米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦民間機関を対象とした脆弱性修正の新たな期限を定める拘束的運用指令(BOD 26-04)を発行しました。新たな脆弱性が発見される頻度は人工知能の普及によって急激に増加しており、防御担当者はパッチ適用の優先順位付けに長年苦慮してきました。
Verizonの「2025年データ侵害調査報告書(DBIR)」によると、2024年にCISAの既知悪用脆弱性(KEV)カタログに掲載された脆弱性のうち、完全に修正できたのは約38%にとどまりました。2026年版のDBIRでは、2025年における完全修正率がさらに26%へと低下し、修正までの中央値も43日に達していることが示されています。AIによって脆弱性の発見ペースが飛躍的に加速した結果、防御担当者はその対応に追われ、重大な脆弱性が長期間放置されるケースが増加しています。これにより、攻撃者が悪用できる機会の窓が広がっています。CISAが打ち出した解決策は、「より多く修正する」のではなく「より賢く修正する」というものです。
CISAは、ベンダーが脆弱性を適切に評価し、パッチ適用の優先順位を効果的に決定できるよう、新たなリスクベースの脆弱性対応フレームワークを公表しました。このフレームワークは、リスクが最も高い資産における脆弱性の軽減と、悪用される可能性が最も高い脆弱性への対応に、リソースを集中させることを目的としています。
CISAは、以下の4つの条件を満たす脆弱性が最大のリスクをもたらすと判断しています。
- インターネット経由での公開露出
- 悪用の完全自動化が可能であること
- 攻撃者がシステムを完全に制御できること
- 実際の悪用事例の存在(KEVへの掲載)
このフレームワークに基づき、4つの条件すべてに該当する脆弱性は、最短の期間内——3日以内——に対処しなければなりません。脆弱性がインターネットに公開されており、KEVに掲載され、悪用が自動化可能で、攻撃者がシステムを部分的に制御できる場合も、3日以内の修正が義務付けられます。また、攻撃者がシステムを完全に制御できる脆弱性については、3日以内の修正に加え、すでに悪用されていないかを確認するためのフォレンジックトリアージも実施する必要があります。
リスクの低い脆弱性については、2週間または2か月という新たな対応期限が設けられました。最も深刻度の低い脆弱性については、次回のシステムアップグレードまで修正を先送りできます。ある大規模な民間機関での分析によると、3日以内の対応が必要な脆弱性は全体の1%にすぎず、60%は次回のシステムアップグレードまで修正を延期できることが分かりました。この新しいフレームワークを活用することで、組織は最も重大な脆弱性から優先的に対処できるようになります。
新フレームワークは、ネットワークエッジにおける脆弱性の軽減を最優先事項としています。ネットワークコアの脆弱性も高リスクで積極的に悪用されているケースはありますが、CISAはこれまでの観察として、脅威アクターが製品の脆弱性を突いてコアネットワークを侵害するケースはほとんどないと述べています。攻撃者は「環境寄生型(LOTL:Living Off the Land)」の手法を用いることが多く、この問題への対処はシステムのハードニング、ネットワークセグメンテーション、フィッシング耐性を持つ多要素認証(MFA)の導入など、別のアプローチが有効だとCISAは指摘しています。
翻訳元: https://www.hipaajournal.com/cisa-new-timelines-vulnerability-remediation/
