サイバーセキュリティ・インフラセキュリティ庁(CISA)は水曜日、「より賢く、より効率的なパッチ適用」を推進する取り組みの一環として、4つの基準に基づいて脆弱性の優先順位を付けるよう連邦機関に命じました。
CISAは、公開資産に影響を与える脆弱性、攻撃者による完全自動化した悪用を可能にする脆弱性、システムの制御奪取を可能にする脆弱性、または実際の環境での悪用が確認されている脆弱性へのパッチ適用を優先するよう連邦機関に求めています。
CISAのニック・アンダーセン長官代行は火曜日、この拘束力のある運用指令(BOD)の概要を説明し、脆弱性管理全般の抜本的な見直しとして位置づけました。
「この指令は明確な定義、タイムライン、基準を提供し、透明性・予測可能性、そして各機関のリソース計画を強化することで、より効果的な脆弱性修正の実行を支援します」とアンダーセン氏は声明で述べました。「戦術・技術・脆弱性が変化し続ける中、CISAは連邦民間機関と連携・主導しながら、敵対者の先手を打つ取り組みを続けています。」
BOD 26-04 は、4つの基準のうちいくつを満たすかに応じて、機関が脆弱性を修正すべき期限を定めています。たとえば4つすべてを満たす場合、機関は3日以内に修正を完了し、システムが侵害されていないかを評価する「フォレンジックトリアージ」を実施しなければなりません。
より全般的な対応としては、CISAの「必須パッチ」リストに掲載されている既知の悪用済み脆弱性(KEV)への継続的な修正プロセスの確立を含め、機関は脆弱性管理ポリシーを直ちに更新する必要があります。さらに60日以内に一般的な脆弱性の修正プロセスを更新し、180日以内に本指令が定める修正タイムラインを満たすことが求められます。
この指令の背景には、脆弱性の発見から兵器化までの時間を縮めている人工知能の影響があります。CISAは、ドナルド・トランプ大統領が先週署名したAIに関する大統領令の優先事項を反映したものだとしています。
BODは連邦機関以外には義務付けられていませんが、CISAは民間セクターにも採用を推奨しています。CISAの当局者は「より賢く、より効率的なパッチ適用」の必要性を訴えたブログ投稿の中で、「防御側はすでに対応に追われている」と警鐘を鳴らしました。
「人工知能は研究者と攻撃者の双方によるソフトウェアの欠陥発見を支援しており、新たな脆弱性が発見されるペースを大幅に加速させています」と、サイバーセキュリティ担当上級次長代行のクリス・ブテラ氏とシニアテクニカルアドバイザーのジョナサン・スプリング氏は記しました。「ベライゾンの2026年データ侵害調査報告書によると、2025年にCISAの既知悪用済み脆弱性(KEV)カタログに掲載された脆弱性を完全に修正した組織はわずか26%にとどまり、前年の38%から低下しました。完全解決までの期間の中央値は43日に上昇しています。」
翻訳元: https://cyberscoop.com/cisa-vulnerability-remediation-directive-bod-26-04/
