米国の最高サイバーセキュリティ機関が発出した緊急指令10件について、悪用された脆弱性の広く利用されているカタログの存在などにより冗長になったと当局が判断し、廃止された。
サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は木曜日、廃止される10件の指令は2019年から2024年にかけて発出されたもので、トランプ政権とバイデン政権の両方にまたがると述べた。
同庁は通常、連邦政府の民間機関に特定の脆弱性のパッチ適用や、脅威アクターに悪用されている活動の停止を強制するために緊急指令を発出する。
CISAは、「連邦機関と協力して修復を推進し、ベストプラクティスを組み込み、システム上の課題を克服する」取り組みを進めた結果として、この措置を取ると述べた。CISAによれば、これらの指令は連邦民間行政部門(FCEB)機関に対する緊急かつ差し迫ったリスクを軽減するという使命を達成したという。
CISAのマドゥ・ゴットゥムッカラ代行長官は、同庁は通常、「受け入れがたいリスク、特に敵対的な国家主体に関連するもの」がある状況で権限を行使すると説明した。
「これら10件の緊急指令の終了は、連邦全体にわたる運用面での協働に対するCISAのコミットメントを示すものです。」
CISAは有効な緊急指令すべてを見直し、これら10件は成功裏に実施されたか、または既知の悪用された脆弱性(Known Exploited Vulnerabilities)カタログに特定の脆弱性が追加されたことで対応済みであると判断した。
通称KEVとして知られるこのカタログは、CISAが脅威アクターに悪用されていることを把握しているバグについて、連邦政府の民間機関に通常3週間のパッチ適用期限を設定する。ここ数カ月、CISAはKEVに追加された一部の深刻な脆弱性について、より短い期限を設定しており、その中には 24時間以内にパッチ適用 が必要だったものも含まれる。
現在KEVに掲載されているバグに関連するため廃止される指令には、Microsoftの脆弱性 CVE-2020-0601、CVE-2020-1350、CVE-2020-1472、CVE-2021-26855、CVE-2021-34527、および CVE-2021-22893 が含まれる。また、VMware 製品に影響するバグに関する指令も廃止される。
3件 の その他 の 緊急 指令については、CISAは「目的は達成され、要件は現在のリスク状況と整合しなくなり、運用慣行の変化により指令は時代遅れになった」と判断した。
これらの緊急指令は現在、CISAのウェブサイト上で「closed(終了)」とタグ付けされている。CISAが最後に発出した2件の緊急指令は、F5 と Cisco の製品に影響する脆弱性に関するものだった。
翻訳元: https://therecord.media/cisa-sunsets-10-emergency-directives
