INDEX
「サイバー対策をしなくてはならないのはわかっているが、どこから始めればいいかわからない」
中堅・中小企業のIT担当者や経営者から、こうした声を頻繁に聞く。NIST(アメリカ国立標準技術研究所)が、組織のサイバーセキュリティリスクを管理・軽減するために設計した「サイバーセキュリティフレームワーク(CSF)」は優れた体系だが、項目数も多く、自社がどこから投資すべきかが見えにくい。
このような悩みを解決し「初めの一歩」を踏み出すために、アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)が公表しているのが「Cross-Sector Cybersecurity Performance Goals(CPG)」だ。
CPGは、重要インフラ事業者がサイバー脅威から身を守るための「最低限かつ最優先の対策」をまとめた自主的なガイドラインだ。
CPG自体は、アメリカの重要インフラ関連組織を想定して作られたものではあるが、CISAはどのような規模の民間企業でも参考にできる指針であるとしている。
2022年10月に「CPG1.0」、25年12月には「CPG2.0」が公開。CISAは24カ月から36カ月という目標改定サイクルを定めており、最新の脅威動向等が反映されるようにしている。ここでは、「CPG2.0」の骨格と主要な変更点を整理し、日本企業が今すぐ取り組むべき実践ポイントを解説する。
「義務」ではなく「下限の目安」
CPGを一言で表すなら、「全業種に共通して適用できる、優先度付き、最低限のサイバー対策リスト」だ。
CISAは重要インフラへの実際のインシデント対応・脅威ハンティング活動から得た知見をもとに、「攻撃者が実際に悪用しているTTP(戦術・技術・手順)のリスクを最も効率よく低減できる」対策を厳選している。選定基準は以下の3点に集約される。
2. 明確で、実行可能で、定義しやすいこと
3. 中小規模の組織が法外なコストなく実装できること
重要な点は、CISAがCPGを「上限ではなく下限」と位置づけている点だ。CPGを達成しただけで十分というわけではなく、あくまで「ここまでは最低限やっておくべき」という水準を示している。
義務ではなく自主的な採用が前提だが、特にサプライチェーンや重要インフラに関わる組織では、CPGの項目が未対策の場合、リスク管理の観点で改善の余地がある状態と言える。
次ページが続きます:
【なぜCSFだけではダメだったのか?CPGが作られた背景】
