米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)

こんにちは、丸山満彦です。

CISAが、サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表していますね。。。CSFベースに並び替えたもののようです。私も知らなかったのですが、使えそうな気もするので今からちょっと見てみます(^^;;

パフォーマンス目標をステークホルダーとコミュニケーションをとりながら設定し、測定していこうというのであれば、すごく論理的で美しい（けど、実行は大変かも...）ですね。。。

 

Model Component	モデル・コンポーネント	Component Description	コンポーネントの説明
Outcome	成果	The ultimate security outcome that each CPG strives to enable.	各 CPG が実現しようとする究極のセキュリティ成果。
TTP/Risk Addressed	TTP/リスクへの対応	Either (a) the primary set of MITRE ATT&CK TTPs or (b) the set of organizational risks that would be rendered less likely or impactful if the goal is implemented.	(a) MITRE ATT&CK TTP の主要なセット、又は (b) 目標が実施された場合に可能性又は影響が少なくなる組織リスクのセットのいずれか。
Security Practice	セキュリティの実践	The mitigation(s) that organizations should implement to achieve the outcome and reduce the impact of the TTP or risk.	結果を達成し、TTP またはリスクの影響を軽減するために、組織が実施すべき緩和策（複数可）。
Scope	適用範囲	The set or subset of assets to which organizations should apply the security practice.	組織がセキュリティ対策を適用すべき資産の集合またはサブセット。
Recommended Action	推奨される行動	Example approaches to help organizations progress toward achievement of the performance goal, based on input from CISA's collaborative stakeholder process. These actions will be updated regularly as new threats and defenses are identified.	CISAのステークホルダーとの共同作業プロセスからの情報に基づいて、組織がパフォーマンス目標の達成に向けて前進するのを支援するアプローチの例。これらのアクションは、新たな脅威と防御策が特定された場合に、定期的に更新される予定である。
MST CSF Reference	MST CSFの参照	The CSF subcategory that most closely relates to the security practice.	セキュリティ対策に最も密接に関連する CSF のサブカテゴリ。

 

⚫︎Cybersecurity & Infrastractre Security Agency: CISA

・2023.03.21 CISA Releases Updated Cybersecurity Performance Goals

CISA Releases Updated Cybersecurity Performance Goals	CISA、サイバーセキュリティ成果目標の更新版を発表
Today, we published stakeholder-based updates to the Cybersecurity Performance Goals (CPGs). Originally released last October, the CPGs are voluntary practices that businesses and critical infrastructure owners can take to protect themselves against cyber threats. The CPGs have been reorganized, reordered and renumbered to align closely with NIST CSF functions (Identify, Protect, Detect, Respond, and Recover) to help organizations more easily use the CPGs to prioritize investments as part of a broader cybersecurity program built around the CSF.	本日、当庁は、サイバーセキュリティ・パフォーマンス・ゴール（CPGs）のステークホルダー・ベースの更新を発表した。昨年10月に発表されたCPGは、企業や重要インフラの所有者がサイバー脅威から身を守るために取ることができる自主的な取り組みである。CPGは、NIST CSFの機能（特定、保護、検知、対応、回復）と密接に連携するよう、再編成、並び替え、番号付けが行われ、組織がより簡単にCPGを利用して、CSFを中心とした幅広いサイバーセキュリティプログラムの一部として投資の優先順位を決定できるようになった。
CISA urges stakeholders to review and learn more by visiting Cross-Sector Cybersecurity Performance Goals.	CISAは、関係者が分野横断サイバーセキュリティ成果目標を参照し、詳細を確認するよう促している。

 

