新指令でCISAが連邦機関に高リスク脆弱性の3日以内修正を義務付け

サイバーセキュリティ・インフラセキュリティ庁(CISA)は拘束的運用指令(BOD)26-04を発令し、連邦行政府(FCEB)機関に対し、最も重大な脆弱性を暦日でわずか3日以内に修正することを義務付けました。

2026年6月10日に発令されたBOD 26-04は、「リスクに基づくセキュリティアップデートの優先付け」と題されており、過去の2つの指令、すなわちBOD 19-02(インターネット接続システムに対する脆弱性修正要件)とBOD 22-01(既知の悪用済み脆弱性の重大なリスク低減)に取って代わるものです。

新指令は、脆弱性修正に関するガイダンスを単一の統一されたリスクベースのフレームワークのもとに集約・近代化したものです。

44 U.S.C. § 3553(b)(2)に基づく権限のもと、国土安全保障長官はすべての連邦機関においてサイバーセキュリティ基準を執行する権限を有しています。ただし、国家安全保障システムおよび情報コミュニティが運用するシステムは明示的に適用除外とされています。

BOD 26-04は、すべての脆弱性に一律の修正期限を設けるのではなく、4つの主要変数に基づく優先スコアリングモデルを導入しています。

CISAはVulnrichmentプログラムを通じて、すべてのCVE IDに対してKEVステータス、エクスプロイト自動化データ、技術的影響評価を提供しています。一方、各機関はCISAのインターネット露出低減ガイダンスおよびCDMプログラムを活用してアセットの露出状況を判断します。

この指令は、これら4つの変数を16の個別シナリオにマッピングしており、それぞれに具体的な修正期限が設定されています。

最も厳しい要件である「3日以内かつフォレンジックトリアージ義務付け」は、インターネットに公開されており、KEVカタログに掲載され、攻撃者による自動化が可能で、かつ影響システムの完全制御を攻撃者に許す脆弱性に適用されます。

フォレンジックトリアージとは、CISAの専用「フォレンジックトリアージ実装ガイダンス」に従い、対象システムがすでに侵害されているかどうかを機関が評価することを指します。

インターネットに公開されたKEV掲載アセットにおいて、自動化が可能で部分的な制御を許す脆弱性については、トリアージ義務なしで3日以内という修正期限が設けられています。

自動化の難しいシナリオや影響が限定的なケースでは期限が14日に延長され、非公開システムの脆弱性については最大60日まで延長されます。

インターネット非公開かつKEV未掲載で自動化も不可能な最低リスクの脆弱性については、対象アセットの次回予定される大規模システムアップグレードまたは再構築時まで修正が猶予されます。

即時発効のフェーズIでは、各機関は脆弱性管理ポリシーを更新し、修正に関する役割・責任を明確化し、KEVカタログの更新を監視するとともに、CDMダッシュボードを通じて報告を自動化するか、2週間ごとに手動で状況を報告する必要があります。

60日以内(フェーズII)には、各機関はCVEデータベース全体をカバーする形に手順を整合させる必要があります。

180日以内(フェーズIII、2026年12月7日発効)には、指令のTable 1に記載されたすべての修正期限が完全に執行対象となり、各機関はすべてのインターネット接続可能アセットに対して、組織・環境・露出レベル・アセット種別を含むメタデータを継続的に付与する必要があります。

CISAは、BOD 26-04の積極的な期限設定の主な要因として、脅威アクターによる人工知能の利用拡大を挙げています。

CISAは、AIを活用したエクスプロイトにより、パッチ公開から実際の悪用までの時間的余裕が縮小しており、防御側が対応に使える時間がかつてなく少なくなっていると警告しています。

米国の重要インフラを標的とする国家支援の脅威アクターは、既知かつ未修正の脆弱性を頻繁に悪用し、機密データの窃取、業務妨害、国家安全保障の損害をもたらしています。

この指令はOMB通達A-130およびAIイノベーションとセキュリティの推進に関する大統領令の双方と整合しており、現代の脅威環境に対して連邦ネットワークを強化する政府全体の取り組みを示すものです。

翻訳元: https://cyberpress.org/cisa-orders-federal-agencies-patch-vulnerabilities/

ソース: cyberpress.org