米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦機関に対するパッチ適用義務をリスクマトリクス方式に刷新しました。最も危険度の高い脆弱性については3日以内の修正を義務付ける一方、リスクの低い問題については正式に対応を延期できるようにしています。
同庁が今週公開した新たな拘束的運用指令(BOD)26-04は、連邦機関の脆弱性修正を規定する従来の2つの指令に取って代わるものです。AI主導の脅威が連邦機関におけるパッチ適用・修正の課題をさらに複雑にしているという懸念の高まりを反映しています。
新しい段階的修正モデル
BOD 26-04により、CISAは4つの要因に基づく段階的な修正モデルを各機関向けに定めました。その要因とは、CISAの既知の悪用脆弱性(KEV)カタログへの掲載の有無、脆弱なアセットが公開されているかどうか、攻撃者がエクスプロイトに必要なすべての手順を自動化できるかどうか、そして悪用に成功した場合に対象アセットの部分的または完全な制御が可能になるかどうかの4点です。
連邦民間行政機関はすべて、これらの基準を満たす脆弱性について3日以内に修正を完了し、影響を受けたアセットが侵害されていないかを確認するフォレンジックトリアージを実施することが求められます。本指令は、脆弱性が一部の基準のみを満たす場合に向けてさまざまな対応期限を定めており、優先度の低い脆弱性へのパッチ適用を延期することも認めています。
CISAのサイバーセキュリティ担当代行エグゼクティブ・アシスタント・ディレクターのChris Butera氏は、ブログ投稿や本日の報道説明会でのコメントの中で、この新指令を、連邦機関が「より懸命にではなく、よりスマートにパッチを適用(patch smarter, not harder)」できるよう支援するためのものと位置付けました。AIは研究者と攻撃者の双方がソフトウェアの欠陥を発見するペースを大幅に加速させており、現在では自律的に大規模エクスプロイトが可能な脆弱性に対して、防御側が何週間もかけてパッチを当てている余裕はないと同氏は指摘しました。
本指令のリスクベース修正モデルは、最も危険な脆弱性を優先しつつ、深刻度の低い問題については対応を延期できる柔軟性を各機関に与えています。「ある大規模民間機関での初期分析では、3日以内の対応が必要な脆弱性は全体のわずか1%にとどまり、60%超の脆弱性が次回のシステムアップグレード時への延期対象となりました」とButera氏は説明しました。「このより積極的な脆弱性の段階付けにより、最も重大な脆弱性が最初に、そしてより迅速に対処されることが保証されます。」
CISAの役割
新しいルールへの準拠を支援するため、CISAはKEVカタログを常に最新の状態に維持し、新規エントリを確認次第できる限り速やかに各機関へ通知することを約束しています。また、CISAはVulnrichmentプログラムを通じて、エクスプロイト自動化や技術的影響の詳細を含む充実した脆弱性メタデータをCVEデータベースに提供する予定です。60日以内には、アセットタグ付けに使用できる標準化されたデータスキーマを公開し、継続的にサイバー衛生スキャン結果、修正状況レポート、フォレンジックトリアージに関するガイダンスを提供します。さらにCISAは修正期限の年次レビューを実施し、新たな攻撃者の能力によってより厳しい期限が必要かどうかを継続的に評価します。
「これは2021年のKEVカタログ開始以来、連邦脆弱性管理における最も重要な進化です」と、Black KiteのチーフリサーチアンドインテリジェンスオフィサーであるFerhat Dikbiyik氏は述べています。「最も先見性があると感じるのは、AIによるエクスプロイト自動化を優先順位付けの要因として明示的に認識している点です。CISAは、パッチが存在する前に攻撃者が脆弱性を武器化する脅威環境に向けた政策を構築しています。」
連邦機関が行うべきこと
CISA BOD 26-04は即時発効し、連邦民間行政機関に対して脆弱性管理ポリシーを本指令に沿って見直し・更新することを求めています。具体的には、KEVに基づく修正プロセスの確立、役割と責任の定義、実施・検証メカニズムの導入、そしてCISAのレビュー対象となる内部追跡・報告要件の設定が含まれます。各機関は60日以内に、CVEデータベースとKEVカタログの両方に基づく継続的な修正を支援するよう脆弱性管理プロセスを更新する必要があります。指令に定められた期限内に脆弱性を修正できるようにするためのすべての対策の実施には、180日が与えられています。
SOCRadarのCISO(最高情報セキュリティ責任者)であるEnsar Seker氏は、CISAの新たな3日間の修正・トリアージ期限を、攻撃的ではあるが必要な義務と評価しています。トリアージ要件は特に注目に値します。修正前にエクスプロイトが発生したかどうかを確認せずにパッチを適用して終わりにしてしまう組織があまりにも多いためです。このような場合、パッチの適用だけではドアを閉めても攻撃者をシステム内に残したままにしてしまう可能性があると同氏は指摘しています。
困難だが必要な期限
機関が3日間という期限を一貫して守れるかどうかは「主にアセットの可視性と運用上の成熟度による」とSeker氏は述べています。正確なアセットインベントリ、継続的な脆弱性スキャン、強力なパッチオーケストレーション能力、および確立されたインシデント対応プレイブックを持つ組織はこの要件を満たせるだろうと同氏は予測しています。「シャドーIT、分散化されたアセット管理、または不完全なエクスポージャー管理に苦労している組織にとっては、3日間という期限は困難なものになるでしょう。この指令は事実上、運用準備の基準を引き上げるものです。」
Command ZeroのCo-founderおよびチーフプロダクトオフィサーであるAlfred Huger氏は、この新指令について、インターネットに接続されたシステム上のKEVと3つのネットワーク深くに存在するKEVが同等の緊急事態ではないという事実に、CISAがようやく気付いたことを反映していると述べています。「注目すべき言葉は『自動化可能(automatable)』です。CISAは基本的に、攻撃者のツールが人間によるパッチ適用よりも速くスケールするという現実を認め、その現実に合わせて期限を再設計しています」とHuger氏は述べています。
Seker氏と同様に、Huger氏もCISAの3日間のパッチ適用期限の達成は難しいと認めており、特にフォレンジックトリアージの要件については困難だとしています。「パッチ適用はほとんどのチームがすでに持っているワークフローです。しかし、インターネットに接続されたすべてのKEV該当システムについて、3日以内にシステムが侵害されていなかったことを証明することは、毎回全面的な調査を要します」とHuger氏は指摘しています。「それだけ多くの調査を同時に実施できるほどのアナリストを配置している組織はほとんどありません。この指令は、トリアージを自動化したチームとまだ手作業で行っているチームを選別することになるでしょう。」
Contrast SecurityのCISOであるDavid Lindner氏は、BOD 26-04がすべてのCVEについて信頼性の高いエクスプロイト自動化・技術的影響判定をCISAが一貫して公開できることを前提としているという重要な点を指摘しています。「この指令が生み出すリスクベースのフレームワーク全体は、そのメタデータが正確で、最新で、包括的であることに依存しています」とLidner氏は述べています。「現時点ではそうなっておらず、それを提供するはずの2つのプログラムはいずれも明示的に優先度を下げています。CISAは困難な問題を解決しようとしている点で評価されるべきですが、この指令が依拠する基礎的なデータ品質は、それを支えるのに十分な信頼性をまだ持っていません。」
翻訳元: https://www.darkreading.com/cyber-risk/cisa-rewrites-federal-patching-requirements-ai-threat-era
