7月9日の水曜日、米サイバーセキュリティ・インフラセキュリティ庁(CISA)と同盟関係にある4つのサイバー当局は、ソフトウェアベンダー向けに協調的な脆弱性開示(CVD)プログラムの構築方法を示すガイドを公開しました。
その6日前、CISAはブログ記事を公開し、あるセキュリティ研究者がCISA自身に対して深刻な問題を報告しようと繰り返し試みたものの、失敗に終わった経緯を説明していました。この2つの文書を並べて読むと、公開のタイミングは意図的なものだったことがうかがえます。
ガイダンスの内容
ガイダンスによれば、サプライヤーは「セキュリティ研究者と効果的かつ透明性を持って協力し、脆弱性を報告・修正する」ことを目的としたCVDプログラムを設計すべきだとしています。そのためには、サプライヤーが自社ウェブサイトに脆弱性開示ポリシーを公開し、報告は一般に開放されていると明確に示すことが有効です。
RFC 9116で定義されている、機械可読かつ人間可読の形式であるsecurity.txtファイルを使用することで、研究者は連絡先情報を探し回らずに済みます。また、恣意的な範囲設定は研究者の行動を制限するだけで攻撃者は制約されないという考え方から、テスト対象の範囲はできるだけ広く設定すべきだとしています。
各当局は、セキュリティ研究者からの連絡には定められた期限内、理想的には2〜3営業日以内に応答するよう助言しています。
ある提言は、CISA自身の失敗をそのまま助言に落とし込んだものです。すなわち、脆弱性開示とトリアージを既存のカスタマーサポート窓口とは別に設けるべきだという内容で、既存の窓口を使うと「報告の見落としや過小評価、あるいは意図しない情報漏えいにつながりかねない」ためだとしています。
失敗の経緯
7月9日、CISAの代理最高情報責任者(CIO)であるPreston Werntz氏と代理最高情報セキュリティ責任者(CISO)であるBrad Libbey氏は、2026年5月15日にCISAが把握したインシデントについて説明しました。これは、ある調査報道記者が、公開リポジトリ上に置かれていたCISA内部のAWS GovCloudキーなどの情報について問い合わせてきたことがきっかけでした。
この記者は、公開コードリポジトリを継続的にスキャンしている企業に所属するセキュリティ研究者から、この情報を入手していました。
データを発見したGitGuardianの研究者Guillaume Valadon氏は、9通の通知メールが返信されないまま放置された後、自身の報告は「不必要に複雑な経路を経て」ようやくCISAに届いたと記しています。
CISAは、報告経路が「明確に定義されていなかった」ことを認めており、そのために研究者は複数の手段を試さざるを得ませんでした。具体的には、契約業者へのメール送信、CISAの脆弱性開示プラットフォームへの提出(本来はCISA自身ではなく、より広いコミュニティに影響する脆弱性を対象としたもの)、そして最終的には記者を介した連絡です。
同庁はこうした報告経路の見直しを進めているとし、多くの研究者がsecurity.txtを利用している一方で、組織は報告手順を複数の目立つ場所に公開すべきだと述べています。
CISAはまた、GitHubやクラウド関連のインシデント対応プレイブックを事前に用意していなかったため、インシデント対応の最中にそれを作成せざるを得ず、初動で時間を失ったことも認めています。
キーのローテーションについても、CISAのシステムの複雑さや連邦機関・業界パートナーとの相互接続性が影響し、想定以上に時間がかかったとしています(同庁は他組織に対し、成熟した検証済みの鍵管理体制を維持するよう呼びかけています)。
その他の提言
CISAが説明する失敗のほぼすべてが、火曜日に公開されたガイドの提言のいずれかに対応していますが、それ以外にも以下のような提言があります。
- 研究者の善意による活動が不正アクセス禁止法の下で認められることを保証する、セーフハーバー条項の使用
- 包括的な秘密保持契約(NDA)や、非公開のまま修正するサイレント修正の回避
- 外部からの報告だけでなく、内部で発見した脆弱性にもCVE番号を付与
- Common Security Advisory Frameworkに基づいたアドバイザリの公開、および有料コンテンツの背後に置かないこと
これらの助言には規制上の裏付けもあります。BOD 20-01は既に連邦文民機関に対して開示ポリシーの公開を義務付けており、EUのサイバーレジリエンス法はこの義務をEU域内で事業を行うサプライヤーにまで拡大しています。
Valadon氏はこの事後報告について、寛容な評価を示しました。「多くの組織はこの種のインシデントを隠蔽しがちです。しかしCISAはそれを文書にまとめ、うまくいった点といかなかった点を説明し、業界全体に学びを共有するよう呼びかけました」
同氏はさらに、知る限りでは、国家のサイバー当局が秘密情報のスキャンや研究者との関係の簡素化を公に提唱したのはこれが初めてだと指摘しています。
翻訳元: https://www.helpnetsecurity.com/2026/07/16/cisa-coordinated-vulnerability-disclosure-guidance/