https://infomation-sytem-security.hatenablog.com/entry/what-is-cisa-us-agency

皆さん、こんにちは。東証プライム上場企業で情報システム部のセキュリティ担当をしている城咲子です。CISSPや登録セキスペの資格を持ち、日々セキュリティの最前線で奮闘しています。

さて、最近セキュリティ関連のニュースで「CISA（シーサ）」という言葉を頻繁に耳にしませんか？

「CISAが新たな脆弱性について警告した」「CISAがガイドラインを公開した」など、その名は世界中のセキュリティ担当者にとって非常に重要な意味を持っています。

しかし、この「CISA」には2つの主要な意味があり、混同されがちです。

CISA (Cybersecurity and Infrastructure Security Agency): アメリカ合衆国国土安全保障省（DHS）配下の「サイバーセキュリティ・社会基盤安全保障庁」という政府機関。
CISA (Certified Information Systems Auditor): ISACAが認定する「公認情報システム監査人」という国際資格。

この記事で解説するのは、1. の「米国の政府機関」としてのCISAです。

なぜ、米国のいち政府機関の動向が、遠く離れた日本企業の私たちにとってこれほど重要なのでしょうか？

それは、CISAが単なる米国内の組織ではなく、グローバルなサイバー脅威に対する「事実上の世界の防衛司令塔」の一つとして機能しており、その活動成果が私たちの実務に直結しているからです。

今回は、情シスセキュリティ担当者の視点から、CISAとは何なのか、その重要な役割、そして私たち日本企業がCISAの情報をどう活用すべきかを徹底的に解説します。

CISA（サイバーセキュリティ・社会基盤安全保障庁）とは？

CISA（Cybersecurity and Infrastructure Security Agency）は、その名の通り、米国のサイバーセキュリティと重要インフラの防衛を任務とする連邦政府機関です。

日本語では「サイバーセキュリティ・社会基盤安全保障庁」と訳されます。

設立の背景：脅威の高度化への対応

CISAは、比較的新しい組織で、2018年11月に設立されました。もともとは国土安全保障省（DHS）内部の「国家防護・計画局（NPPD）」という部署でしたが、国家レベルでのサイバー攻撃の脅威が急速に高まる中、より強力な権限とリソースを持つ独立した「庁」として格上げされたのです。

この背景には、「サイバー空間の脅威は、もはやIT部門だけの問題ではなく、電力、金融、通信、医療といった国家の重要インフラ全体を揺るがす安全保障上の問題である」という米国の強い危機意識があります。

CISAのミッション：「リスクを理解し、防御する」

CISAのミッションは非常に明確です。

"To understand, manage, and reduce risk to our cyber and physical infrastructure." （我々のサイバーおよび物理インフラに対するリスクを理解し、管理し、軽減すること）

彼らは自らを「国家のリスクアドバイザー (the Nation's risk advisor)」と位置づけています。脅威を分析し、そのリスクを評価し、政府機関や民間企業が防御できるよう支援することが中核的な任務です。

CISAの主な役割と活動

CISAの活動は多岐にわたりますが、特に私たちセキュリティ担当者や経営層が注目すべき重要な活動は以下の4つです。

1. KEV（既知の悪用された脆弱性）カタログの発行

これが、私がCISAの活動で最も重要視している成果物です。

KEV (Known Exploited Vulnerabilities) カタログとは、「すでにサイバー攻撃者に悪用されていることが確認された脆弱性」のリストです。

日々、世界中で新しい脆弱性（CVE）が何百と発見されます。私たち情シス担当者は、そのすべてに即時対応することはリソース的に不可能です。そこで「どの脆弱性から優先的に対処すべきか？」というトリアージ（優先順位付け）が極めて重要になります。

CVSS（共通脆弱性評価システム）のスコアが高い（＝深刻度が高い）ものから対応するのが一般的ですが、深刻度が高くても「攻撃コードがまだ出回っていない」ものも多くあります。

一方で、KEVに掲載された脆弱性は、深刻度の高低に関わらず「今まさに攻撃者が武器として使っている」ものです。

城咲子の視点（実務への活用）

私の信条は「属人性の徹底排除」です。CISAのKEVは、脆弱性対応の優先順位付けという属人的になりがちな作業を標準化するための、最も信頼できるグローバルスタンダードと言えます。私たちのチームでは、自社の資産管理台帳とKEVリストを突き合わせ、KEVに該当する脆弱性が発見された場合は、問答無用で最優先（クリティカル）として対応プロセスを回すルールにしています。これは「自分が動くのではなくルールで組織を動かす」という私の信念にも合致します。

