TokyoBlackHatNews

therecord.media 4分で読了

CISAが連邦機関に一部のサイバー脆弱性を3日以内にパッチ適用するよう義務付け

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は新たな指令を発出し、人工知能の台頭がもたらす脅威環境の高まりに対処するための優先順位付けシステムの一環として、連邦民間機関に対し一部のサイバー脆弱性を3日以内にパッチ適用するよう義務付けました。

水曜日に公開されたこの新たな拘束力ある運用指令は、脆弱性の深刻度を評価するための4つの基準を定めています。

その基準は、①脆弱性がパブリックインターネットに公開されているか、②既知の悪用された脆弱性(KEV)カタログに掲載されているか、③エクスプロイトの自動化が可能かどうか、④悪意ある活動によって攻撃者が脆弱なシステムをどの程度制御できるか、の4点であると、CISAのサイバーセキュリティ担当代理執行副長官クリス・ブテラ氏が記者との電話会見で述べました。

連邦機関は今後、この4つの基準のうち3つを満たす脆弱性について、72時間以内にパッチを適用する必要があります。指令によると、CISAは各機関が新しいパッチ適用期限に移行するための猶予期間として180日間を設けています。

具体的には、現在悪用されており、自動化が可能で、インターネットに公開されたシステムに対して悪意ある行為者が何らかの制御を得られる脆弱性に対して、3日間のタイムラインが適用されます。

ハッカーが脆弱性を利用してシステムを完全に制御できると機関が判断した場合、システムが侵害されているかどうかを確認したうえで、3日以内にパッチを適用することが義務付けられます。

上記の基準を満たすものの自動化が不可能な脆弱性については、脅威アクターがシステムを完全に制御していない限り、最大2週間以内にパッチを適用する猶予が与えられます。

この指令はさらに、パッチ適用前に脆弱なシステムがいつどのように侵害されたかを確認することも各機関に義務付けています。

「パッチを適用しても、一般的に脅威アクターを排除できるわけではありません」とCISAのプレスリリースは述べています。 

CISAは州・部族・地方政府および重要インフラの所有者・運営者に対しても、同様の脆弱性管理体制を採用するよう強く促しています。

「この新指令は、民間連邦政府の情報システムに対するサイバー防御を迅速化・優先化し、ITおよびセキュリティ運用のリソースを最もリスクの高い資産に集中させるものです」とブテラ氏は述べました。「人工知能の進歩により、脅威アクターがこれらの資産の脆弱性を発見・悪用できるようになった今、この指令は特に重要な意味を持ちます。」

「自律的に大規模な悪用が可能なシステムへのパッチ適用に、何週間もかけている余裕は防御側にはありません」とブテラ氏は付け加えました。

「十分な準備期間」の確保

リソースが限られた連邦機関の多くは高度なサイバー専門知識を内部に持っておらず、4つの基準を満たすかどうかを評価するための脅威トリアージをどれほど容易に行えるかは不透明です。また、これまでに求められてきたより短い3日以内にパッチ適用を完了できるかどうかも、現時点では明らかではありません。

ただしブテラ氏によれば、CISAは各機関が3日以内に対応を完了できると考えており、タイトなスケジュール内での実行に支援が必要な機関をサポートする方針です。

「フォレンジックトリアージについては、一部の連邦機関にとって新たなステップになることは十分に理解しています」とブテラ氏は述べました。「たとえばトリアージ分析の支援を行う能力を私たちは持っています。また、新しい脆弱性管理プロセスを導入するための十分な準備期間も各機関に設けました。」

CISAは、4つの基準のうち3つを満たし72時間以内のパッチ適用が必要な脅威に、連邦機関がどの程度の頻度で直面しているかを分析しました。CISAが調査したある連邦機関では、3日以内のパッチ適用が必要な脆弱性はわずか1%にとどまり、60%以上は深刻度が低く、次回のシステムアップデート時にパッチを適用すれば十分なものでした。  

「CISAは連邦民間機関が最もリスクの高い領域に注力し、優先度の低い脆弱性のパッチ適用を後回しにできるよう支援しています」とCISA代理長官のニック・アンダーセン氏は声明で述べました。「この指令は明確な定義、タイムライン、基準を提供することで、透明性・予測可能性・各機関のリソース計画を強化し、より効果的な脆弱性対応の実行を可能にします。」

同じく水曜日、マーク・ワーナー上院議員(民主党、バージニア州)は、CISAが業界や規制当局と連携してサイバーセキュリティ防御を近代化するよう指示する法案を提出しました。

「AIが急速に進化し続ける中、サイバーセキュリティの防御が今この瞬間の脅威に確実に追いつけるよう取り組まなければなりません」とワーナー氏は声明で述べました。 

翻訳元: https://therecord.media/cisa-to-require-federal-agencies-to-patch-3-days

ソース: therecord.media
#CISA #KEV #サイバーセキュリティ #パッチ適用 #人工知能 #拘束力ある運用指令 #既知の悪用された脆弱性 #脅威インテリジェンス #脆弱性管理 #連邦機関

関連記事

業界の反発を受け、英国が中国ハッカー対策として提案した通信セキュリティ強化策を骨抜きに

サイバー攻撃でオーストラリアの大手製糖工場が操業停止、収穫作業にも影響

CISAがサイバー脆弱性・リスクの評価方法を抜本的に刷新——アンダーセン長官代行が表明