海の向こうの“セキュリティ”

米CISAの「分野横断サイバーセキュリティパフォーマンス目標 2.0」では“ガバナンス”に着目。新たに追加された項目を読む

  • 山賀 正人

2026年2月10日 06:00

 2025年12月、米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)は「分野横断サイバーセキュリティパフォーマンス目標(Cross-Sector Cybersecurity Performance Goals、以降CPG)」のバージョン2.0を公開しました。

 CPGとは、規模によらず全ての重要インフラ事業者が実装することが望ましい最低限のサイバーセキュリティ保護策をまとめたもので、包括的なものではありません。また、あくまで自主的に採用してもらうことを意図したもので、義務付けられたものでもありません。

 ところで本連載では、CISAが公開した「IT分野固有目標(IT Sector Specific Goals)」を2025年2月の記事で紹介しました。これはCPGに基づいた分野固有目標(Sector Specific Goal、以降SSG)のIT分野版でした。ちなみに、IT分野以外では、化学分野、エネルギー分野、ヘルスケア分野などに向けたSSGも、それぞれCISAまたはそれ以外の組織から提供されています。

 今回は、このCPGの前のバージョンである1.0.1(2023年3月更新)からの変更点を中心に、バージョン2.0の内容を簡単に紹介します。なお、バージョン1.0.1の日本語訳は情報処理機構(IPA)のウェブサイトで公開されています。

 今回更新されたCPGは、米国立標準技術研究所(National Institute of Standards and Technology、以降NIST)が2024年2月に公開したサイバーセキュリティフレームワーク(Cybersecurity Framework)バージョン2.0に準拠しており、過去3年間の運用に関する知見を反映しています。特に、今回の更新は説明責任の促進、リスク管理の改善、分野横断的な戦略的サイバーセキュリティガバナンスの支援を目的としています。

 今回の更新による「改善点(improvements)」としてCISAは以下のように説明しています。

管理(ガバナンス)重視

新たな「管理(Govern)」機能により、サイバーセキュリティにおける組織リーダーシップの重要性が強調され、既存の目標を再編成するとともに、リスク管理戦略、ポリシー策定、経営陣の説明責任に焦点を当てた2つの新目標が導入された。

統一された目標構造

運用技術(OT)と情報技術(IT)の目標が共通の目標に統合され、IT、モノのインターネット(IoT)、OT環境間のサイロ化が解消された。

脅威対応の拡張

新しい目標では、新たに現れた脅威、サードパーティリスク、ゼロトラストアーキテクチャ、インシデント伝達プロトコルに取り組んでいる。

合理化されたフレームワーク

重複、不明確、または活用不十分の目標を削除し、明確さと使いやすさを向上させている。

改善された文書化

より明確な方法論と補足資料を各目標に追加し、推測を減らして実装を改善している。

 バージョン2.0におけるパフォーマンス目標は大きく分けて以下の6つに分類されています。

  1. 管理(Govern) - 5項目
  2. 識別(Identify) - 5項目
  3. 防御(Protect) - 19項目
  4. 検知(Detect) - 2項目
  5. 対応(Respond) - 2項目
  6. 復旧(Recover) - 1項目

 これらの全34項目のそれぞれについて以下が示されています。

  • 成果(Outcome)
  • 対処されるリスク(Risk Addressed)
  • 範囲(Scope)
  • 推奨される行動(Recommended Action)
  • コスト(Cost)
  • インパクト(Impact)
  • 実装の容易さ(Ease of Implementation)

 一方、バージョン1.0.1では以下の5つに分類されていました。バージョン2.0で「管理(Govern)」が新たに加えられたことが分かります。

  1. 識別(Identify) - 9項目
  2. 防御(Protect) - 24項目
  3. 検知(Detect) - 1項目
  4. 対応(Respond) - 3項目
  5. 復旧(Recover) - 1項目

 また、バージョン1.0.1で各項目に示されているのは以下でした。

  • 成果(Outcome)
  • 対処されるTTPまたはリスク(TTP or Risk Addressed)
  • 範囲(Scope)
  • 推奨される行動(Recommended Action)

 ただし、バージョン1.0.1のワークシートには他に「インパクト(Impact)」「コスト(Cost)」「複雑さ(Complexity)」なども含まれており、これらも含めると、概ねバージョン2.0も同じと言えるでしょう。

 ここからは、バージョン2.0で新たに導入された「管理(Govern)」で挙げられている5項目について紹介します。

1.A サイバーセキュリティの責任の確立

成果:

  • 組織のサイバーセキュリティプログラムに関連する役割、責任、権限は、組織内および外部パートナーとの間で確立、伝達、実施、調整される。

対処されるリスク:

  • 十分なサイバーセキュリティの説明責任、投資、または有効性の欠如。

範囲:

  • 経営幹部、重要部門のリーダー、物理セキュリティおよびサイバーセキュリティ担当者、サードパーティの請負業者、ベンダー、サプライヤー。

推奨される行動:

  • サイバーセキュリティに関わる全ての役割と責任は、組織のサイバーセキュリティポリシーにおいて文書化されるべきである。
  • サイバーセキュリティポリシーおよびプログラムに関わる役割と責任は組織全体に分散されている。これらの活動を支援するために、サードパーティの請負業者が関与する場合もある。
  • プライバシーを含むサイバーセキュリティに関する法的および規制上の要件が確実に実装および管理されるようにする。
  • OT:プロセスを合理化し、セキュリティ対策を強化し、運用効率を高めるために、情報技術(IT)チームと運用技術(OT)チーム間の継続的な連携を確立し、維持する。

コスト:

インパクト:

実装の容易さ:

