CISAの新たな指令は、連邦機関の対応を深刻度スコア頼みから脱却させ、現実の悪用状況・資産の露出状態・攻撃者の影響力を優先するリスクベースのパッチ適用モデルへと転換させます。多くのセキュリティリーダーが、このフレームワークを脆弱性管理の未来像と捉えています。
セキュリティチームのパッチ適用業務は、ここ1年で急激な重圧にさらされています。積極的な脆弱性悪用は増加し、悪用までの時間は短縮されており、脆弱性は攻撃者が企業侵入に使う最大の初期アクセス手段となっています。
Verizonの2026年度データ侵害調査報告書(DBIR)によると、昨年、攻撃者が実際に悪用していた脆弱性を組織が完全に修復できたのはわずか26%にとどまり、前年の38%から大幅に低下しました。これら既知の危険な脆弱性を修正するまでの中央値は43日に達した一方、攻撃者側はその時間を数日、場合によっては数時間にまで短縮しています。
こうした背景のもと、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は拘束的運用指令(BOD)26-04を発行しました。この指令は、AIが主導する環境においては、深刻度スコアを主な基準としたパッチ適用がもはや十分ではないという認識の高まりを反映しています。現代の防御側は、現実的に一度に修正しきれない数の脆弱性に直面しています。
この指令を発表したメディアブリーフィングで、CISAのサイバーセキュリティ担当代行エグゼクティブ・アシスタント・ディレクターのクリス・ブテラ氏は、この取り組みを連邦政府の脆弱性管理プログラム、敵対的な活動、そしてAIがサイバー作戦に与える影響に関する同庁の理解が10年以上にわたって積み重ねてきた教訓の集大成と表現しました。
「ITおよびセキュリティ運用のリソースをリスクの高い資産に集中させることは、AIの進化によって脅威アクターが資産の脆弱性を発見・悪用できるようになった今日、とりわけ重要です」とブテラ氏は述べました。「大規模に自律的に悪用されうるシステムへのパッチ適用に数週間かける余裕は、防御側にはありません。」
ブテラ氏とCISAのシニアテクニカルアドバイザーであるジョナサン・スプリング氏は、関連するブログ投稿の中で、急増する脆弱性の量に防御側が対応しきれなくなっていると主張しています。AIはソフトウェアの欠陥を特定する研究者や攻撃者を支援し、新たな脆弱性が発見されるペースを飛躍的に高めており、組織は修正作業の優先順位付けの方法を根本的に見直すことを余儀なくされています。
ブテラ氏とスプリング氏は、防御側には何にパッチを当てるかを決定する際に、より明確な指針と迅速な判断が必要だと訴えています。その処方箋は「もっと賢く、もっとスマートなパッチ適用」です。
CVSSを超えて——深刻度スコアだけでは不十分な理由
この指令は、攻撃者によって実際に悪用されている脆弱性をすでに特定しているCISAの既知悪用脆弱性(KEV)カタログプログラムを基盤としています。しかしBOD 26-04はさらに踏み込み、4つの主要要素を考慮した意思決定フレームワークを導入しています。その要素とは、脆弱なシステムがインターネットに公開されているか、KEVカタログに掲載されている脆弱性か、攻撃者が悪用を自動化できるか、そして悪用後に攻撃者が得られる制御の範囲、の4点です。
ブリーフィングでブテラ氏は、インターネット露出・既知の悪用・悪用自動化・悪用後の影響という4つの特性は、連邦システムへの実質的なリスクと最も密接に関連する条件を表していると説明しました。これらの属性のうち3つ以上に該当する脆弱性は3日以内にパッチを適用しなければなりません。一方、リスクの低い脆弱性は、より長い期間をかけて対処するか、場合によっては次回の大規模システムアップグレードまで延期することが認められます。
この変更は、セキュリティ実務者が脆弱性管理について考える方法の大きな転換を反映しています。長年にわたり、組織はパッチ適用の優先順位付けにCVSSなどの深刻度スコアを主に活用してきました。しかし、これらのスコアは攻撃者が実際にその脆弱性を悪用するかどうかを予測できないことが多いのが実情です。
