同庁は、2022年に初めて発表した目標を簡素化し、補強した。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、水処理施設、病院、その他の重要インフラ事業者がハッカーから自らのシステムを守るために活用することを期待している目標リストを更新した。
バージョン2.0 のCISAの分野横断サイバーセキュリティ・パフォーマンス目標(CPG)は、木曜日に同庁が公表したもので、「3年間の運用上の知見を取り入れ、データに基づく実行可能なガイダンスを通じて新たな脅威に対処する」とCISAは声明で述べた。「これらの強化は、説明責任の促進、リスク管理の改善、そして分野横断的な戦略的サイバーセキュリティ・ガバナンスの支援を目的としています。」
変更点には、サイバーセキュリティの監督におけるビジネスリーダーの関与の重要性を強調するための新たな「ガバナンス」カテゴリの追加、情報技術(IT)と運用技術(OT)の目標の統合、サプライチェーンリスク、ゼロトラスト・アーキテクチャ、インシデント対応コミュニケーションに焦点を当てた新たな目標の追加、そして組織がCPGをどのように実装できるかについてのより明確な記述が含まれる。
これらの変更は、「数百の政府および産業界のステークホルダー」からのフィードバックに基づくものだと、同庁の代理長官であるマドゥ・ゴットゥムッカラ氏は声明で述べた。「バージョン2.0は、パートナーからのフィードバックに耳を傾け、それを取り入れることで、組織が実行に移せる、実務的で成果重視のガイダンスを提供するという当庁のコミットメントを示すものです。」
新たなフレームワークにおけるその他の変更点としては、各目標のコスト、影響度、難易度レベルの説明の改善と、その要点が文書の他の部分に統合された3つの目標の削除がある。「実際の利用データと実務者からのフィードバックにより、これらの単独目標は分かりにくい、あるいは十分に活用されていないことが示されました」と、同庁は新文書の中で述べている。
目指すべきセキュリティ成果
CISAは当初の分野横断CPGを2022年末に公表し、すべての重要インフラ組織に対して明確で統一されたセキュリティ期待値のセットを提示した。その後同庁は、情報技術および化学分野向けの分野別CPGを策定し、他の機関は医療およびエネルギー分野向けの目標を策定した。金融分野向けのCPGは近日公開予定だと、CISAのウェブサイトには記載されている。
これらの目標は、組織に測定可能な目的を与え、ITとOTのサイロを打破し、ビジネスリーダーが戦略的なサイバーセキュリティ投資を行うことを支援することを意図している。
翻訳元: https://www.cybersecuritydive.com/news/cisa-cybersecurity-performance-goals-update/807766/