  • 中(Moderate)

1.B サイバーセキュリティ監視の管理

成果:

  • 組織のサイバーセキュリティリスク管理戦略、期待事項、およびポリシーが確立される。

対処されるリスク:

  • 組織の技術とプロセスに対するサイバーセキュリティリスクを管理できるサイバーセキュリティポリシーおよび手順/実践が不十分である。

範囲:

  • 組織全体。

推奨される行動:

  • サイバーセキュリティプログラムの管理に関するポリシーは、少なくとも年に1回見直しを行ない、変更が適用された際には更新し、周知徹底して実施することで、要件、リスク、脅威、技術、そして組織の使命の変化を反映する。ポリシーは組織とそのサイバーセキュリティ戦略に基づいて策定され、優先順位は周知徹底されて実施される。組織のガバナンスには、組織の規制、法律、リスク、環境、そして運用上の義務を管理するために必要なポリシー、手順、プロセスが含まれることが推奨される。
  • OT:OT固有のポリシーと手順では、既存のITサイバーセキュリティプログラムの限界を考慮して、重要な運用機能の優先順位、OT固有のセキュリティ上の懸念事項、および補完統制(Compensating controls)を特定すべきである。

コスト:

インパクト:

実装の容易さ:

1.C インシデント対応計画の管理

成果:

  • サイバーセキュリティとインシデント対応(IR)計画を実践して改善点を特定し、組織のサイバーセキュリティプログラムを維持および更新する。

対処されるリスク:

  • サイバーセキュリティインシデントを迅速かつ効果的に隔離、封じ込め、根絶、修復、伝達することができない。

範囲:

  • 組織全体。

推奨される行動:

  • 組織は、一般的な脅威シナリオと組織固有の脅威シナリオ(例:分野別、地域別)および戦術、技術、手順(TTP)について、IR計画を策定、維持、更新し、定期的に訓練を実施する。訓練は現実的な内容とし、全ての関係者が参加するようにする。IR計画は少なくとも年に1回は見直し、訓練を実施すべきである。
  • OT:OTのIR計画では、既存のIT計画や優先順位とは異なる、固有の安全性と封じ込めに関する考慮事項を反映させる。

コスト:

インパクト:

実装の容易さ:

1.D サプライチェーンのインシデント報告と脆弱性開示

成果:

  • 組織はベンダーやサービスプロバイダー全体で既知のインシデントや侵害をより迅速に把握し、対応できるようになる。

対処されるリスク:

  • サイバーセキュリティサプライチェーンリスク管理(C-SCRM)の実践が不十分なため、組織の技術とプロセスをセキュアに支えられない。

範囲:

  • サードパーティのベンダーおよびサービスプロバイダー。

推奨される行動:

  • サービスレベル契約(SLA)などの調達文書および契約では、ベンダーやサービスプロバイダーが、組織によって定められた、リスクを考慮した時間枠内で、セキュリティインシデントや脆弱性を調達顧客に通知することが規定されている。
  • OT:OT資産を持つ組織は、ベンダーが提供するOTのハードウェア、ソフトウェア、ファームウェアの真正性を検証可能とするシリアル番号、チェックサム、デジタル証明書/署名、またはその他の識別機能を文書化して追跡する必要がある。

コスト:

インパクト:

実装の容易さ:

  • 複雑(Complex)

1.E マネージドサービスプロバイダーからのリスクの管理

成果:

  • マネージドサービスプロバイダー(MSP)によってもたらされるリスクは、関係期間を通じて、特定、記録、評価、優先順位付け、監視、更新される。

対処されるリスク:

  • 攻撃者は、信頼されたサードパーティとの関係を不正使用することで脆弱性を悪用する可能性がある。

範囲:

  • 組織のITおよび/またはOTのインフラ、サイバーセキュリティプロセス、および/またはその他の関連する業務運営を遠隔から管理するサービスプロバイダー。

推奨される行動:

  • MSPが提供するセキュリティ製品を含むサービスについて理解を深め、維持する。契約上の合意事項を理解し、契約の範囲外にあるセキュリティ上の不備には先を見越して対処する。例:顧客の環境に影響を与えるインシデントをMSPが顧客に報告する方法とタイミングを契約書に詳細に記載すべきである。

コスト:

インパクト:

実装の容易さ:

  • 複雑

 バージョン2.0では、38項目あったバージョン1.0.1の内容を29項目まで減らし、新たに「管理(Govern)」として5項目を加えた内容となっており、しかもその「管理」を最初に持ってきていることからも、今回の更新の「目玉」がそこにあることがよく分かります。経営層を含めた「ガバナンス」に着目し、それを強調するのは昨今の流れとして自然であり、時代のニーズを反映して更新された今回のバージョン2.0は、重要インフラ事業者に限らず、広く多くの企業や組織にとっても大いに参考になるところがあるはずです。セキュリティ担当者であれば一度は目を通しておくべき資料でしょう。

URL
CISA(2025年12月11日)
CISA Unveils Enhanced Cross-Sector Cybersecurity Performance Goals
https://www.cisa.gov/news-events/news/cisa-unveils-enhanced-cross-sector-cybersecurity-performance-goals
CISA(2025年12月11日)
Cybersecurity Performance Goals 2.0 (CPG 2.0)
https://www.cisa.gov/cybersecurity-performance-goals-2-0-cpg-2-0
海の向こうの“セキュリティ”(2025年2月12日)
米CISAが新たな「CPGs(セキュリティパフォーマンス目標)」発表、18項目からなるIT分野版の固有目標とは
https://internet.watch.impress.co.jp/docs/column/security/1659947.html
山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。