「この指令はかつて深刻度スコアだけに基づいていましたが、それが悪用の良い予測指標にならないことは業界全体でわかってきました」と、RANDのシニアサイバーセキュリティ政策研究員であるサーシャ・ロマノスキー氏はCSOに語りました。「今回のBoDは、影響と悪用実績の両方を考慮するよう更新されており、正しいアプローチだと思います。」
FIRST EPSS SIGメンバーでRogoLabsの創設者であるジェリー・ギャンブリン氏は、このBoDにさらに熱狂的な支持を示しています。「BOD 26-04はまさに正しい方向への大きな一歩であり、データドリブンなチームがすでに知っていることを裏付けています。CVSSのハイやクリティカルにすべてパッチを当てるのは、数学的に不可能です」と同氏はCSOに述べています。「KEVカタログの活用をEPSSのような高度な予測データとともに正式化することで、CISAは業界全体を実践的なリスクベースの運用成熟度へと導こうとしています。」
継続的なリスク評価がもたらす運用上の負荷
最も注目すべき運用上の変化は、修正期限が動的になることです。インターネット公開かつ積極的に悪用されている脆弱性が最優先とされ、状況の変化に応じて対応期限も変わります。
ブリーフィングでブテラ氏は、この柔軟性がこの指令の最大の強みの一つだと述べました。ある連邦民間機関の分析では、3日以内の修正が必要な脆弱性インスタンスはわずか約1%にすぎず、60%以上は次回のシステム更新まで延期できることがCISAの調査で明らかになりました。
この発見は、同庁の中心的な主張を裏付けています。脆弱性管理はパッチ適用の問題である以上に、優先順位付けの問題になっているということです。
「最も緊急性の高い脆弱性にはより迅速なパッチ適用ができ、リスクの低い脆弱性については定期的なパッチサイクルで対応できるよう、リソースを解放したいと考えています」とブテラ氏は語りました。
重要度の異なる何千もの脆弱性の修正にリソースを費やすことを強いるのではなく、このフレームワークは侵害につながる可能性が最も高い少数の欠陥に注意を集中させるものです。
指令が正しく捉えていること、そして見落としていること
ただし、ロマノスキー氏はこの指令における影響度の扱いが比較的狭く、主に悪用によって攻撃者がシステムを部分的または完全に制御できるかどうかに焦点を当てていると指摘しています。
「データを改ざんするような完全性への影響や、DNSへのDDoS攻撃やデータベースの消去といったシステムへのアクセスを完全に遮断するような影響はどうなるのでしょうか?それらの影響も同様に重要に思えます」と同氏は言います。
それでも同氏は、政策立案者が連邦政府全体のリスク判断を単純化しなければならないとすれば、攻撃者にシステムの制御を与える脆弱性を優先するのは合理的な出発点だと認めています。
またこの指令は、インターネットに公開されたシステムを大きく重視しています。これは企業ネットワーク内部のより深い部分に潜むリスクについての疑問を呼ぶかもしれません。ブテラ氏とスプリング氏はブログ投稿の中でその点に直接触れ、CISAは一般的に、脅威アクターがソフトウェアの脆弱性だけを使ってコアネットワークを侵害するケースは観察していないと主張しています。実際には攻撃者は、正規の認証情報や設定ミス、そして「環境寄生型(Living off the Land)」技術を多用するとされています。
KEVは有用——しかしそれで十分か
政府外のサイバーセキュリティ専門家は、連邦政府の脆弱性管理が業界全体の慣行を先取りすることが多いため、この動向に注目すべきです。この指令は、多くのセキュリティリーダーが長年訴えてきた考え方を正式なものとしています。CVSSスコア単独では不十分であり、資産のコンテキストが重要であり、インターネットへの露出が重要であり、そして実際の悪用実績が最も重要だということです。
Empirical SecurityのCTO兼共同創業者であるマイケル・ロイトマン氏は、この指令をその進化における重要な節目と捉えています。
「連邦政府はついに『リストにある全てにパッチを当てろ』という指令を廃止し、リスクベースの優先順位付けへと置き換えました」とロイトマン氏はCSOに語りました。「11年前、悪用確率による優先順位付けは、学会の廊下で弁護しなければならなかった異端の考えでした。今日、それは連邦政府の拘束力ある指令になっています。」
