米国国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27): まるちゃんの情報セキュリティ気まぐれ日記

September 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

2022.11.03

米国国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27)

こんにちは、丸山満彦です。

米国の国土安全保障省 (DHS) が、重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標を公表していますね。。。

・2022.10.27 DHS Announces New Cybersecurity Performance Goals for Critical Infrastructure  

DHS Announces New Cybersecurity Performance Goals for Critical Infrastructure	DHS、重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標を発表
WASHINGTON – Today, the Department of Homeland Security released the Cybersecurity Performance Goals (CPGs), voluntary practices that outline the highest-priority baseline measures businesses and critical infrastructure owners of all sizes can take to protect themselves against cyber threats. The CPGs were developed by DHS, through the Cybersecurity and Infrastructure Security Agency (CISA), at the direction of the White House. Over the past year, CISA worked with hundreds of public and private sector partners and analyzed years of data to identify the key challenges that leave our nation at unacceptable risk. By clearly outlining measurable goals based on easily understandable criteria such as cost, complexity, and impact, the CPGs were designed to be applicable to organizations of all sizes. This effort is part of the Biden-Harris Administration’s ongoing work to ensure the security of the critical infrastructure and reduce our escalating national cyber risk.	国土安全保障省は本日、サイバーセキュリティ・パフォーマンス目標（CPG）を発表した。これは、あらゆる規模の企業や重要インフラの所有者が、サイバー脅威から身を守るために取るべき最優先の基本対策の概要を示す自主的な取り組みである。サイバーセキュリティ・パフォーマンス目標は、ホワイトハウスの指示のもと、DHSがサイバーセキュリティ・インフラセキュリティ局（CISA）を通じて策定した。 過去1年間、CISAは何百もの官民のパートナーと協力し、何年にもわたるデータを分析して、我が国を許容できないリスクにさらしている主要な課題を特定した。サイバーセキュリティ・パフォーマンス目標は、コスト、複雑性、影響度など、理解しやすい基準に基づいて測定可能な目標を明確に示すことで、あらゆる規模の組織に適用できるように設計されている。この取り組みは、バイデン-ハリス政権が重要インフラのセキュリティを確保し、深刻化する国家的サイバーリスクを軽減するために継続して行っている取り組みの一部である。
“Organizations across the country increasingly understand that cybersecurity risk is not only a fundamental business challenge but also presents a threat to our national security and economic prosperity,” said Secretary of Homeland Security Alejandro N. Mayorkas. “The new Cybersecurity Performance Goals will help organizations decide how to leverage their cybersecurity investments with confidence that the measures they take will make a material impact on protecting their business and safeguarding our country.”	国土安全保障省のアレハンドロ・マヨルカス長官は、次のように述べている。「全米の組織は、サイバーセキュリティのリスクが基本的なビジネス上の課題であるだけでなく、国家の安全保障と経済の繁栄に対する脅威であることをますます理解している。新しいサイバーセキュリティ・パフォーマンス目標は、組織がサイバーセキュリティへの投資をどのように活用するかを決定する際に、その対策がビジネスの保護と我が国の安全保障に重要な影響を与えるという確信を持って役立つだろう。」
CISA developed the CPGs in close partnership with organizations across government and the private sector. The resulting CPGs are intended to be implemented in concert with the NIST Cybersecurity Framework. The CPGs prescribe an abridged subset of actions to help organizations prioritize their security investments.	CISAは、政府および民間セクターの組織と緊密に連携してサイバーセキュリティ・パフォーマンス目標を開発した。その結果、サイバーセキュリティ・パフォーマンス目標はNISTサイバーセキュリティフレームワークと連動して実施されることを意図している。サイバーセキュリティ・パフォーマンス目標は、組織がセキュリティへの投資に優先順位をつけるのに役立つアクションを簡略化して規定している。
“To reduce risk to the infrastructure and supply chains that Americans rely on every day, we must have a set of baseline cybersecurity goals that are consistent across all critical infrastructure sectors,” said CISA Director Jen Easterly. “CISA has created such a set of cybersecurity performance goals to address medium-to-high impact cybersecurity risks to our critical infrastructure. For months, we’ve been gathering input from our partners across the public and private sectors to put together a set of concrete actions that critical infrastructure owners can take to drive down risk to their systems, networks and data. We look forward to seeing these goals implemented over the coming years and to receiving additional feedback on how we can improve future versions to most effectively reduce cybersecurity risk to our country.”	CISAのディレクターであるJen Easterlyは、次のように述べている。「米国人が毎日依存しているインフラとサプライチェーンのリスクを低減するために、すべての重要インフラ部門に一貫したサイバーセキュリティの基本目標を設定する必要がある。CISAは、重要インフラに対する中～高レベルのサイバーセキュリティリスクに対処するために、このような一連のサイバーセキュリティ性能目標を作成した。CISAは、重要インフラのシステム、ネットワーク、データに対するリスクを低減するために、重要インフラの所有者が取ることのできる一連の具体的な行動をまとめるために、数カ月間、官民にわたるパートナーから意見を集めてきた。私たちは、これらの目標が今後数年にわたって実施されることを楽しみにしている。また、我が国のサイバーセキュリティのリスクを最も効果的に低減するために、今後のバージョンをどのように改善すべきかについて、さらなるご意見をいただくことを期待している。」
“The Biden-Harris Administration has relentlessly focused on securing our Nation’s critical infrastructure since day one,” said Deputy National Security Advisor for Cyber and Emerging Technologies Anne Neuberger. “CISA has demonstrated tremendous leadership in strengthening our critical infrastructure’s cyber resilience over the last year. The Cyber Performance Goals build on these efforts, by setting a higher cybersecurity standard for sectors to meet.”	アン・ノイベルガー国家安全保障副顧問（サイバー・先端技術担当）は次のように述べている。「バイデン＝ハリス政権は、初日から国家の重要インフラの安全確保に執拗なまでに注力してきた。CISAは昨年、重要インフラのサイバー耐性を強化する上で、非常に大きなリーダーシップを発揮した。サイバーパフォーマンスゴールは、これらの努力に基づき、各セクターが満たすべきサイバーセキュリティの基準をより高く設定するものである。」
“Given the myriad serious cybersecurity risks our nation faces, NIST looks forward to continuing to work with industry and government organizations to help them achieve these performance goals,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “Our priority remains bringing together the right stakeholders to further develop standards, guidelines and practices to help manage and reduce cybersecurity risk.”	標準技術担当商務次官兼NIST長官のローリー・E・ロカシオは、次のように述べている。「我が国が直面している無数の深刻なサイバーセキュリティリスクを考えると、NISTは産業界や政府組織と引き続き協力し、これらのパフォーマンス目標の達成を支援したいと考えている。私たちの優先事項は、適切なステークホルダーを集め、サイバーセキュリティのリスクを管理・軽減するための標準、ガイドライン、プラクティスをさらに発展させることである。」