2. JCDC（共同サイバー防衛連携）による官民連携

CISAの強みは、政府機関だけで閉じているのではなく、民間企業と強力なタッグを組んでいる点にあります。その象徴が JCDC (Joint Cyber Defense Collaborative) です。

JCDCは2021年に設立された官民連携のイニシアチブで、Amazon (AWS), Google, Microsoft といった米国の巨大テック企業のほか、セキュリティベンダー、通信事業者などが参加しています。

彼らの目的は、平時からサイバー脅威に関する情報をリアルタイムで共有し、大規模なサイバー攻撃が発生した際には、官民一体となって共同で防御計画を実行することです。

日本への影響

このJCDCの動きは、日本にも大きな影響を与えています。NTTなどの日本企業もJCDCに参加しており、情報の連携が進んでいます。さらに、日本政府が導入を進めている「能動的サイバー防御」の中核組織として、JCDCをモデルにした官民連携の協議体設立が計画されています。CISAの取り組みは、そのまま日本の未来のセキュリティ政策の雛形となっているのです。

3. サイバーハイジーン（衛生管理）の推進とアラート発出

CISAは、企業や個人が実践すべき基本的なセキュリティ対策（＝サイバーハイジーン）に関するガイドラインやベストプラクティスを数多く公開しています。

Shields Up（盾を構えろ）: ロシアによるウクライナ侵攻の際、地政学的リスクの高まりを受けてCISAが発出した有名なキャンペーンです。「今すぐ実践すべきセキュリティ対策」を具体的に提示し、世界中の組織に警戒を呼びかけました。
各種アラート (Alerts / Advisories): 新たな脅威やランサムウェア攻撃の手口が確認されると、詳細な分析レポート（攻撃者のTTPsなど）を迅速に公開し、対策を促します。

4. 重要インフラ（物理・サイバー）の保護

CISAの任務はサイバー空間だけに留まりません。「社会基盤安全保障庁」の名前の通り、電力、水道、金融、交通、医療といった重要インフラ（Critical Infrastructure）を物理的な脅威からも守る役割を担っています。

サイバー攻撃によって電力網がダウンしたり、病院のシステムが停止したりすることは、そのまま国民の生命に直結します。CISAは、これらのインフラ事業者と連携し、サイバーとフィジカル両面からのリスク評価とレジリエンス（回復力）強化を支援しています。

なぜ日本企業の経営層・情シスがCISAを無視できないのか？

「CISAは米国の話で、うちには関係ない」と考えるのは非常に危険です。特に経営層や私のような情シス担当者は、CISAの動向を「自社の経営課題」として捉える必要があります。

1. サプライチェーン・リスクの指標となる

現代のビジネスは、グローバルなサプライチェーンの上に成り立っています。自社が直接CISAの管轄でなくても、取引先（特に米国企業やクラウドベンダー）はCISAの規制や勧告に従っています。

AWS, Google Cloud, Microsoft Azure といった私たちが日常的に利用するクラウドサービスも、CISAと緊密に連携しています。彼らがCISAの基準に基づいてセキュリティを強化することは、巡り巡って私たち利用者のセキュリティレベルにも影響を与えます。

2. 「経営の片腕」としての情シスの情報源

私の信条の一つに「情シス部門は経営の片腕」というものがあります。セキュリティリスクを技術的な問題として処理するだけでなく、「経営リスク」として経営層に正しく伝え、判断を仰ぐのが私たちの役目です。

その際、CISAが発信する情報は、「世界標準のリスク認識」として経営層に説明するための強力な武器となります。

城咲子の視点（経営層への報告）

例えば、「この脆弱性対応に緊急の予算が必要です」と経営層に説明する際、単に「CVSSスコアが9.8です」と言うよりも、「米国のCISAがKEV（悪用確認済みリスト）に追加し、全政府機関に3週間以内の対応を命じた脆弱性です。放置すれば、攻撃者の格好の標的となります」と説明する方が、経営リスクとしての深刻さが格段に伝わりやすくなります。