・Cross-Sector Cybersecurity Performance Goals

Cross-Sector Cybersecurity Performance Goals	分野横断サイバーセキュリティ・パフォーマンス・ゴール
Overview	概要
In July 2021, President Biden signed a National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems.	2021年7月、バイデン大統領は、重要インフラ制御システムのサイバーセキュリティの改善に関する国家安全保障覚書に署名した。
This memorandum required CISA, in coordination with the National Institute of Standards and Technology (NIST) and the interagency community, to develop baseline cybersecurity performance goals that are consistent across all critical infrastructure sectors. These voluntary cross-sector Cybersecurity Performance Goals (CPGs) are intended to help establish a common set of fundamental cybersecurity practices for critical infrastructure, and especially help small- and medium-sized organizations kickstart their cybersecurity efforts.	この覚書は、CISAが米国国立標準技術研究所（NIST）および省庁間コミュニティと連携して、すべての重要インフラ部門に一貫したサイバーセキュリティの基本性能目標を策定することを要求した。このセクター横断的なサイバーセキュリティ性能目標（CPG）は、重要インフラの基本的なサイバーセキュリティ対策の共通セットを確立することを目的としており、特に中小規模の組織がサイバーセキュリティへの取り組みを開始する際に役立つ。
The CPGs are a prioritized subset of information technology (IT) and operational technology (OT) cybersecurity practices that critical infrastructure owners and operators can implement to meaningfully reduce the likelihood and impact of known risks and adversary techniques. The goals were informed by existing cybersecurity frameworks and guidance, as well as the real-world threats and adversary tactics, techniques, and procedures (TTPs) observed by CISA and its government and industry partners. By implementing these goals, owners and operators will not only reduce risks to critical infrastructure operations, but also to the American people.	CPGは、情報技術（IT）および運用技術（OT）サイバーセキュリティの優先的なサブセットで、重要インフラの所有者および運営者が、既知のリスクや敵の手法の可能性と影響を有意に低減するために実施できるものである。この目標は、既存のサイバーセキュリティの枠組みやガイダンス、およびCISAとその政府・産業界のパートナーが観察した現実世界の脅威や敵の戦術、技術、手順（TTPs）から得たものである。これらの目標を実施することで、所有者と運用者は重要インフラの運用だけでなく、米国民に対するリスクも軽減することができる。
The first version of the CPGs was published in October 2022. Since that time, CISA received feedback from multiple sectors across the stakeholder community, requesting that the goals be represented in a manner that was more easily traceable to the NIST Cybersecurity Framework (CSF). To that end, CISA has reorganized the goals according to the related NIST CSF functions (Identify, Protect, Detect, Respond, and Recover). It is important to note that several goals map to multiple functions, and – as previously stated – implementation of a given CPG does not necessarily constitute complete fulfillment of the referenced NIST CSF subcategory. A more comprehensive summary of the changes between the previous and current versions of the CPGs is available in the document itself.	CPGの最初のバージョンは、2022年10月に公表されました。それ以来、CISAはステークホルダー・コミュニティの複数のセクターからフィードバックを受け、NISTサイバーセキュリティフレームワーク（CSF）とより容易に追跡可能な方法で目標を表現することを要求した。そのため、CISAは、NIST CSFの関連機能（特定、保護、検知、対応、回復）に従って目標を再編成した。いくつかの目標は複数の機能に対応しており、前述のとおり、あるCPGを実施しても、参照するNIST CSFのサブカテゴリーを完全に満たすとは限らないことに留意することが重要である。CPG の前バージョンと現バージョンの間の変更点のより包括的な要約は、文書自体に記載されている。
The CPGs are intended to be:	CPG は、以下のことを意図している：
・A baseline set of cybersecurity practices broadly applicable across critical infrastructure with known risk-reduction value.	・重要インフラに広く適用され、リスク低減の価値が知られているサイバーセキュリティ対策の基本セット。
・A benchmark for critical infrastructure operators to measure and improve their cybersecurity maturity.	・重要インフラ事業者がサイバーセキュリティの成熟度を測定し、改善するためのベンチマークとなる。
・A combination of recommended practices for IT and OT owners, including a prioritized set of security practices.	・IT および OT の所有者に推奨されるプラクティスを組み合わせたもので、優先順位の高いセキュリティプラクティスを含む。
・Unique from other control frameworks as they consider not only the practices that address risk to individual entities, but also the aggregate risk to the nation.	・個々の事業体のリスクに対応するプラクティスだけでなく、国家の総体的なリスクも考慮しているため、他の管理フレームワークとは一線を画している。
The CPGs are:	CPGは以下の通りである：
・Voluntary: The National Security Memorandum does not create new authorities that compel owners and operators to adopt the CPGs or provide any reporting regarding or related to the CPGs to any government agency.	・自主的なものである： 国家安全保障に関する覚書は、所有者や運営者にCPGの採用を強制したり、CPGに関する報告を政府機関に提供したりするような新たな権限を設けるものではありません。
・Not Comprehensive. They do not identify all the cybersecurity practices needed to protect national and economic security and public health and safety. They capture a core set of cybersecurity practices with known risk-reduction value broadly applicable across sectors.	・包括的でない。CPGは、国家および経済の安全保障と公衆の健康と安全を守るために必要なすべてのサイバーセキュリティの実践を特定するものではありません。CPGは、セクターを問わず広く適用できる、リスク低減効果が知られているサイバーセキュリティ対策の中核をなすものである。
As directed by President Biden’s NSM, the CPGs are intended to supplement the  National Institute of Standards and Technology's (NIST) Cybersecurity Framework (CSF).	バイデン大統領のNSMの指示により、CPGは米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク（CSF）を補完することを目的としている。
for organizations seeking assistance in prioritizing investment toward a limited number of high-impact security outcomes, whether due to gaps in expertise, resources, or capabilities or to enable focused improvements across suppliers, vendors, business partners, or customers.	CPGは、専門知識、リソース、能力の不足のため、あるいはサプライヤー、ベンダー、ビジネスパートナー、顧客の間で集中的な改善を行うために、影響力の大きい限られた数のセキュリティ成果に向けて投資の優先順位を決める支援を求める組織向けのものである。
In an effort to accelerate adoption of essential actions to improve cybersecurity across the nation’s critical infrastructure providers, the CPGs recommend an abridged subset of actions to help organizations prioritize their security investments.	CPGは、国内の重要インフラ事業者におけるサイバーセキュリティの向上に不可欠なアクションの採用を促進するため、組織がセキュリティ投資の優先順位を決めるのに役立つアクションの一部を簡略化して推奨している。
Full background on the CPGs, their formation, the model, relation to existing standards, and how they should be used is fully outlined in the document.	CPGの背景、形成、モデル、既存の標準との関係、およびCPGの使用方法については、この文書で完全に説明されている。

 

・[PDF] CPG Report

 

 

・[PDF] CISA CPG Checklist

 

・[XLSX] Complete CPGs Matrix/Spreadsheet