In the months ahead, CISA will actively seek feedback on the CPGs from partners across the critical infrastructure community and has established a Discussions webpage to receive this input. CISA will also begin working directly with individual critical infrastructure sectors as it builds out sector-specific CPGs in the coming months.	今後数ヶ月の間に、CISAは重要インフラストラクチャ・コミュニティ全体のパートナーからサイバーセキュリティ・パフォーマンス目標に関するフィードバックを積極的に求め、この意見を受け取るためにDiscussionsウェブページを立ち上げた。また、CISAは、今後数カ月の間にセクター別のサイバーセキュリティ・パフォーマンス目標を構築する際に、個々の重要インフラセクターと直接作業を開始する予定である。

・CROSS-SECTOR CYBERSECURITY PERFORMANCE GOALS

CROSS-SECTOR CYBERSECURITY PERFORMANCE GOALS	セクター横断的なサイバーセキュリティのパフォーマンス目標
In July 2021, President Biden signed a National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems. This memorandum required CISA, in coordination with the National Institute of Standards and Technology (NIST) and the interagency community, to develop baseline cybersecurity performance goals that are consistent across all critical infrastructure sectors. These voluntary cross-sector Cybersecurity Performance Goals (CPGs) are intended to help establish a common set of fundamental cybersecurity practices for critical infrastructure, and especially help small- and medium-sized organizations kickstart their cybersecurity efforts.	2021年7月、バイデン大統領は、重要インフラ制御システムのためのサイバーセキュリティの改善に関する国家安全保障覚書に署名した。 この覚書は、CISAが国立標準技術研究所（NIST）および省庁間コミュニティと連携して、すべての重要インフラ部門に一貫性のあるサイバーセキュリティ性能の基本目標を策定することを要求している。これらの任意のセクター横断的なサイバーセキュリティ性能目標 (サイバーセキュリティ・パフォーマンス目標) は、重要インフラのための基本的なサイバーセキュリティの実践の共通セットを確立し、特に中小規模の組織がサイバーセキュリティの取り組みを開始するのを支援することを目的としている。
The CPGs are a prioritized subset of IT and operational technology (OT) cybersecurity practices that critical infrastructure owners and operators can implement to meaningfully reduce the likelihood and impact of known risks and adversary techniques. The goals were informed by existing cybersecurity frameworks and guidance, as well as the real-world threats and adversary tactics, techniques, and procedures (TTPs) observed by CISA and its government and industry partners. By implementing these goals, owners and operators will not only reduce risks to critical infrastructure operations, but also to the American people.	サイバーセキュリティ・パフォーマンス目標は、重要インフラの所有者と運用者が、既知のリスクと敵対者の技術の可能性と影響を有意に低減するために実施できるITと運用技術（OT）のサイバーセキュリティ対策の優先順位を定めたサブセットである。この目標は、既存のサイバーセキュリティのフレームワークとガイダンス、およびCISAとその政府・産業界のパートナーが観察した現実の脅威と敵の戦術、技術、手順（TTPs）から情報を得ている。これらの目標を実施することで、所有者と運用者は、重要インフラの運用に対するリスクだけでなく、米国民に対するリスクも減らすことができる。
The CPGs are intended to be:	サイバーセキュリティ・パフォーマンス目標は、以下を意図している。
・A baseline set of cybersecurity practices broadly applicable across critical infrastructure with known risk-reduction value.	・重要インフラに広く適用され、リスク低減の価値が知られているサイバーセキュリティの基本的な実践例。
・A benchmark for critical infrastructure operators to measure and improve their cybersecurity maturity.	・重要インフラの運用者が、サイバーセキュリティの成熟度を測定し、改善するためのベンチマーク。
・A combination of recommended practices for IT and OT owners, including a prioritized set of security practices.	・IT および OT 所有者のための推奨プラクティスの組み合わせであり、優先順位付けされたセキュリティプラクティス一式を含む。
・Unique from other control frameworks as they consider not only the practices that address risk to individual entities, but also the aggregate risk to the nation.	・他のコントロールフレームワークとは異なり、個々の事業体のリスクに対応するプラクティスだけでなく、国家に対するリスクの総和も考慮されている。
The CPGs are:	サイバーセキュリティ・パフォーマンス目標は
・Voluntary: The National Security Memorandum does not create new authorities that compel owners and operators to adopt the CPGs or provide any reporting regarding or related to the CPGs to any government agency.	・自主的なもの：国家安全保障に関する覚書は、所有者や運営者にサイバーセキュリティ・パフォーマンス目標の採用や、サイバーセキュリティ・パフォーマンス目標に関するいかなる政府機関への報告も強制するような新たな権限を与えるものではない。
・Not Comprehensive. They do not identify all the cybersecurity practices needed to protect national and economic security and public health and safety. They capture a core set of cybersecurity practices with known risk-reduction value broadly applicable across sectors.	・包括的でない：国家と経済の安全保障、公衆の健康と安全を守るために必要なすべてのサイバーセキュリティの実践を特定するものではない。このガイドラインは、セクターを問わず広く適用できる、リスク低減の価値が知られているサイバーセキュリティの中核的な実践を対象としている。
As directed by President Biden’s NSM, the CPGs are intended to supplement the National Institute of Standards and Technology's (NIST) Cybersecurity Framework (CSF) for organizations seeking assistance in prioritizing investment toward a limited number of high-impact security outcomes, whether due to gaps in expertise, resources, or capabilities or to enable focused improvements across suppliers, vendors, business partners, or customers.	バイデン大統領の NSM による指示の通り、サイバーセキュリティ・パフォーマンス目標は、専門知識、リソース、能力の格差のため、あるいはサプライヤー、ベンダー、ビジネスパートナー、顧客の間で重点的に改善を行うため、影響力の大きい限られた数のセキュリティ成果への投資を優先させる支援を求める組織が、米国標準技術局（NIST）のサイバーセキュリティフレームワーク（CSF）を補完できるように意図されている。
In an effort to accelerate adoption of essential actions to improve cybersecurity across the nation’s critical infrastructure providers, the CPGs recommend an abridged subset of actions – a kind of “QuickStart guide” – for the NIST CSF. NIST’s CSF enables organizations to develop a comprehensive, risk-based cybersecurity program and enumerates a holistic set of categorized actions that can be taken to reduce an organization’s cyber risk and quickly respond to and recover from incidents. While the CPGs are mapped to corresponding subcategories in the NIST CSF, CISA still recommends that organizations use NIST CSF to design and mature a comprehensive cybersecurity program.	サイバーセキュリティ・パフォーマンス目標は、国内の重要インフラ事業者全体でサイバーセキュリティを向上させるために不可欠なアクションの採用を促進するため、NIST CSF のアクションの要約サブセット（一種の「クイックスタート・ガイド」）を推奨している。NIST の CSF は、組織がリスクに基づいた包括的なサイバーセキュリティプログラムを開発することを可能にし、組織のサイバーリスクを低減し、インシデントへの対応と復旧を迅速に行うために実行可能な分類されたアクションを全体的に列挙している。 サイバーセキュリティ・パフォーマンス目標は、NIST CSFの対応するサブカテゴリにマッピングされているが、CISAは、組織が包括的なサイバーセキュリティプログラムを設計し成熟させるためにNIST CSFを使用することを依然として推奨している。
