米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、2019年から2024年にかけて発出された緊急指令(Emergency Directives)10件を廃止した。必要な対応が完了した、または拘束力のある運用指令(Binding Operational Directive)22-01で現在はカバーされているためだという。
CISAによると、同庁が一度に終了した緊急指令の数としては過去最多だという。
「法令に基づき、CISAは新たに出現する脅威を迅速に緩和し、指令の期間を可能な限り短くすることで影響を最小化するために緊急指令を発出します」と、CISAは説明している。
「すべての有効な指令を包括的に見直した結果、CISAは、必要な対応が成功裏に実施された、または現在は 拘束力のある運用指令(BOD)22-01『既知の悪用されている脆弱性による重大リスクの低減』に包含されていると判断しました。」
拘束力のある運用指令22-01は、同庁の既知の悪用されている脆弱性(KEV)カタログを用いて、実際に悪用されている欠陥と、それらに対してシステムをいつまでにパッチ適用しなければならないかを連邦政府の民間機関に通知する。
緊急指令は差し迫ったリスクに対処することを目的としており、必要な期間だけ有効となる。
本日終了となった緊急指令の完全な一覧は以下のとおり:
- ED 19-01: DNSインフラの改ざんを緩和
- ED 20-02: 2020年1月のパッチチューズデーにおけるWindowsの脆弱性を緩和
- ED 20-03: 2020年7月のパッチチューズデーにおけるWindows DNSサーバーの脆弱性を緩和
- ED 20-04: 2020年8月のパッチチューズデーにおけるNetlogonの特権昇格の脆弱性を緩和
- ED 21-01: SolarWinds Orionのコード侵害を緩和
- ED 21-02: Microsoft Exchangeオンプレミス製品の脆弱性を緩和
- ED 21-03: Pulse Connect Secure製品の脆弱性を緩和
- ED 21-04: Windows Print Spoolerサービスの脆弱性を緩和
- ED 22-03: VMwareの脆弱性を緩和
- ED 24-02: 国家主体によるMicrosoft企業メールシステム侵害に起因する重大リスクを緩和
これらの指令の多くは、迅速に悪用された脆弱性に対処するもので、現在はCISAのKEVカタログの一部となっている。
BOD 22-01の下では、連邦政府の民間機関は、CISAが定める特定の日付までにKEVカタログに掲載された脆弱性へパッチを適用することが求められる。 既定では、2021年以前のCVEに割り当てられた欠陥の修正には最長6か月が与えられ、より新しい欠陥は2週間以内に修正する。
ただし、CISAは高リスクと判断した場合、パッチ適用の期限を大幅に短く設定できる。
最近の例では、実際に悪用されているCVE-2025-20333およびCVE-2025-20362の脆弱性の影響を受けるCiscoデバイスについて、1日以内にパッチを適用することが各機関に求められた。
