「ゼロトラストの前に既定パスワード変更を」 IPA、重要インフラを守る「最低限のセキュリティ」を刷新：コスト・インパクト・容易性を見て自分で決める

IPAが米国CISA発行の「Cross-Sector Cybersecurity Performance Goals Ver.2.」の日本語翻訳を公開した。全ての重要インフラ事業者が実施すべきサイバーセキュリティ対策の基本目標を示す文書だ。

[＠IT]

　独立行政法人 情報処理推進機構（IPA）セキュリティセンターは2026年4月8日、米国土安全保障省（DHS）傘下のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が2025年12月に発行した「Cross-Sector Cybersecurity Performance Goals Ver.2.0」（以下、CPG 2.0）を翻訳し、CISAの了解の下でIPAのWebサイトで公開した。国内のインフラ事業者のサイバーセキュリティ確保を支援するのが目的だ。

Cross-Sector Cybersecurity Performance Goals Ver.2.0 (2025-12)[翻訳版]（PDF）の表紙

Cross-Sector Cybersecurity Performance Goalsとは何か

　CPGは、規模によらず全ての重要インフラ事業者がサイバーセキュリティの取り組みを始める際の基本的な対策の共通目標だ。ITおよびOT（Operational Technology：制御・運用技術）を対象に、優先的に実施すべきサイバーセキュリティプラクティスのサブセットを提供する。CISAおよび政府と産業界のパートナーが観測した最も一般的かつ影響の大きい脅威と、敵対者のTTP（戦術、技術、手順）が反映されている。

　CPGは包括的なサイバーセキュリティプログラムではなく、組織が実装すべき最低限のプラクティスとして位置付けられている。重要インフラ事業者、特に中小規模組織が、強固なサイバーセキュリティ態勢構築への第一歩を踏み出すための支援を目的としている。サイバーセキュリティ対策のレベル分け（成熟度モデル）は行わず、「コスト」「インパクト」「実装の容易性」を見て、組織が自分で投資優先順位を決めて実施するものだ。

「ゼロトラストは現時点では適切なCPGとは言えない」CPGの選定基準

　CPGに含まれる各目標は、以下の3つの基準で選定されている。分野横断的な脅威およびサイバー脅威アクターのTTPリスクや影響を軽減する実証済みの価値があること、明確で実行可能かつ容易に定義できること、中小規模の組織が合理的かつ法外な費用の負担なく実装できることだ。

　例として「組織のインターネットに接続されているシステムに、既知の悪用された脆弱（ぜいじゃく）性（KEV：Known Exploited Vulnerabilities）が存在しないことを確実にする」ことが挙げられている。この目標は定義可能で達成可能であり、国家レベルの脅威アクターが悪用している弱点からのリスクを直接的に低減するとしている。

　一方、全てのアクセス要求に対して認証を求める「ゼロトラスト」は、現時点では適切なCPGとは言えないとしている。ゼロトラストは非常に有効なアプローチだが、CPGの対象となる多くの小規模組織は、CPGの全セットを実装していない場合、ゼロトラストの実装に課題を抱える可能性があるからだ。

目標の構成

　CPGの各目標は、対処されるリスク、成果、推奨される行動、範囲、コスト、インパクト、実装の容易性、NIST CSF 2.0参照、サポートリソースなどの要素で構成される。CISAは24〜36カ月の改訂サイクルでCPGを更新する方針としている。

CPGモデルの「防御」の例（提供：IPA）

Ver.2.0の主な変更点、全目標リスト

　CPGの初版は2022年10月に公開され、バージョン1.0.1が2023年3月に公開されていた。今回のVer.2.0は、2024年2月に公開されたNIST（米国国立標準技術研究所）のサイバーセキュリティフレームワーク（CSF）バージョン2.0に準拠して再編成されている。

　新たに「統治」（GOVERN）機能が追加され、サイバーセキュリティの監督における組織的リーダーシップの重要性が強調されている。説明責任やリスクマネジメント、日常業務へのサイバーセキュリティの戦略的統合を強調する内容だ。

　CPG 2.0の構成は統治（GOVERN）、識別（IDENTIFY）、防御（PROTECT）、検知（DETECT）、対応（RESPOND）、復旧（RECOVER）の6機能に分かれている。