Full background on the CPGs, their formation, the model, relation to existing standards, and how they should be used is fully outlined in the document.	サイバーセキュリティ・パフォーマンス目標の背景、形成、モデル、既存の標準との関係、およびサイバーセキュリティ・パフォーマンス目標の使用方法については、この文書で完全に説明されている。
Quick Links	クイックリンク
Cross-Sector Common Baseline Cybersecurity Performance Goals (CPGs)	セクター横断共通ベースライン・サイバーセキュリティ・パフォーマンス目標(CPGs)
This is the core document, providing a select list of attestable goals to reduce cyberthreat to your organization.	これは中核となる文書で、組織のサイバー脅威を軽減するための証明可能な目標の選択リストを提供する。
CPGs Checklist	サイバーセキュリティ・パフォーマンス目標s チェックリスト
This document is to be used in tandem with the CPGs to help prioritize and track your organization’s implementation.	この文書は、サイバーセキュリティ・パフォーマンス目標s と一緒に使用して、組織の実装の優先順位付けと追跡に役立てるためのものである。
Complete CPGs Matrix/Spreadsheet	サイバーセキュリティ・パフォーマンス目標マトリックス/スプレッドシート
This is the master source document for the CPGs, including all reference information and resource links.	これはサイバーセキュリティ・パフォーマンス目標のマスターソースで、すべての参考情報とリソースリンクを含んでいる。
GitHub Discussion Page	GitHubディスカッションページ
This virtual forum has been established by CISA to discuss and collaborate on community-proposed additions, changes, and other considerations for future versions of the CPGs.	この仮想フォーラムは、コミュニティが提案するサイバーセキュリティ・パフォーマンス目標の将来のバージョンへの追加、変更、その他の検討事項について議論し、協力するためにCISAによって設立された。
Additional Information	追加情報
Frequently Asked Questions	よくある質問
Q: HOW ARE THESE CYBERSECURITY PERFORMANCE GOALS (CPGs) DIFFERENT THAN THOSE SEEN PREVIOUSLY?	Q: 今回のサイバーセキュリティ業績目標（サイバーセキュリティ・パフォーマンス目標s）は、これまでのものとどう違うのであるか？
A. These Cyber Performance Goals (CPGs) are different than previous guidance for several reasons. First, the CPGs provide a succinct set of high-priority security outcomes and recommended actions applicable to IT and OT environments. In this way, the CPGs enable organizations to undertake prioritized and targeted investment to address the most significant cybersecurity risks. Second, the CPGs are accompanied by Checklist that allow organizations to prioritize their utilization of each goal based upon cost, complexity, and impact, making the CPGs uniquely useful for organizations with limited resources. Finally, the CPGs will be regularly refreshed and updated, allowing them to be used as a continuously effective resource to drive prioritized investments against the most significant threats and critical risks.	A. このサイバーパフォーマンス目標（CPGs）は、いくつかの理由で以前のガイダンスと異なっている。まず、サイバーセキュリティ・パフォーマンス目標は、ITおよびOT環境に適用できる優先度の高いセキュリティ上の成果と推奨される行動を簡潔に示している。このように、サイバーセキュリティ・パフォーマンス目標は、組織が最も重大なサイバーセキュリティリスクに対処するために、優先順位をつけ、対象を絞った投資を行うことを可能にする。第二に、サイバーセキュリティ・パフォーマンス目標にはチェックリストが付属しており、コスト、複雑さ、影響に基づいて各目標の活用に優先順位をつけることができるため、サイバーセキュリティ・パフォーマンス目標はリソースが限られた組織にとって非常に有用なものとなっている。最後に、サイバーセキュリティ・パフォーマンス目標は定期的に更新され、最も重要な脅威や重大なリスクに対して優先的に投資を行うための効果的なリソースとして継続的に利用することができる。
Q: HOW DID CISA TAKE INPUT FROM INDUSTRY AS IT DEVELOPED THESE GOALS	Q: これらの目標を策定する際、CISAは産業界からどのような意見を取り入れたのか。
A. CISA developed the Cybersecurity Performance Goals based on extensive feedback from partners with the goal of creating a final product that reflects input from a wide range of groups including federal agencies, the private sector, and international partners. We achieved this goal via written comments, workshops, listening sessions, and focused discussions with experts across a variety of disciplines. The feedback we have received throughout this process has been invaluable, which is why we will maintain an open request for input as organizations begin to use the CPGs in practice and as we build out cybersecurity goals specific to individual critical infrastructure sectors in the coming months.	A. CISAは、連邦政府機関、民間企業、国際的なパートナーを含む幅広いグループからの意見を反映した最終製品を作成することを目標に、パートナーからの広範なフィードバックに基づいてサイバーセキュリティ業績目標を策定した。この目標は、書面によるコメント、ワークショップ、リスニングセッション、およびさまざまな分野の専門家との集中的な議論を通じて達成された。このプロセスを通じて得られたフィードバックは非常に貴重であったため、組織がサイバーセキュリティ・パフォーマンス目標を実際に使用し始め、今後数ヶ月で個々の重要インフラ部門に固有のサイバーセキュリティ目標を構築する際にも、オープンな意見募集を継続する予定である。
Following the release of the CPGs, CISA will continue taking input and welcomes feedback from partners from across the critical infrastructure community. In fact, CISA has already setup a Discussions page to receive feedback and ideas for new CPGs, plans to regularly update the CPGs at least every 6-12 months, and will work directly with individual critical infrastructure sectors as we build out sector-specific CPGs in the coming months.	サイバーセキュリティ・パフォーマンス目標の発表後、CISAは引き続き意見を聴取し、重要インフラストラクチャ・コミュニティ全体のパートナーからのフィードバックを歓迎する。実際、CISAは、新しいサイバーセキュリティ・パフォーマンス目標に対するフィードバックやアイデアを受け取るためのディスカッション・ページをすでに立ち上げており、少なくとも6～12カ月ごとにサイバーセキュリティ・パフォーマンス目標を定期的に更新する計画で、今後数カ月の間にセクター固有のサイバーセキュリティ・パフォーマンス目標を構築する際には、個々の重要インフラセクターと直接連携する予定である。
Q: WILL THE CYBER PERFORMANCE GOALS BE SPECIFIC TO CRITICAL INFRASTRUCTURE OPERATORS?	Q: サイバーパフォーマンス目標は重要インフラ事業者に特化したものになるのか。
A.Yes. The White House’s National Security Memorandum (NSM) on "Improving Cybersecurity for Critical Infrastructure Control Systems” states that the “performance goals should serve as clear guidance to owners and operators about cybersecurity practices and postures that the American people can trust and should expect for such essential services, from water to transportation to communications to energy, healthcare, and emergency services	A. はい、そうである。ホワイトハウスの「重要インフラ制御システムのサイバーセキュリティの改善」に関する国家安全保障メモランダム（NSM）には、「パフォーマンス目標は、水、交通、通信、エネルギー、ヘルスケア、緊急サービスに至るまで、このような重要サービスに対して米国民が信頼でき、期待すべきサイバーセキュリティの実践と態勢に関する所有者と運用者への明確なガイダンスとなるべきである」と記されている。