しかし同氏は、このフレームワークがKEVカタログに依存していることが、その限界の一つを浮き彫りにしているとも述べています。
「KEVのリストはバイナリで後付けです」とロイトマン氏は言います。「AIがパッチと悪用の間の時間差を数時間に縮めると、KEVに掲載されたときには、自分が間違っていたことをインシデントレポートで知ることになります。」
ロマノスキー氏も同様の懸念を示し、KEVは価値あるプログラムである一方、本質的に過去を見るものだと述べています。「KEVはDHSと一般市民にとって優れたプログラムですが、せいぜい過去の悪用実績の証拠にすぎません」と同氏は言います。
両専門家は、将来の脆弱性優先順位付けにおいて予測的なシグナルがより大きな役割を果たすべきだと提言しています。ロマノスキー氏は特に、脆弱性が将来悪用される可能性を推定する悪用予測スコアリングシステム(EPSS)を挙げています。
「懸念されるのは、脆弱性が古くなるという点です。昨年や先月悪用されていたものが、今日の積極的な悪用には使われていないかもしれません」とロマノスキー氏は言います。「そのためEPSSの方がより良いシグナルを提供できるでしょう。」
ロイトマン氏はさらに踏み込んだ主張をしています。VerizonのDBIRチームとの共同研究を引用しながら、悪用リスクを評価する際には最近の動向が非常に重要だと述べています。
ロイトマン氏によると、KEVに掲載されているエントリの82%は、悪用が最初に報告されてから1年以上が経過した脆弱性です。「12カ月間活動がなければ、悪用される確率は初日の99%から5%まで低下します」と同氏は言います。
また同氏は、KEVが観察された悪用活動のごく一部しか捉えていないとも主張しています。「KEVリストがカバーしているのは、観察された悪用のわずか約8%にすぎません。私たちはCISAの1,600件に対し、17,800件のCVEを追跡しています」とロイトマン氏は述べています。
AIが脆弱性管理の再考を迫る可能性
ブテラ氏とスプリング氏は、人工知能がすでに脆弱性の発見を加速させ、防御側への圧力を高めていると主張しています。BOD 26-04は、連邦機関が脆弱性管理を自動化・スケールさせながら、最も重要なリスクに限られたリソースを集中させるためのものです。
しかしこの指令の4要素フレームワークは、現在の脆弱性の状況を前提として構築されており、AIはその状況を比較的短期間で大きく変えてしまうかもしれません。
ロマノスキー氏は現行モデルの構造的な問題を指摘しています。このフレームワークはCVE識別子に大きく依存しているため、防御側は正式にカタログ化される前に緊急対応が必要な新たな脆弱性に遭遇する可能性があります。「AIツールによってより多くの脆弱性がより速く発見されるようになれば、CVE IDがまだ割り当てられていない新たな脆弱性群が続々と現れ、超高速でパッチを当てる必要が生じることも予想されます」と同氏は述べています。
これは仮想的な懸念ではありません。MITREと番号付与機関のネットワークが運営するCVE割り当てプロセスは、より遅い発見ペースを前提に構築されています。脆弱性が識別子を取得し、NVDの分析を経て、実務者が実際に使用するツールに反映されるまで、数日から数週間かかることがあります。もしAIが発見から悪用までの時間を数時間に縮めるなら、そのパイプラインはむしろリスク要因となります。
ロイトマン氏は、この指令の4要素モデルを最終形ではなく出発点と捉えています。それは特定の組織の条件ではなく、連邦政府全体の平均的なリスクに合わせて調整されたものだと言います。「CISAの表に示されたリスクは、連邦エンタープライズ全体の平均リスクです。企業環境におけるリスクは、管理策、テレメトリ、普及率、そして最終的にはその企業固有のローカルモデルに依存する別の数値です」と同氏は述べています。
ロマノスキー氏も、別の改訂が避けられないと同意しています。「新たな継続的な脆弱性の流れに対応するために、改訂されたBOD——あるいは別の指令——が必要になるかもしれないと予想しています」と同氏は言います。
その意味で、BOD 26-04は最終目的地ではなく通過点に過ぎないかもしれません。AIが確実にさらに困難にするであろう問題に対する、連邦政府の現時点での最善の回答として位置づけられます。
