バイデン米政権、重要インフラ向けのサイバーセキュリティー対策目標を策定

(米国)

ニューヨーク発

2022年11月02日

米国サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は1027日、重要インフラ事業者が取るべき基本的なサイバーセキュリティー対策を示した「サイバーセキュリティー・パフォーマンス・ゴール(CPGs)」を公表外部サイトへ、新しいウィンドウで開きますした。CPGsは重要インフラ(注)に広く適用する対策をまとめ、事業者が対策の成熟度を測定・改善するための基準を示している。

CPGsは、ジョー・バイデン大統領が重要インフラの制御システムのサイバーセキュリティー改善に関する覚書外部サイトへ、新しいウィンドウで開きますに基づいて策定された。CPGsは全ての重要インフラ事業者を対象としているが、特に中小事業者による利用を意識して作成している。ただ、CPGsに法的拘束力はなく、事業者に政府への報告義務などを課すものではない。サイバーセキュリティー対策に関するガイドラインとしては、国立標準技術研究所(NIST)のサイバーセキュリティーフレームワーク(CSF外部サイトへ、新しいウィンドウで開きますがあるが、CPGsCSFを補完し、事業者による対策の優先順位付けを支援するものとして位置付けられている。

CPGsは(1)アカウントセキュリティー、(2)機器のセキュリティー、(3)データセキュリティー、(4)ガバナンスおよびトレーニング、(5)脆弱(ぜいじゃく)性の管理、(6)サプライチェーン・第3者、(7)事案対応および回復、(8)その他の8分野について、達成すべき成果や対処すべきリスク、具体的な対策などを挙げている。CISAは、CPGsの実施状況を確認するために事業者が使えるチェックリストPDFファイル(外部サイトへ、新しいウィンドウで開きます)も併せて公表した。

CISAのジェン・イースターリー長官は国土安全保障省が発表したプレスリリース外部サイトへ、新しいウィンドウで開きますを通じて、CPGsの策定に当たって官民から意見を聴取したことに言及。その上で、CPGsが今後数年で実施され、米国のサイバーセキュリティーリスクを最も効果的に低減するためにCPGsをどのように改善すればよいのか、利害関係者からさらに意見を収集することに期待を示した。CISACPGsの策定を受け、今後セクター別の対策基準も作る方針だ。

(注)CPGsで、重要インフラの定義は明記されていないが、CISA重要インフラ外部サイトへ、新しいウィンドウで開きますとして通信やエネルギー、金融サービス、医療・公衆衛生、情報技術、輸送システムなど16部門を挙げている。

(甲斐野裕之)

(米国)

ビジネス短信 c8e9ac6f668db081

ご質問・お問い合わせ

記事に関するお問い合わせ

ジェトロ海外調査企画課
E-mail:j-tanshin@jetro.go.jp

ビジネス短信の詳細検索等のご利用について

ジェトロ・メンバーズ

メンバーズ・サービスデスク(会員サービス班)
E-mail:jmember@jetro.go.jp