The CPGs are intended to outline high-priority cybersecurity goals and associated actions to enable progress toward a consistent baseline across all critical infrastructure sectors. The CPGs will be a tool that individual critical infrastructure operators can use to evaluate their own cybersecurity posture and understand how the cybersecurity posture of their sector compares with established practices within the sector and across sectors.	サイバーセキュリティ・パフォーマンス目標は、すべての重要インフラ部門において一貫した基本水準を達成できるよう、優先度の高いサイバーセキュリティの目標と関連するアクションの概要を示すことを目的としている。サイバーセキュリティ・パフォーマンス目標は、個々の重要インフラ事業者が自らのサイバーセキュリティの姿勢を評価し、自らの部門のサイバーセキュリティの姿勢が部門内および部門間で確立された慣行と比較してどのようなものかを理解するために使用するツールとなる。
While the NSM is intended to apply specifically to critical infrastructure owners and operators, many organizations that do not self-identify as critical infrastructure will find value in utilizing the CPGs as part of their cybersecurity risk management program, including small and medium organizations that may serve a critical role as part of the supply chain for a national critical function.	NSM は特に重要インフラの所有者と運営者に適用されることを意図しているが、重要インフラと自認していない多くの組織が、国の重要機能のサプライチェーンの一部として重要な役割を果たす中小組織を含め、サイバーセキュリティリスク管理プログラムの一部としてサイバーセキュリティ・パフォーマンス目標を活用することに価値を見出すだろう。
Q. WHAT CRITERIA WERE USED TO DETERMINE WHICH GOALS TO INCLUDE?	Q. どの目標を含めるかを決定するために、どのような基準が使われたのか。
A. The CPGs were determined based on three criteria: (1) Significantly and directly reduce the risk or impact caused by commonly observed, cross-sector threats and adversary TTPs; (2) Clear, actionable, and easily definable, and (3) Reasonably straightforward and not cost-prohibitive for even small- and medium-sized entities to successfully implement. CISA benefitted from rigorous input across public and private partners to ensure that each CPG met these criteria.	A. サイバーセキュリティ・パフォーマンス目標は、3つの基準に基づいて決定された。(1)一般に観測される分野横断的な脅威や敵のTTPによるリスクや影響を有意かつ直接的に削減すること (2)明確で実行可能、かつ容易に定義できること (3) 中小企業でも実施できるよう合理的に簡単でコストが高くないことの3つの基準に基づいて決定された。CISAは、各サイバーセキュリティ・パフォーマンス目標がこれらの基準を満たすように、官民のパートナーからの厳格な情報提供の恩恵を受けている。
Q: WHAT IS THE EXPECTATION IF A GOAL/OBJECTIVE IS NOT APPLICABLE TO MY SECTOR/SUBSECTOR?	Q: 目標／目的が自分の部門／サブセクターに適用されない場合、どのようなことが期待されるか？
A. The purpose of the cross-sector CPGs is to outline most important security outcomes and associated actions that apply to all sectors. If goals or objectives in the cross-sector CPGs do not apply to your sector, please note this in any feedback you provide. Following initial publication, CISA intends to continue to collect feedback on the CPGs and incorporate updates at a future date. We have also posted the CPGs to GitHub here, and encourage stakeholders to submit comments and recommendations for future changes.	A. セクター横断的なサイバーセキュリティ・パフォーマンス目標の目的は、全てのセクターに適用される最も重要な安全保障上の成果及び関連する行動を概説することである。もし、セクター横断的なサイバーセキュリティ・パフォーマンス目標の目標や目的があなたのセクターに適用されない場合は、フィードバックにその旨を明記する。CISAは、最初の公表後、サイバーセキュリティ・パフォーマンス目標に関するフィードバックを引き続き収集し、将来の日付で更新を組み込む予定である。また、サイバーセキュリティ・パフォーマンス目標をGitHubに掲載し、利害関係者が将来の変更に関するコメントや推奨事項を提出することを奨励している。
Q: HOW WILL THIS EFFORT CAPTURE CYBERSECURITY PRACTICES FOR DIFFERING SECTOR TYPES?	Q: この取り組みでは、異なるセクターの種類に応じたサイバーセキュリティの実践をどのように把握するのか。
A. The purpose of the CPGs is to outline the cybersecurity practices that apply to most critical infrastructure providers. They are intended to be general in nature and not overly prescriptive. In addition to the high-level goals, each objective includes “Recommend Actions” that can be customized by each sector to provide a flexible example of how a goal or objective might be achieved in their own sector. Each sector will also evaluate the need for sector-specific goals, which will address any cybersecurity outcomes specific to their sector.	A. サイバーセキュリティ・パフォーマンス目標の目的は、ほとんどの重要インフラ事業者に適用されるサイバーセキュリティの実践を概説することである。これらは一般的なものであり、過度に規範的でないことを意図している。ハイレベルな目標に加えて、各目標には「推奨行動」が含まれており、各セクターがカスタマイズして、目標や目的が自セクターでどのように達成されるかの柔軟な例を提供することができるようになっている。また、各セクターは、セクター固有の目標の必要性を評価し、そのセクター固有のサイバーセキュリティの成果を取り上げることになる。
Q: WILL ALL CRITICAL INFRASTRUCTURE OPERATORS BE EXPECTED TO MEET THE CYBERSECURITY PERFORMANCE GOALS OR WILL THERE BE A THRESHOLD THAT OUTLINES THE TYPE OF ENTITIES THAT WILL BE EXPECTED TO MEET THE GOALS?	Q: すべての重要インフラ事業者がサイバーセキュリティ性能目標を満たすことが期待されるのであるか、それとも目標を満たすことが期待される事業者の種類を概説する閾値があるのか？
A. The CPGs are intended to serve as a resource that can be utilized by all critical infrastructure organizations and are expected to be of particular use to small- and medium-sized entities. By making the goals clearly measurable, organizations across the size and maturity spectrum will be able to have a definitive understanding of what actions to take, and how to self-assess progress towards meeting the goals.	A. サイバーセキュリティ・パフォーマンス目標は、すべての重要インフラ事業者が利用できるリソースとして機能することを意図しており、特に中小規模の事業者に活用されることが期待されます。目標を明確に測定可能なものにすることで、規模や成熟度にかかわらず、どのような行動をとるべきか、また目標達成に向けた進捗をどのように自己評価すべきか、明確に理解することができるようになる。
Q: WILL THE CPGs BE MAPPED TO NIST CSF?	Q: サイバーセキュリティ・パフォーマンス目標はNIST CSFにマッピングされるのか？
A. The National Institute of Standards and Technology's (NIST) Cybersecurity Framework (CSF) enables organizations to develop a comprehensive, risk-based cybersecurity program and enumerates a holistic set of categorized actions that can be taken to reduce an organization’s cyber risk and quickly respond to and recover from incidents.	A. 米国標準技術局（NIST）のサイバーセキュリティフレームワーク（CSF）は、組織がリスクベースの包括的なサイバーセキュリティプログラムを開発することを可能にし、組織のサイバーリスクを低減し、インシデントに迅速に対応し回復するために取ることができる分類されたアクションの全体的なセットを列挙している。
