CISA（米国サイバーセキュリティ・インフラセキュリティ庁）

CISAとは、米国の重要インフラをサイバー脅威や物理的脅威から保護するための政府機関です。正式名称である「Cybersecurity and Infrastructure Security Agency（サイバーセキュリティ・インフラセキュリティ庁）」を略して、「CISA」と呼ばれています。

CISAは、2018年に成立した「2018 年サイバーセキュリティ・インフラセキュリティ庁設置法（2018年CISA法）」という法律に従って設置されました。この法律のもと、米国国土安全保障省（DHS）に設置されていた国家防護プログラム局（NPPD）という組織を大幅に改組・拡充し、独立性の高い組織へと再編することで生まれたのがCISAです。

CISA内には、サイバーセキュリティ部（Cybersecurity Division）、インフラセキュリティ部（Infrastructure Security Division）、緊急コミュニケーション部（Emergency Communications Division）、国家リスク管理センター（National Risk Management Center: NRMC）などの部門がいくつか存在し、それぞれが米国のデジタルインフラ強化に向けた取り組みを行っています。

数あるCISAの活動の中でも特に知られているのが、「KEVカタログ（悪用が確認済みの脆弱性カタログ）」の運営です。KEVとは「Known Exploited Vulnerability」の略で、日本語では「既知の悪用された脆弱性」、つまり「攻撃で悪用されていることが確認された脆弱性」を意味しています。

「拘束的運用指令（BOD：Binding Operational Directive）22-01」という指令のもと、米連邦政府の業務を行う民間行政機関（FCEB：Federal Civilian Executive Branch）には、KEVカタログに記載された脆弱性への期限内の対応が義務付けられています。しかしKEVカタログは一般公開されているため、FCEBに限らず世界中すべての組織がこの脆弱性リストを参照し、対策の優先順位付けなどに役立てることが可能です。

KEVカタログ運営のほか、CISAはさまざまなセキュリティアドバイザリやアラートを公開し、ランサムウェアやAPTグループなど、多様なサイバー脅威に関する注意喚起を行っています。また、米FBIや他国のサイバーセキュリティ当局などと合同でレポートを発表することもあります。

公共・民間問わず、米国の重要インフラを物理的脅威およびサイバー脅威から保護するための国家的な取り組みを主導することが、CISAの中心的な役割です。