米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新たな拘束的運用指令「BOD 26-04」を発令し、連邦民間機関に対して重大な脆弱性を最短3日以内に修正することを義務付けました。サイバー脅威の深刻化と脆弱性悪用サイクルの加速を受け、パッチ適用の期限を大幅に厳格化した形です。
2026年6月10日に発表されたこの指令は、すべての脆弱性を一律に扱うのではなく、現実の悪用可能性と業務への影響に基づいてリスクベースの脆弱性管理フレームワークを導入し、修正作業の優先順位付けを行うものです。
この動きは、特に国家が支援する脅威アクターが既知の悪用済み脆弱性(KEV)を利用して連邦政府システムへ侵入し、サービスを妨害したり機密データを窃取したりしているという懸念の高まりを反映しています。
連邦機関に求められる重大脆弱性への対応
BOD 26-04のもと、各機関は複数の基準を用いて脆弱性を評価することが求められます。対象資産がインターネットに公開されているか、CISAのKEVカタログに掲載されている脆弱性か、エクスプロイトの自動化の可能性、そして攻撃者が悪用に成功した場合に得られる制御レベルなどが判断基準となります。
実際に野放しで悪用されており、自動化も可能で、インターネットに面したシステムに影響するものなど、高リスクの閾値を満たす脆弱性については、3暦日以内にパッチ適用または緩和措置を実施するとともに、侵害の可能性を検出するためのフォレンジックトリアージの実施が義務付けられます。
この積極的なタイムラインは従来の指令からの大きな転換を示しており、脆弱性対応における迅速さと精度を重視する姿勢が明確に打ち出されています。
本指令はBOD 22-01およびBOD 19-02など従来の方針を統合・刷新するものであり、連邦政府の脆弱性修正要件を一元化されたデータ駆動型モデルに集約しています。このモデルは、ステークホルダー固有の脆弱性分類(SSVC)やOMB通達A-130といったフレームワークと整合しています。
CISAの「Vulnrichmentプログラム」は、悪用可能性や技術的影響度の指標を含む充実したCVEメタデータを提供することで重要な役割を担い、各機関が適切な優先順位付けの判断を行えるよう支援します。
また各機関は、KEVカタログを継続的に監視するとともに、継続的診断・緩和(CDM)ダッシュボードを通じた自動報告を統合し、修正状況のほぼリアルタイムな可視化を確保することが求められます。
BOD 26-04は段階的な実施要件も導入しています。即時発効として、各機関は内部の脆弱性管理ポリシーを更新し、役割と責任を定義し、執行・報告の仕組みを整備しなければなりません。
60日以内に、各機関はプロセスをKEVカタログおよびより広範なCVEデータソースと整合させることが必要です。180日以内には、公開状況・環境・種類に基づく資産の詳細な分類を含め、資産のタグ付け、継続的な監視、コンプライアンス報告を完全に運用化しなければなりません。
例えば、リモートコード実行が可能なKEV掲載の脆弱性が存在する公開Webサーバーは最高優先度カテゴリに分類され、3日間の修正期限が適用されます。
本指令はFedRAMP認定システムを含むクラウド環境にも適用されます。各機関はクラウドサービスプロバイダーと連携し、コンプライアンスと可視性の確保に取り組むことが求められます。
CISAはKEVカタログの継続的な更新、修正ガイダンスの公開、そして最新の脅威インテリジェンスに基づく修正タイムラインの年次見直しを通じて、監督機能を維持していきます。
自動化やAIを活用した脅威アクターが脆弱性の公開から数時間以内に悪用するケースが増加する中、CISAのBOD 26-04は連邦ネットワーク全体での積極的かつインテリジェンス主導のパッチ管理への戦略的転換を示すものです。
本指令は、露出期間の最小化と現代のサイバー脅威に対する連邦政府の防御態勢強化が急務であることを改めて強調しています。
翻訳元: https://gbhackers.com/cisa-orders-federal-agencies-to-patch-critical-vulnerabilities/