As directed by President Biden’s NSM, the CPGs are intended to supplement the NIST CSF for organizations seeking assistance in prioritizing investment toward a limited number of high-impact security outcomes, whether due to gaps in expertise, resources, or capabilities or to enable focused improvements across suppliers, vendors, business partners, or customers.	バイデン大統領の NSM による指示の通り、サイバーセキュリティ・パフォーマンス目標は、専門知識、リソース、能力のギャップがある場合や、サプライヤー、ベンダー、ビジネスパートナー、顧客の間で重点的に改善を行う場合など、影響の大きい限られた数のセキュリティ成果に向けた投資の優先順位付けに支援を求める組織が NIST CSF を補完できるように意図されている。
In an effort to accelerate adoption of essential actions to improve cybersecurity across the nation’s critical infrastructure providers, the CPGs provide an abridged subset of actions – a kind of “QuickStart guide” – for the NIST CSF. Every organization, including those adopting the CPGs, should still use the NIST CSF to design and mature a comprehensive cybersecurity program. To this end, each goal in the CPGs is mapper to a corresponding subcategory from the NIST CSF.	サイバーセキュリティ・パフォーマンス目標は、国家の重要なインフラストラクチャ・プロバイダー全体でサイバーセキュリティを向上させるために不可欠な行動の採用を促進するために、NIST CSF の行動の一部を要約したもので、一種の「クイックスタートガイド」となっている。サイバーセキュリティ・パフォーマンス目標を採用している組織を含め、すべての組織は、包括的なサイバーセキュリティ・プログラムを設計し、成熟させるために、NIST CSF を使用する必要がある。このため、サイバーセキュリティ・パフォーマンス目標の各目標は、NIST CSF の対応するサブカテゴリのマッパーである。
Sector-Specific Goals	セクター別の目標
Now that the cross-sector CPGs are complete, CISA will work with each Sector Risk Management Agency (SRMA) to begin development of sector-specific goals by:	セクター横断的なサイバーセキュリティ・パフォーマンス目標が完成した今、CISA は各セクターリスク管理機関（SRMA）と協力して、以下のようにセクター固有の目標の策定を開始する予定である。
・Identifying any additional cybersecurity practices, not already included in the Common Baseline, needed to ensure the safe and reliable operation of critical infrastructure in that sector.	・当該セクターにおける重要インフラの安全かつ信頼性の高い運用を確保するために必要な、共通ベースラインに含まれない追加のサイバーセキュリティの実践を特定する。
・Providing examples for recommended actions specific to the infrastructure and entities in that sector; and	・そのセクターのインフラとエンティティに固有の推奨されるアクションの例を提供する。
・Mapping any existing requirements (e.g., regulations or security directives) to the Common Baseline and sector-specific objectives and/or recommended actions so stakeholders can see how their existing compliance practices fulfill certain objectives.	・既存の要件（例えば、規制又はセキュリティ指令）を共通ベースライン及びセクター固有の目標及び／又は推奨行動にマッピングし、利害関係者が既存のコンプライアンス慣行が特定の目標をどのように満たすかを確認できるようにすること。
More information on the sector-specific goals will be provided as it is available.	セクター固有の目標に関するより詳細な情報は、入手可能になり次第、提供される予定である。

・[PDF] Cross-Sector Common Baseline Cybersecurity Performance Goals (CPGs)

目次...

Background and Context	背景と内容
1.0– Account Security	1.0- アカウントセキュリティ
2.0– Device Security	2.0- 機器のセキュリティ
3.0– Data Security	3.0- データセキュリティ
4.0– Governance and Training	4.0- ガバナンスとトレーニング
5.0– Vulnerability Management	5.0- 脆弱性管理
6.0– Supply Chain / Third Party	6.0- サプライチェーン/サードパーティー
7.0– Response and Recovery	7.0- 事案対応と回復
8.0– Other	8.0- その他
Glossary	用語集
Acknowledgements	謝辞

Background and Context（背景と内容）...

OUR CHALLENGE AHEAD	今後の課題
CISA works every day with government, private sector, and international partners to gain unique insight into the state of cybersecurity across U.S. critical infrastructure (CI) and the nature of the threat landscape. Leveraging partnerships across all critical infrastructure sectors and with their respective sector risk management agencies (SRMAs), insights from government partners both in the U.S. and abroad, and our own cyber assessments, hunts, and incident response efforts, CISA regularly observes patterns across our critical infrastructure where essential cybersecurity best practices are not sufficiently applied. Subject matter experts and critical infrastructure operators providing input during the course of this document’s development shared similar observations.	CISAは、政府、民間企業、および国際的なパートナーとともに、米国の重要インフラ（CI）全体のサイバーセキュリティの状態と脅威の状況の本質について独自の洞察を得るために日々活動している。CISA は、すべての重要インフラ部門とそれぞれの部門リスク管理機関（SRMA）とのパートナーシップ、米国内外の政府パートナーからの洞察、および独自のサイバー評価、ハント、インシデント対応活動を活用して、重要インフラ全体で本質的なサイバーセキュリティのベストプラクティスが十分に適用されていないパターンを定期的に観察している。この文書の作成過程で意見を提供した主題専門家や重要インフラ事業者も、同様の見解を示している。
Our concerns with these gaps are not merely theoretical or philosophical. Our nation has seen the real impact of some of these gaps, whether ransomware attacks affecting critical functions from hospitals to school districts or sophisticated nation-state campaigns that target government agencies and critical infrastructure. Collectively, these intrusions place our national security, economic security, and the health and safety of American people at risk.	これらのギャップに対する我々の懸念は、単なる理論的・哲学的なものではない。病院から学区までの重要な機能に影響を及ぼすランサムウェア攻撃や、政府機関や重要インフラを標的とした巧妙な国家的キャンペーンなど、これらのギャップがもたらす実際の影響を我が国は目にしてきた。このような侵入により、国家の安全保障、経済の安全保障、そしてアメリカ国民の健康と安全が危険にさらされているのである。
Over the past year, CISA has worked with hundreds of partners, received thousands of comments, and analyzed years of data from our efforts to assess, protect, and respond to cyber incidents to identify key challenges that leave our nation at serious risk.	過去1年間、CISAは何百ものパートナーと協力し、何千ものコメントを受け取り、サイバー事件の評価、保護、対応への取り組みから得た何年ものデータを分析し、わが国を深刻なリスクにさらす主要な課題を特定した。
1. Many organizations have not adopted fundamental security protections. The absence of basic protections such as multi-factor authentication (MFA), strong password management, and maintaining backups, among other foundational measures, repeatedly exposes critical infrastructure to damaging cyber intrusions.	1. 多くの組織が基本的なセキュリティ保護を導入していない。多要素認証（MFA）、強力なパスワード管理、バックアップの維持などの基本的な保護対策がないため、重要インフラが繰り返し有害なサイバー侵入にさらされている。
