バイデン米政権、重要インフラ向けのサイバーセキュリティー対策目標を策定

米国サイバーセキュリティー・インフラストラクチャー・セキュリティー庁（CISA）は10月27日、重要インフラ事業者が取るべき基本的なサイバーセキュリティー対策を示した「サイバーセキュリティー・パフォーマンス・ゴールズ（CPGs）」を公表した。CPGsは重要インフラ（注）に広く適用する対策をまとめ、事業者が対策の成熟度を測定・改善するための基準を示している。

CPGsは、ジョー・バイデン大統領が重要インフラの制御システムのサイバーセキュリティー改善に関する覚書に基づいて策定された。CPGsは全ての重要インフラ事業者を対象としているが、特に中小事業者による利用を意識して作成している。ただ、CPGsに法的拘束力はなく、事業者に政府への報告義務などを課すものではない。サイバーセキュリティー対策に関するガイドラインとしては、国立標準技術研究所（NIST）のサイバーセキュリティーフレームワーク（CSF）があるが、CPGsはCSFを補完し、事業者による対策の優先順位付けを支援するものとして位置付けられている。

CPGsは（1）アカウントセキュリティー、（2）機器のセキュリティー、（3）データセキュリティー、（4）ガバナンスおよびトレーニング、（5）脆弱（ぜいじゃく）性の管理、（6）サプライチェーン・第3者、（7）事案対応および回復、（8）その他の8分野について、達成すべき成果や対処すべきリスク、具体的な対策などを挙げている。CISAは、CPGsの実施状況を確認するために事業者が使えるチェックリストも併せて公表した。

CISAのジェン・イースターリー長官は国土安全保障省が発表したプレスリリースを通じて、CPGsの策定に当たって官民から意見を聴取したことに言及。その上で、CPGsが今後数年で実施され、米国のサイバーセキュリティーリスクを最も効果的に低減するためにCPGsをどのように改善すればよいのか、利害関係者からさらに意見を収集することに期待を示した。CISAはCPGsの策定を受け、今後セクター別の対策基準も作る方針だ。

（注）CPGsで、重要インフラの定義は明記されていないが、CISAは重要インフラとして通信やエネルギー、金融サービス、医療・公衆衛生、情報技術、輸送システムなど16部門を挙げている。

（甲斐野裕之）