1/4 PAGES
2/4 PAGES
3/4 PAGES
CISAはCSFを否定しているわけではない。CPGをCSFの「入り口」と位置づけている。
「CPG1.0」が公開された当時は独立したガイダンスであったが、1.0.1以降からNIST CSFとの整合性が意識されている。最新版である「CPG2.0」のすべての対策項目はNIST CSFのサブカテゴリにマッピングされており、CPGを実装済みの組織はその部分についてCSFの対応管理策も満たしていることになる。
つまり、CPGはCSFへの「初めの一歩」であり、CSFはその先にある「包括的なリスクマネジメントプログラム」として機能する。
従って「CPGを達成すれば安全」ではなく、「CPGを達成してからCSF等の高度な対策へ進む」という段階的な使い方が意図されている。
「CPG2.0」では「統治(GOVERN)」機能が追加された
旧バージョン(v1.0.1)は「識別・防御・検知・対応・復旧」の5機能構成だったが、「CPG2.0」ではNISTの「CSF2.0」との整合を図り「統治(GOVERN)」が新たに追加、これまでの内容も含めて再編された。
統治機能に含まれる目標は5つあり、1.Bと1.Eが新規で追加されている。
CPG2.0「統治(GOVERN)」における5つの目標
1.A サイバーセキュリティの責任を確立する
サイバーセキュリティに関わるすべての役割・責任を組織のサイバーセキュリティポリシーに文書化することが推奨されている。OT環境を持つ場合はITチームとの継続的な連携体制を確立・維持する。
1.B サイバーセキュリティの監督を管理する
サイバーセキュリティポリシーを少なくとも年1回レビューし、脅威・規制・組織ミッションの変化を反映する。一度作ったら終わりではなく、継続的な更新を実施する。
1.C インシデント対応計画を維持する
一般的・組織固有の脅威シナリオに基づくインシデント対応計画を策定し、少なくとも年1回の見直しと訓練を実施することが望ましい。OT環境ではIT環境とは異なる独自の安全・封じ込め要件に対応した計画が必要とされている。
1.D サプライチェーン・インシデントの報告と脆弱性開示
ベンダーとのサービス内容合意書(SLA)や契約書にセキュリティインシデント通知義務を明記する。OT資産を持つ組織はシリアル番号やデジタル証明書といった真正性を検証できるその他の識別機能を文書化し追跡する必要がある。
1.E マネージドサービスプロバイダー(MSP)からのリスクを管理する
MSPが提供するセキュリティ製品を含むサービスについての理解を深め、維持する。これには、契約上の合意を理解し、契約内のサービスだけでなく、契約範囲外のセキュリティギャップも想定することが望ましいとされている。
1.A サイバーセキュリティの責任を確立する
サイバーセキュリティに関わるすべての役割・責任を組織のサイバーセキュリティポリシーに文書化することが推奨されている。OT環境を持つ場合はITチームとの継続的な連携体制を確立・維持する。
1.B サイバーセキュリティの監督を管理する
サイバーセキュリティポリシーを少なくとも年1回レビューし、脅威・規制・組織ミッションの変化を反映する。一度作ったら終わりではなく、継続的な更新を実施する。
1.C インシデント対応計画を維持する
一般的・組織固有の脅威シナリオに基づくインシデント対応計画を策定し、少なくとも年1回の見直しと訓練を実施することが望ましい。OT環境ではIT環境とは異なる独自の安全・封じ込め要件に対応した計画が必要とされている。
1.D サプライチェーン・インシデントの報告と脆弱性開示
ベンダーとのサービス内容合意書(SLA)や契約書にセキュリティインシデント通知義務を明記する。OT資産を持つ組織はシリアル番号やデジタル証明書といった真正性を検証できるその他の識別機能を文書化し追跡する必要がある。
1.E マネージドサービスプロバイダー(MSP)からのリスクを管理する
MSPが提供するセキュリティ製品を含むサービスについての理解を深め、維持する。これには、契約上の合意を理解し、契約内のサービスだけでなく、契約範囲外のセキュリティギャップも想定することが望ましいとされている。
またCPG2.0では、上記の1.Bと、1.Eに加えて以下4つが新規に追加された。
・3.H 最小特権の原則を実装する
・4.A 悪意のあるコードの検知を確立する
・4.B 敵対的な事象を識別する
・5.A インシデントのコミュニケーション手順を確立する
次ページが続きます:
【CPG 2.0が問い直す「サイバーセキュリティ経営」の本質】
4/4 PAGES