2. Small- and medium-sized organizations are left behind. Organizations with limited resources or less mature cybersecurity programs often face challenges determining where to start to put in place reasonable cybersecurity measures. While existing resources like the NIST Cybersecurity Framework are invaluable, small organizations face difficulties in identifying where to invest for the greatest impact to their cybersecurity posture and specific guidance on how to effectively implement cybersecurity protections.	2. 中小規模の組織が取り残されている。リソースが限られていたり、サイバーセキュリティプログラムが成熟していない組織は、合理的なサイバーセキュリティ対策を実施するために何から手をつければよいかという問題に直面することがよくある。NIST Cybersecurity Framework のような既存のリソースは非常に貴重であるが、小規模な組織は、サイバーセキュリティ体制に最大の影響を与えるためにどこに投資すべきか、サイバーセキュリティ保護を効果的に実施する方法について特定のガイダンスを特定する難しさに直面している。
3. Lack of consistent standards and cyber maturity across CI sectors. There is significant inconsistency in cybersecurity capabilities, investment, and baseline practices within and across CI sectors. This diversity leads to gaps that can be exploited by our adversaries to cause functional impacts and cascading impacts.	3. CIセクター間で一貫した基準とサイバー成熟度が欠如している。サイバーセキュリティの能力、投資、および基本的なプラクティスは、CI（Critical Infrastructure: 重要インフラ）セクター内およびセクター間で大きな矛盾がある。この多様性は、敵対者に悪用され、機能的な影響や連鎖的な影響を引き起こす可能性のあるギャップにつながる。
4. OT cybersecurity often remains overlooked and under-resourced. The cybersecurity industry is still largely focused on business IT systems, often neglecting the critical risk in OT, which were designed to optimize reliability and availability and often lack native security capabilities. This puts CI entities at serious risk as more OT devices become networkconnected. Even so, many CI entities lack adequate OT cybersecurity programs, especially where cybersecurity is still seen as primarily an IT concern. Entities that do have OT cybersecurity programs often lack basic OT cyber protections and are unable to find relevant OT-specific guidance for their environments.	4. OTサイバーセキュリティは、しばしば見落とされ、リソース不足のままである。サイバーセキュリティ業界は、依然としてビジネス IT システムに大きく焦点を当てており、信頼性と可用性を最適化するために設計され、固有のセキュリティ機能を持たないことが多い OT の重大なリスクを軽視していることがよくある。このため、より多くのOT機器がネットワークに接続されるようになると、情報通信事業者は深刻な危険にさらされることになる。それでも、多くの情報通信事業者は、適切な OT サイバーセキュリティ・プログラムを有していません。OTサイバーセキュリティ・プログラムを持っている事業者は、基本的なOTサイバー保護が不足しており、自分たちの環境に関連するOT固有のガイダンスを見つけることができないことがよくある。
CONFRONTING THIS CHALLENGE: National Security Memorandum 5	この課題に立ち向かう：国家安全保障に関する覚書 5
In July 2021, President Biden signed National Security Memorandum (NSM)-5: Improving Cybersecurity for Critical Infrastructure Control Systems. This memorandum required CISA, in coordination with the National Institute of Standards and Technology (NIST) and the interagency community, to develop baseline cybersecurity goals that are consistent across all critical infrastructure sectors. This document contains the first iteration of the Cross-Sector Cybersecurity Performance Goals (CPGs). CISA, in coordination with NIST, will regularly update the goals, and starting in late 2022, CISA will begin working with Sector Risk Management Agencies (SRMAs) to build on this foundation to develop sector-specific goals.	2021年7月、バイデン大統領は、国家安全保障に関する覚書（NSM）-5「重要インフラ制御システムのサイバーセキュリティの改善」に署名した。この覚書は、CISAが国立標準技術研究所（NIST）および省庁間コミュニティと連携し、すべての重要インフラ部門に一貫性のあるサイバーセキュリティの基本目標を策定することを要求した。この文書には、セクター横断サイバーセキュリティ・パフォーマンス目標（CPG）の最初の反復が含まれている。CISAは、NISTと連携して、この目標を定期的に更新し、2022年後半から、セクターリスク管理機関（SRMA）と協力して、この基盤の上に、セクター固有の目標を策定する予定である。
KEY CHARACTERISTICS OF THE CPGs	CPGの主な特徴
• A prioritized subset of cybersecurity practices	・サイバーセキュリティ対策の優先的なサブセット
• For IT and OT	・ITおよびOT向け
• Prioritized for risk reduction	・リスク低減のための優先順位付け
• Informed by threats observed by CISA and its government and industry partners	・CISA とその政府および産業界のパートナーによって観測された脅威から情報を得ている。
• Applicable across all CI sectors	・すべてのCI部門に適用可能
• Intended to meaningfully reduce risks to both CI operations and to the American people	・CIとアメリカ国民の双方に対するリスクを有意に減少させることを意図している。
WHAT ARE THE CPGs?	CPG とは何か？
Simply put, the CPGs are a prioritized subset of IT and OT cybersecurity practices aimed at meaningfully reducing risks to both CI operations and to the American people. These goals are applicable across all CI sectors and are informed by the most common and impactful threats and adversary tactics, techniques, and procedures (TTPs) observed by CISA and its government and industry partners, making them a common set of protections that all CI entities — from large to small — should implement.	簡単に言えば、CPG は、情報セキュリティ活動と米国民に対するリスクを有意に削減することを目的とした、 IT および OT サイバーセキュリティの優先的な実践の一部である。これらの目標は、すべての情報セキュリティ部門に適用可能であり、CISAとその政府および産業界のパートナーが観察した最も一般的で影響力のある脅威と敵の戦術・技術・手順（TTPs）から情報を得ており、大規模から小規模まですべての情報セキュリティ事業体が実施すべき共通の保護対策となっている。
The CPGs do not reflect an all-encompassing cybersecurity program – rather, they are a minimum set of practices that organizations should implement and aim to help CI entities, particularly small and medium organizations get started on their path towards a strong cybersecurity posture. As such, the CPGs are intended to be a floor, not a ceiling, for what cybersecurity protections organizations should implement to reduce their cyber risk. Important, the CPGs are not:	CPGは、すべてを網羅するサイバーセキュリティプログラムを反映したものではなく、むしろ組織が実施すべき最低限のプラクティスであり、CIエンティティ、特に中小組織が強力なサイバーセキュリティ態勢に向けた道を歩み始めるのを支援することを目的としている。このように、CPG は、組織がサイバーリスクを低減するために実施すべきサイバーセキュリティ保護について、上限ではなく下限を示すことを意図している。重要なのは、CPGは以下のようなものではないことである。
