重要インフラをどう守る 米国の最新指針が示す処方箋
CISAは重要インフラ保護に向けたサイバーセキュリティ指針「CPGs」のバージョン2.0を公開した。経営層の関与を促す「ガバナンス」部門の新設や、ITとOTの統合、サプライチェーン対策などが盛り込まれた。
サイバー攻撃で狙われると最も危険なのはインフラだ。電力や水などが狙われると企業活動にも市民生活にも多大な影響がある。
米国はインフラ事業者に対してセキュリティ基準を示している。これは日本企業にも参考になる。最新の基準について紹介しよう。
重要インフラをどう守る 米国の最新指針が示す処方箋
米国で全国的なサイバーセキュリティと重要インフラ保護の調整に当たっているのはサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)だ。CISAは重要インフラ事業者がサイバー攻撃者から自社のシステムを守るために活用する基準を最近更新した。
CISAが2025年12月11日(現地時間、以下同)に公開した「Cross-Sector Cybersecurity Performance Goals」(CPGs)のバージョン2.0は次のようなものだ(注1、注2、注3)。
「これまで3年間基準を運用してきた。その知見を取り入れて、データに基づいた実行可能な指針を通じて新たな脅威に対応する。これらの強化は説明責任を促進し、リスク管理を改善するとともに、分野横断的な戦略的サイバーセキュリティ・ガバナンスを支援することを目的としている」(CISA)
サイバーセキュリティの監督におけるビジネスリーダーの関与の重要性を強調する新たなカテゴリー「ガバナンス」の追加や、IT/OTに関する目標の一本化、サプライチェーンリスクやゼロトラストアーキテクチャ、インシデント対応時のコミュニケーションに焦点を当てた新たな目標の設定、組織がCPGsをどのように実装すべきかについての表現の明確化などが追加された内容だ。
CISAのマドゥ・ゴットゥムッカラ氏(臨時局長)は、声明の中で次のように述べた。
「政府や業界のステークホルダー数百人からのフィードバックを踏まえて今回の変更に反映した。バージョン2.0は、パートナーの意見に耳を傾けて、それを取り入れ、組織が実際に行動に移せるような実践的で成果志向の指針を提供するというわれわれの姿勢を示すものだ」
新たなフレームワークではその他の変更点もある。各目標におけるコストや影響、難易度の説明を改善したことや、3つの目標を削除して、他の部分と統合したことが挙げられる。CISAは新しい文書の中で「実際の利用データや実務者からのフィードバックにより、これらの単独の項目(3つの目標)は分かりにくく、十分に活用されていないことが示された」と述べた。
企業の投資に役立つ判断基準を提供
全ての重要インフラ組織に対して明確で統一されたセキュリティの期待値を示すため、CISAは分野を横断するCPGsを2022年末に初めて公開した(注4)。その後、同庁は情報技術や化学分野向けの分野別CPGsを策定した(注5、注6)。CISA以外の政府機関も医療やエネルギー分野向けの目標を策定した(注7、注8)。
これらは組織に測定可能な目標を提供し、ITとOTの間にある分断を解消するとともに、経営層が戦略的なサイバーセキュリティ投資を判断する際の助けとなるように設計されている。
出典:CISA updates cybersecurity benchmarks for critical infrastructure organizations(Cybersecurity Dive)
注1:Cross-Sector Cybersecurity Performance Goals(CISA)
注2:Cross-Sector Cybersecurity Performance Goals(CISA)
注3:CISA Unveils Enhanced Cross-Sector Cybersecurity Performance Goals(CISA)
注4:DHS Announces New Cybersecurity Performance Goals for Critical Infrastructure (Homeland Security)
注5:Information Technology (IT) Sector-Specific Goals (SSGs)(CISA)
注6:Chemical Sector-Specific Goals (SSGs)(CISA)
注7:HPH Cybersecurity Performance Goals(HHS Headquarters)
注8:New DOE-Funded Initiative Outlines Proposed Cybersecurity Baselines for Electric Distribution Systems and Distributed Energy Resources(U.S. DEPARTMENT of ENERGY)
© Industry Dive. All rights reserved.
関連記事
政府主導の「脆弱性削減作戦」の成果はいかに?
企業が利用するソフトウェアの種類は予想以上に多い。どこに脆弱性が潜んでいるのかは分からない。国が音頭を取って脆弱性を減らす取り組みが進んでいるものの、成果は出ているのだろうか。
攻撃目標は「AIと再エネ」、重要インフラを狙う国とは
再生可能エネルギーの導入安定化に不可欠な蓄電池エネルギー貯蔵システム(BESS)に対するサイバー攻撃のリスクが急増している。米国ではBESSの出力が大型原子炉約30基分に相当する規模まで拡大しているが、管理体制の整備が普及速度に追い付いていない。これは間接的にAIの安定動作にも影響する。
なぜCiscoの脆弱性は狙われたか 政府機関を襲う「ArcaneDoor」攻撃の脅威
Cisco Systemsのファイアウォール製品で見つかった複数の脆弱性が高度な攻撃者に悪用されている。このため、政府機関には緊急の修正が求められている。攻撃者はROMを改ざんして永続的に潜伏する手口を使うという。
「米国を攻撃するのなら今だ」 サイバー犯罪者がこのように考える理由とは
米国はサイバーセキュリティでは世界の先頭を走ってきた。脆弱性情報をいち早く発して、さまざまな団体を支援してきた。だが、風向きが明らかに変わった。連邦政府がサイバーセキュリティへの支援を打ち切ろうとしているからだ。これから何が起こるのだろうか。