米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦民間行政府(FCEB)機関を対象にセキュリティアップデートを優先化する新たな拘束的運用指令(BOD)26-04を発表しました。
この指令は、公共部門を標的としたサイバー攻撃の脅威を軽減することを目的としており、機関に対してリスクの高い脆弱性を迅速なタイムフレーム内に修正することを義務付けています。場合によっては、わずか3日以内での対応が求められます。
CISAは、BOD 20-04が2019年と2021年にそれぞれ導入された旧来のBOD 19-02およびBOD 22-01を「失効・廃止」すると述べています。
同庁によれば、パッチ適用の優先順位付けは次の4つの主要な考慮事項に基づいています。
- 資産がインターネット上で公開されているか否か
- CISAの「既知の悪用された脆弱性(KEV)」カタログへの掲載有無
- 大規模攻撃に向けた悪用の自動化が可能か否か
- 攻撃者がシステムの一部または全体を掌握できるか否か
これらの要因に応じて、機関はセキュリティ脆弱性への対処期限を設けられており、最短は3日間となっています。
自動化された悪用が不可能な場合や、部分的な制御しか得られない場合など、緊急性が低い状況では、対処期間は2週間に設定されています。
適用範囲と実施要件
この指令は、米国連邦民間行政府(FCEB)機関とその運用する情報システムに特定して適用されます。
政府機関や省庁が対象となりますが、米国国防省が運用する一部の軍事システム、民間企業、情報コミュニティのシステム、および請負業者には適用されません。
過去の指令と同様に、このフレームワークはサイバーセキュリティ業界全体に影響を与え、より広範なパッチ適用優先度の指針となることが期待されています。
この指令は、すべてのオンプレミス連邦システム、サードパーティが運用するシステム、およびFedRAMP・非FedRAMPのクラウド環境に適用されます。
現時点で、BOD 26-04の指令に拘束される機関は、脆弱性管理ポリシーを適宜更新し、資産インベントリを最新の状態に保ち、KEVステータスの報告を自動化する必要があります。
脆弱性管理プロセスは、60日以内にCVEおよびKEVデータを修正判断の基準として活用するよう更新しなければなりません。
180日以内に、すべての機関は新たな修正タイムラインへの準拠が義務付けられ、詳細な資産メタデータの継続的な監視と報告も求められます。
攻撃者より先に全レイヤーをテスト
セキュリティチームが把握できている成功した攻撃はわずか54%に過ぎず、アラートが発せられるのはそのうちの14%に留まっています。残りの脅威は検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を詳しく解説しています。