• Comprehensive: The CPGs do not identify all the cybersecurity practices needed to protect every organization or fully safeguard national and economic security and public health and safety against all potential risks. They represent a minimum baseline of cybersecurity practices with known risk-reduction value broadly applicable across all sectors, and will be followed by sector-specific goals that dive deeper into the unique constraints, threats, and maturity of each sector where applicable.	・包括的であること：包括的:(CPG) は,すべての組織を保護するために必要なすべてのサイバーセキュリティ対策を特定するものではなく,すべての潜在的リスクから国家と経済の安全保障,公衆の健康と安全を完全に保護するものではない。CPG は,すべてのセクターに広く適用できる,リスク削減効果が知られているサイバーセキュリティの実践の最小限の基本水準を示すものであり,必要に応じて,各セクター固有の制約,脅威,成熟度に深く踏み込んだセクター固有の目標がそれに続くことになる。
• A risk management or full cybersecurity program: The CPGs do not cover broader approaches to risk management or risk prioritization, which are well articulated in other frameworks such as the NIST Cybersecurity Framework (NIST CSF).	・リスク管理または完全なサイバーセキュリティプログラム：CPG は,NIST サイバーセキュリティフレームワーク (NIST CSF) などの他のフレームワークで明確にされている,リスク管理やリスクの優先順位付けといった広範なアプローチについては対象としていません。
• Mandated by CISA: The CPGs are intended to be voluntarily adopted by organizations to enable prioritization of security investments toward the most critical outcomes, in conjunction with broader frameworks like the NIST CSF.	・CISAによって義務付けられている：CPG は,組織が自主的に採用し,NIST CSF のような広範なフレームワークと連携して,最も重要な成果に向けてセキュリティ投資の優先順位付けを行えるようにすることを目的としている。
• A maturity model: The practices in the CPGs apply to all CI organizations, and are not tiered into ‘maturity’ categories. (However, the CPG Worksheet includes criteria such as “Impact,” “Cost,” and “Complexity” to help organizations internally prioritize their investment).	・成熟度モデル：CPG の実践内容は、すべての CI 組織に適用され、「成熟度」の区分はない。(ただし、CPGワークシートには「インパクト」「コスト」「複雑性」などの基準が含まれており、組織内部で投資の優先順位を決めるのに役立つ）。
The CPGs will also be regularly updated, with a targeted revision cycle of at least every 6 to 12 months. CISA has also set up a Discussions page to receive feedback and ideas for new CPGs at [link]. A link to this site will also be available via [link].	また、CPGは定期的に更新され、少なくとも6～12カ月ごとの改訂サイクルを目標としている。CISAは、新しいCPGに関するフィードバックやアイデアを受け取るためのDiscussionsページも開設している。このサイトへのリンクは、[link]からも利用可能である。
CPG SELECTION CRITERIA	CPGの選定規準
As previously mentioned, the CPGs are a subset of cybersecurity practices, selected through a thorough process of industry, government, and expert consultation using several criteria:	前述のとおり、CPGはサイバーセキュリティ対策のサブセットであり、いくつかの基準を用いて、業界、政府、専門家の協議による徹底的なプロセスを通じて選定されたものである。
1. Significantly and directly reduce the risk or impact caused by commonly observed, cross-sector threats and adversary TTPs.	1. 一般的に観測される分野横断的な脅威や敵対者の TTP によって引き起こされるリスクや影響を大幅にかつ直接的に削減する。
2. Clear, actionable, and easily definable.	2. 明確で、実行可能で、容易に定義できること。
3. Reasonably straightforward and not cost-prohibitive for even small- and medium-sized entities to successfully implement.	3. 中小企業でも実施可能であり、コストが高くないこと。
An example of a CPG that meets this criteria is: “ensuring that none of an organization’s internet-facing systems have any Known Exploited Vulnerabilities (KEV).” This CPG is definable, achievable, and directly reduces the risk from a known threat — that nation-state adversaries actively exploit those weaknesses in the wild. Conversely, a practice such as “Implement Zero Trust (ZT)” would not be a suitable CPG, as this practice is vague, insufficiently defined, hard to measure, and can be overly burdensome for small organizations.	この基準を満たす CPG の例として、次のようなものがある。「組織のインターネット向けシステムには、既知の脆弱性（KEV）がないことを保証すること」。この CPG は定義可能であり、達成可能であり、既知の脅威、すなわち国家敵対者が野生の弱点を積極的に悪用することによるリスクを直接的に低減するものである。逆に、「ゼロトラスト（ZT）の導入」のような実践は、曖昧で定義が不十分、測定が困難であり、小規模な組織にとっては過度の負担となるため、CPGとしては適切ではないだろう。
CPG MODEL	CPG モデル
The CPGs in this document are displayed in a visual model to help readers understand not only the goals themselves, but the intended outcomes, the risks or TTPs that the goals address, what ‘good’ looks like, and other important information.	本書のCPGは、目標そのものだけでなく、意図する成果、目標が対処するリスクやTTP、「良い」とはどのようなものか、その他の重要な情報を読者が理解できるように、ビジュアルモデルで表示されている。
Each goal is composed of the following components:	各目標は以下のコンポーネントで構成されている。
・MODEL COMPONENT: COMPONENT DESCRIPTION	・モデルの構成要素：コンポーネントの説明
・Outcome: The ultimate security outcome that each CPG strives to enable.	・成果：各 CPG が実現しようとする究極的なセキュリティ上の成果。
・TTP/Risk Addressed: Either (a) the primary set of MITRE ATT&CK TTPs or (b) the set of organizational risks that would be rendered less likely or impactful if the goal is implemented.	・対応する戦術・技術・手順 (TTP)/リスク：(a) MITRE ATT&CK TTP の主要なセット、または (b) 目標が実施された場合に可能性や影響が小さくなる組織リスクのセットのどちらか。
・Security Practice: The mitigation(s) that organizations should implement to achieve the outcome and reduce the impact of the TTP or Risk.	・セキュリティ対策：TTPまたはリスクの影響を軽減し、成果を得るために組織が実施すべき緩和策。
・Scope: The set or subset of assets to which organizations should apply the security practice.	・範囲：組織がセキュリティ対策を適用すべき資産の集合またはサブセット。
・Recommended Action: Example approaches to help organizations progress toward achievement of the Performance Goal, based on input from CISA’s collaborative stakeholder process. These actions will be updated regularly as new threats and defenses are identified.	・推奨される対応：CISAのステークホルダーとの協働プロセスから得られた情報に基づき、組織がパフォーマンス目標の達成に向けて前進するためのアプローチ例。これらのアクションは、新たな脅威と防御策が特定されるたびに、定期的に更新される予定である。
・NIST CSF Reference: The CSF subcategory that most closely relates to the security practice.	・NIST CSF の参照：セキュリティ対策に最も密接に関連する CSF のサブカテゴリ。
HOW ARE THESE DIFFERENT FROM NIST CSF AND OTHER STANDARDS?	NIST CSF や他の標準とどう違うのか？
