米国の連邦機関に対し、脆弱性管理の手法を抜本的に見直すよう指示が下りました。サイバーセキュリティ・インフラセキュリティ庁(CISA)の新たなガイダンスにより、厳格な期限主導のパッチ適用から脱却し、実際に悪用されている脅威を優先するリスクベースのアプローチへの移行が求められています。
6月10日に発令された拘束的運用指令(BOD)26-04では、各修正期限がリスクに応じて設定されています。最も危険な脆弱性については3日間の修正期限と侵入痕跡のフォレンジック確認が義務付けられ、深刻度の低い組み合わせにはより長い期限が設けられます。リスクが本当に低いと判断されたバグについては、場合によってはシステムの次期メジャーアップグレードまで修正が猶予されます。この指令は、従来の2つの指令であるBOD 19-02と、KEVに焦点を当てた BOD 22-01を統合するものです。
CISAはこの指令を、変化する脅威環境への対応として位置付けています。AIを活用した攻撃者が脆弱性の発見と武器化をより速く行えるようになったことで、パッチが公開されてからの防御側の猶予時間は縮まっています。また、開示される脆弱性の数が、網羅的なパッチ適用の速度を上回っている現状も背景にあります。
この指令では、最も厳しい期限に加えてフォレンジック調査のステップも義務付けています。 最も深刻な脆弱性にパッチを適用する際、機関はすでに攻撃者に悪用されていないかを確認しなければなりません。パッチを当てるだけでは、侵入者を排除できないケースがほとんどだからです。
CISAの指令に関する関連記事:CISAが悪用されたCisco SD-WANの脆弱性に関する緊急指令を発令
重大度スコアからリスク評価へ
長年にわたり、CVSSの重大度スコアが優先順位付けの基準とされてきましたが、BOD 26-04はその慣行を廃止します。 旧指令の廃止により、機関はもはやCVSSを優先順位付けに使用する義務がなくなります。CISAが指摘しているように、重大度のラベルだけでは何を最初に修正すべきかは決まらないからです。
この指令では代わりに、以下の4つの要素を総合的に評価します:
-
資産の露出度:システムが公開アクセス可能かどうか
-
KEVステータス:その脆弱性がCISAの既知の悪用された脆弱性(KEV)カタログに掲載されているかどうか
-
エクスプロイトの自動化:攻撃者が悪用に必要なすべての手順を自動化できるかどうか
-
技術的影響:攻撃が成功した場合に部分的または完全な制御権を取得できるかどうか
CISA長官代行のニック・アンダーセン氏は、この指令により機関が「最もリスクの高い領域に取り組みを集中」させ、それ以外を後回しにできると述べています。また、民間企業やインフラ事業者にも同様の取り組みを促しています。
実施面への懸念
機関には、すべてのケースでこの指令の修正期限を遵守するまでに180日間、おおよそ12月7日までの猶予があります。実務担当者の多くはこの方針を歓迎する一方、難しいのは実行段階だと警告しています。
エージェンティック修復プラットフォームプロバイダーAverlon のCEO、スニール・ゴットゥムッカラ氏は、KEVカタログがすでに示している「その脆弱性が悪用されているかどうか」の把握はあくまで仕事の半分にすぎないと述べています。同氏は「残りの半分は、自分たちの環境でそれが問題になるかどうかだ」と語っています。
AIセキュリティ企業Suzu LabsのCTOであるデニス・カルデロン氏も同意見で、「CVSSだけでは、どの脆弱性を優先すべきかを決める信頼性のある手段になったことは一度もない」と述べています。ただし同氏は、機関が単にコンプライアンスの形式を満たすだけでなく、真のリスク評価を実施することを誰が保証するのかという点に疑問を呈しています。同氏が指摘する CISAの予算と人員の大幅な削減を踏まえると、その懸念はさらに大きいといいます。
カルデロン氏は防御側に対し、KEVステータス、エクスプロイト予測スコアリングシステム(EPSS)の確率、そして自社環境のコンテキストを組み合わせた独自のスタックを今すぐ構築するよう呼びかけています。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-orders-agencies-to-patch-by/