1. 統治
   • サイバーセキュリティの責任を確立する
   • サイバーセキュリティの監督を管理する
   • インシデント対応計画を維持する
   • サプライチェーン・インシデントの報告と脆弱性開示
   • マネージドサービスプロバイダーからのリスクを管理する
2. 識別
   • 組織の資産を管理する
   • 既知の脆弱性を緩和する
   • サイバーセキュリティ管理策の独立した妥当性確認を得る
   • 脆弱性開示／報告のプロセスを維持する
   • ネットワークトポロジーを文書化する
3. 防御
   • デフォルト（既定）のパスワードを変更する
   • 最低限のパスワード強度を定める
   • 一意の認証情報を生成する
   • 離職する従業員の認証情報を無効化する
   • 失敗した（自動化された）ログイン試行を監視する
   • 多要素認証（MFA）を実装する
   • 管理者がユーザーアカウントと特権アカウントの分離を維持する
   • 最小特権の原則を実装する
   • 論理的／物理的ネットワークセグメンテーションを実装する
   • サイバーセキュリティトレーニングを実施する
   • 強力な暗号化を活用する
   • 電子メールのセキュリティを有効化する
   • 自動実行＆マクロをデフォルトで無効にする
   • 変更管理プロセスを確立する
   • システムのバックアップと復元能力を維持する
   • ハードウェアとソフトウェアの承認プロセスを維持する
   • ログ収集および保管を維持する
   • 不正な機器の接続を禁止する
   • インターネットに面したデバイスをセキュアにする
4. 検知
   • 悪意のあるコードの検知を確立する
   • 敵対的な事象を識別する
5. 対応
   • インシデントのコミュニケーション手順を確立する
   • インシデントの報告手順を確立する
6. 復旧
   • インシデント復旧計画を実行する

CPG 2.0が対処する4つの課題

　CPG 2.0は以下の4つの課題に対処するために更新された。

1．OTサイバーセキュリティの軽視とリソース不足

　サイバーセキュリティ業界はビジネスITシステム中心であり、OT環境がもたらす固有かつ重大なリスクが軽視されている。ネットワークに接続できるOTデバイスが増えるにつれ、不十分なサイバーセキュリティ対策が重要インフラを深刻な脅威にさらしている。

　多くの組織には専用のOTサイバーセキュリティプログラムがないか、存在している場合でも、基本的なサイバーセキュリティプラクティスやOT固有の防御策において不十分な場合が多い。

2．基本的なセキュリティ防御策の未採用

　MFAや強固なパスワード管理、定期的なバックアップといった基本的な防御策の欠如が重要インフラをサイバー侵入にさらしている。

3．中小規模組織の取り残し

　リソースが限られている組織や、サイバーセキュリティプログラムの成熟度が低い組織は、サイバーセキュリティ態勢に最大の効果をもたらす投資分野の特定や、防御策の効果的な実装に困難を抱えている。

4．一貫した基準とサイバー成熟度の欠如

　重要インフラ分野のサイバーセキュリティにおける能力や投資、ベースラインプラクティスに著しい不一致が存在し、脅威アクターが機能障害や連鎖的な影響を引き起こすために悪用できるギャップにつながる可能性がある。

CPGの使用方法

　CPGには、以下の2つの文書が提供されている。

1. CPGリスト（本文書）
2. CPGチェックリスト

CPGワークシート

　CPGリストに加え、資産所有者および運用者が、以下の目的で使用できる使いやすいワークシートが用意されている。

1. 実装するCPGのレビューと優先順位付け
2. CPG実装の現状と将来の状態の追跡
3. 優先順位、トレードオフ、CPGの状況を非技術的な経営幹部などの他のステークホルダーに明確に伝達すること

　このワークシートは、各目標の実装にかかる費用、複雑さ、インパクトに関する一般的な見積もりを含む。組織はこれらの見積もりを、ベースラインのサイバーセキュリティ能力における既知のギャップに対処する投資戦略に活用できる。

　CISA.gov、CISAのサイバーセキュリティ評価ツール（CSET）内のCPGアセスメントモジュールから入手可能だ。

CPGワークシートの使用方法

1．初期の自己評価

　組織は既存のセキュリティプログラムとセキュリティ管理策をレビューし、実装済みのCPGを特定することが望ましい。組織はNIST CSFや「ISA/IEC 62443」などのガイダンスやフレームワークへの準拠を通じて、一部のCPGまたは多くのCPGを既に実装している可能性がある。全てのCPGは、これらの共通フレームワーク内の対応する管理策にマッピングされる。

2．ギャップの識別と優先順位付け

　組織はCPG実装におけるギャップをレビューし、コストや複雑さ、インパクトといった要素（いずれもCPGワークシートに記載）に基づき、投資対象領域の優先順位を決定することが望ましい。

3．投資と実行

　組織はステップ2で識別された優先度の高いギャップの実装を開始できる。一部の組織では、サイバーセキュリティに焦点を当てたプロジェクトへの資金提供を経営陣に要請する際、ワークシートなどの資料が役立つ場合がある。

4．12カ月後の進捗（しんちょく）レビュー

　サイバーセキュリティ対策の改善に向けた進捗状況を追跡するために、組織は12カ月後にワークシートを再検証し、自組織の経営陣および第三者の両方の進捗状況を把握することが望ましい。