概要

米サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、病院や水処理施設などの重要インフラ事業者向けのサイバーセキュリティパフォーマンス目標 (CPG) のバージョン2.0を発表しました。この更新は、2022年に最初に発行された目標を合理化し、新たな脅威に対応するためのものです。

更新されたCPG 2.0の主な変更点

• 「統治 (Govern)」カテゴリの追加: ビジネスリーダーがサイバーセキュリティの監督に関与することの重要性を強調。
• ITとOT目標の統合: 情報技術 (IT) と運用技術 (OT) の目標を統合し、より包括的なアプローチを促進。
• 新たな重点領域: サプライチェーンリスク、ゼロトラストアーキテクチャ、インシデント対応コミュニケーションに関する新しい目標が追加。
• 明確なガイダンス: 組織がCPGを実装するためのより明確な言語と説明を提供。

CISAは、今回の変更が「3年間の運用上の洞察を組み込み、データ駆動型で実用的なガイダンスを通じて新たな脅威に対応する」ものであると述べています。

変更の背景と目的

バージョン2.0への変更は、政府および業界の「数百に及ぶ利害関係者」からのフィードバックに基づいて行われました。CISAの暫定ディレクターであるマドゥ・ゴットゥムカラ氏は、「バージョン2.0は、パートナーのフィードバックに耳を傾け、それを組み込むという我々のコミットメントを示すものであり、組織が行動を起こせる実用的で成果重視のガイダンスを提供する」とコメントしています。

また、各目標のコスト、影響、難易度レベルに関する説明も改善されました。一方で、当初のCPGに含まれていた3つの目標は、混乱を招き、十分に活用されていなかったため、他の部分に統合される形で削除されました。

CPGの継続的な発展

CISAは、2022年後半に最初のクロスセクターCPGをリリースし、すべての重要インフラ組織に明確で統一されたセキュリティ期待を提供しました。その後、ITおよび化学部門向けのセクター固有CPGが開発され、他の機関もヘルスケアおよびエネルギー分野の目標を策定しました。金融セクター向けのCPGも近日中に公開される予定です。

これらの目標は、組織に測定可能な目標を与え、ITとOT間のサイロを解消し、ビジネスリーダーが戦略的なサイバーセキュリティ投資を行うのを支援することを目的としています。

元記事: https://www.cybersecuritydive.com/news/cisa-cybersecurity-performance-goals-update/807766/