米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国連邦政府の脆弱性管理のあり方を刷新する「拘束的運用指令(Binding Operational Directive)」を発表しました。
この指令が登場した背景には、新たな脆弱性の急増と、セキュリティリサーチおよび攻撃側のエクスプロイト開発を同時に加速させるAIツールの台頭により、パッチ適用の問題がほぼ手に負えない状況になりつつあるという現実があります。
リスクベースの脆弱性管理へ
BOD 26-04は、連邦行政府の民間機関がリスクに基づいて「何を、どれほど迅速に修正すべきか」を判断できるフレームワークを導入するものです。
判断は4つの要素に基づきます。インターネットに公開されたシステムに影響を与えるか、CISAの「既知の悪用脆弱性(KEV)カタログ」に掲載されているか、自動化された攻撃で悪用可能か、そして悪用により攻撃者が対象システムの部分的または完全な制御を得られるかどうかです。
たとえば、インターネットに公開されたシステムへの完全な制御を攻撃者に与え、すでに積極的に悪用されており、大規模な悪用も可能な脆弱性は最高レベルの緊急性に分類されます。各機関はこれを3日以内に修正し、自機関の環境ですでに悪用されていないかを確認することが義務付けられます。
BODが定める修正タイムライン(出典:CISA)
CISAはこのフレームワークの適用範囲における重要なギャップについて率直に認めています。本指令はネットワーク境界に焦点を当てており、ネットワーク内部の脆弱性対応に同等の緊急性を課すものではありません。
これは、脅威アクターが主に製品の脆弱性を通じてコアネットワークを侵害するわけではないためだと、同機関は説明しています。
「脅威アクターは多くの場合、悪用可能な設定や正規の認証情報を利用します。これは『環境寄生(Living off the Land:LOTL)』と呼ばれる手法です。LOTLへの対策には、システム設定の堅牢化、ネットワークセグメンテーション、フィッシング耐性のある多要素認証(MFA)の強制適用など、別のアプローチが効果的です。」
注目すべきその他のシグナル
BOD 26-04はCVSSの重大度のみに基づくパッチ適用から大きく前進するものですが、専門家たちはパッチ適用の優先度を判断する際に他のシグナルも考慮するよう組織に助言しています。
たとえば、Cisco TalosのThorsten Rosendahl氏は、実際の状況に基づいて今後30日以内に悪用される可能性を示す各脆弱性の動的EPSSスコアを考慮すべきだと主張しています。
また、どの脆弱性が悪用されているかを世界的な視点で把握するために、Global CVEの確認も検討すべきだとしています。
最近、NISTは新たな指標「Likely Exploited Vulnerabilities(LEV)」を提案し、サイバーセキュリティコミュニティに評価を求めました。LEVとは、脆弱性がすでに攻撃で使用されている可能性の推定値です。
CISAはまた、「サイバーセキュリティ全般の状況の変化に対応するため」、指令を定期的に見直し、実施ガイダンスを随時更新していくと表明しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/11/cisa-risk-based-vulnerability-management-government/