Plenty of existing cybersecurity guidance and frameworks exist — especially from the U.S. government. For example, the NIST CSF continues to be one of the most widely adopted and well-known cybersecurity frameworks. CISA and the broader U.S.	既存のサイバーセキュリティのガイダンスやフレームワークは、特に米国政府から多数存在している。例えば、NIST CSF は、最も広く採用され、よく知られているサイバーセキュリティのフレームワークの 1 つであり続けている。CISA と米国政府全体は、NIST CSF の採用を支持している。
government supports adoption of the NIST CSF by every organization to enable development and maintenance of a sustainable, risk information cybersecurity program. Based on stakeholder feedback, the CPGs can be leveraged by organizations as part of a broader cybersecurity program based on the NIST CSF or other frameworks and standards.	CISA と米国政府は、持続可能なリスク情報サイバーセキュリティプログラムの開発と維持を可能にするために、すべての組織が NIST CSF を採用することを支持している。利害関係者のフィードバックに基づき、CPG は、NIST CSF または他のフレームワークと標準に基づく広範なサイバーセキュリティプログラムの一部として、組織が活用することができる。
1. A Quick-Start Guide. The CPGs can help organizations that may lack the cybersecurity experience, resources, or structure in place to quickly identify and implement basic cybersecurity practices. After or in parallel to applying the CPGs, organizations can continue to leverage the NIST CSF to build a holistic risk management program and implement additional NIST controls.	1. クイックスタートガイド：CPG は、サイバーセキュリティの経験、リソース、または体制が不足している組織が、基本的なサイバーセキュリティの実践方法を迅速に特定し、実施するのに役立ちます。CPG の適用後、または適用と並行して、組織は NIST CSF を引き続き活用し、全体的なリスク管理プログラムを構築し、NIST の追加的な管理策を実施することができる。
2. Prioritization and Getting Funding. The CPGs contain a worksheet, described more below, that can help organizations with smaller or less mature cybersecurity programs prioritize which protections to implement, and communicate the importance and relative impact and cost of those protections to (non-technical) executives.	2. 優先順位付けと資金調達：CPG には、小規模または成熟度の低いサイバーセキュリティプログラムの組織が、実施すべき保護の優先順位を決定し、それらの保護の重要性、相対的な影響、コストを（技術者ではない）経営陣に伝えるのに役立つ、ワークシートが含まれている（詳細は後述）。
3. NIST CSF Mappings. Every security practice in the CPGs aligns and is mapped to a corresponding subcategory in the NIST CSF. Note the CPGs do not fully address each NIST CSF Subcategory. For each security practice, identification of the CSF subcategory indicates a relationship between the CPG and the NIST CSF. Organizations that have already adopted and implemented the NIST CSF will not need to perform additional work to implement the relevant CPGs.	3. NIST CSF マッピング：CPG の各セキュリティ対策は、NIST CSF の対応するサブカテゴリに整合し、マッピングされる。CPG は、NIST CSF の各サブカテゴリーに完全に対応していないことに注意。各セキュリティ対策について、CSF のサブカテゴリを特定することは、CPG と NIST CSF との間の関係を示すものである。NIST CSF を既に採用し、実施している組織は、関連する CPG を実施するための追加作業は必要ない。
HOW TO USE THE CPGs	CPG の使用方法
CPG Package Contents	CPG パッケージの内容
There are three documents provided on the CPGs:	CPG には、次の 3 つの文書が含まれている。
1. The CPG List (this document)	1. CPG リスト（本書） 2.
2. The CPG Worksheet (attached PDF). See more below.	2. CPGワークシート（添付PDF）である。詳細は下記を参照。
3. The CPG Full Data Matrix (attached excel document), which contains all the raw data of the CPGs, their mappings to other frameworks, and more.	3. CPG Full Data Matrix (添付のExcel文書): CPGの生データ、他のフレームワークとのマッピングなどをすべて含んでいる。
The CPG Worksheet	CPGワークシート
In addition to the list of CPGs, there is a user-friendly worksheet for asset owners and operators to (1) review and prioritize which CPGs to implement, (2) track the current and future state of CPG implementation, and (3) clearly communicate the priorities, trade-offs, and statuses of the CPGs to other stakeholders, such as non-technical executives.	CPGのリストに加え、資産所有者やオペレーターが、（1）どのCPGを実施すべきかを検討し優先順位をつける、（2）CPG実施の現在および将来の状態を追跡する、（3）CPGの優先順位、トレードオフ、状態を非技術系幹部などの他のステークホルダーに明確に伝えるための使いやすいワークシートが用意されている。
The worksheet includes general estimates of the cost, complexity, and impact of implementing each goal. These estimates are intended to be used as an aid to help inform investment strategy to address known gaps in baseline cybersecurity capability.	ワークシートには、各目標を実施する際のコスト、複雑さ、影響に関する一般的な見積もりが記載されている。これらの見積もりは、ベースラインのサイバーセキュリティ能力における既知のギャップに対処するための投資戦略を知らせるための補助として使用されることを意図している。
Using the CPG Worksheet	CPG ワークシートの使用方法
1. Perform an initial self-evaluation. Organizations should review their existing security programs and security controls to determine which CPGs are already implemented. Organizations may have already implemented CPGs-based adherence to existing guidance or regulation, such as NIST CSF or ISA 62443, and all CPGs are mapped to corresponding controls in those common frameworks.	1. 最初の自己評価を行う。組織は、既存のセキュリティプログラムとセキュリティ管理を見直し、どの CPG がすでに実施されているかを判断する必要がある。組織は、NIST CSF や ISA 62443 などの既存のガイダンスや規制に準拠して CPG をすでに実施している可能性があり、すべての CPG は、それらの共通フレームワークの対応するコントロールにマッピングされる。
2. Identify and prioritize gaps. Organizations review gaps in their CPG implementation and prioritize those areas for investment based on factors such as cost, complexity, and impact, which are all included in the CPG Worksheet.	2. ギャップの特定と優先順位付け CPGワークシートに記載されているコスト、複雑性、影響度などの要因に基づいて、CPGの実施におけるギャップを確認し、投資すべき分野の優先順位を決定する。
3. Invest and execute. Organizations can start implementing the prioritized gaps identified in the previous steps. Some organizations may find materials such as the worksheet helpful when working with their leadership to request funding for cybersecurity focused projects.	3. 投資と実行。組織は、前のステップで特定された優先順位の高いギャップの実装を開始することができる。ワークシートのような資料が、サイバーセキュリティに焦点を当てたプロジェクトの資金調達を組織のリーダーに依頼する際に役立つと考える組織もあるだろう。
4. Review progress regularly after 12 months. To track progress towards improved cybersecurity practices, organizations should go through the worksheet after 12 months to capture progress, both for their own leadership as well for third-parties.	4. 12 カ月後に定期的に進捗状況を確認する。サイバーセキュリティの強化に向けた進捗状況を把握するため、組織は 12 カ月後にワークシートを使用して、自組織のリーダーだけでなく、第三者に対しても進捗状況を確認する必要がある。