公開サービスと特権アカウントにMFAを必須化
- デフォルトパスワードの変更:出荷時のデフォルトパスワードを即座に変更
- 離職者のアクセス無効化:退職・異動時のアカウント無効化を24時間以内に実施
デバイスセキュリティ
- 資産インベントリ:IP アドレスを持つすべてのIT/OT資産を月次で棚卸し
- 既知の脆弱性の解消:CISAのKEV(Known Exploited Vulnerabilities)カタログに掲載された脆弱性を迅速にパッチ適用
- OT/ITネットワークの分離:制御システム(OT)と情報系システム(IT)のネットワーク分離
データセキュリティ
- ログの収集・保管:セキュリティログを収集し、不正検知とインシデント対応に活用
- データ暗号化:保管時・転送時の暗号化
- バックアップと復旧テスト:定期的なバックアップと実際の復旧テストを実施
ガバナンス
- サイバーセキュリティ責任者の任命:組織内にサイバーセキュリティの責任者を指名
- OTセキュリティ責任者:OT環境を持つ組織はOT専任のセキュリティ責任者を任命
- サイバーセキュリティ教育:全従業員に年1回以上のセキュリティ研修を実施
CPG 2.0の変更点
| 変更点 | 内容 |
|---|---|
| Govern機能の追加 | NIST CSF 2.0に合わせて「統治」機能を新設。経営層の責任と関与を明確化 |
| IT/OTゴールの統合 | Ver.1.0.1で別々だったIT向け・OT向けゴールを統合し、ユニバーサルゴールに |
| 新規ゴールの追加 | MSP(マネージドサービスプロバイダー)のリスク管理、最小権限の原則、インシデント通知手順等 |
| 重複ゴールの削除 | 運用データに基づき、重複する3ゴールを削除(他のゴールに統合) |
| 評価指標の改善 | 各ゴールのコスト・影響度・実装容易度の評価基準を改善 |
NIST CSF 2.0との関係
| 項目 | NIST CSF 2.0 | CISA CPGs |
|---|---|---|
| 性質 | 包括的なフレームワーク | 優先度の高いベースライン対策 |
| 対象 | あらゆる組織 | 重要インフラ事業者(中小規模にも対応) |
| 網羅性 | 高い(数百のサブカテゴリ) | 限定的(高優先度の対策に絞り込み) |
| 使い方 | 成熟度の向上を目指す全体的な指針 | 「まず何をすべきか」の出発点 |
CPGsは「NIST CSFの入口」として位置づけられ、CPGsのベースラインを達成した上でCSFの全体的な成熟度向上を目指すという段階的アプローチが推奨されています。
IPA日本語翻訳版の活用
IPAは国内のインフラ事業者のセキュリティ確保を支援する目的で、CPGs Ver.1.0.1の日本語翻訳版を公開しています。翻訳版はIPAの制御システムセキュリティのページからダウンロードできます。
日本の重要インフラ事業者は、経済産業省の「重要インフラのサイバーセキュリティに係る行動計画」とCPGsを併用することで、国際的なベストプラクティスと国内の行動計画を両立させることができます。
まとめ
CISA CPGsは重要インフラ事業者向けの「最優先サイバーセキュリティ対策」を具体的かつ測定可能な形で定義した実践目標です。CPG 2.0ではNIST CSF 2.0のGovern機能が追加され、経営層のサイバーセキュリティへの関与が明確に求められています。IPA翻訳版を活用し、自社のセキュリティベースラインの評価に役立てましょう。