- CISAは、実施が成功した、またはBOD 22-01の下で冗長になったとして、10件の緊急指令を廃止した
- BOD 22-01は、機関に対し、既知の悪用されている脆弱性(KEV)を厳格な期限内に修正することを義務付けている
- これは同時に廃止されたEDの数として最大であり、CISAの「Secure by Design」原則を強化するものだ
米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、2019年から2024年にかけて発出した10件の緊急指令(ED)を廃止し、目的を達成しており、もはや必要ないと述べた。
同庁はウェブサイトに掲載した短い発表の中で、これらのEDはすでに成功裏に実施されたか、または拘束力のある運用指令(BOD)22-01によって包含されるようになり、冗長になったと説明した。
「脅威環境がそれを求めるとき、CISAは連邦文民行政部門(FCEB)の各機関に迅速かつ断固たる行動を義務付け、連邦全体にわたるサイバーリスクの適時な低減を推進するため、必要に応じて指令を継続して発出します」と、CISAのマドゥ・ゴットゥムッカラ代行局長は述べた。
「Secure by Design」原則
BOD 22-1(既知の悪用されている脆弱性による重大リスクの低減)は、2021年11月3日に初めて発出された、連邦のサイバーセキュリティに関する義務的な指令である。これは連邦文民行政部門(FCEB)の各機関に対し、重大なリスクをもたらす既知の悪用されている脆弱性(KEV)の厳選リストに、脆弱性管理の取り組みを集中させることを求める。同指令は、現在悪用されているこれらの欠陥についてCISAが管理するカタログを整備し、是正のための厳格な期限を定め、各機関に対して所定の期間内にパッチ適用またはその他の緩和策を講じることを強制する。
この拘束力のある指令により、以下の緊急指令が廃止された:
ED 19-01:DNSインフラの改ざんを緩和
ED 20-02:2020年1月のPatch TuesdayにおけるWindowsの脆弱性を緩和
ED 20-03:2020年7月のPatch TuesdayにおけるWindows DNS Serverの脆弱性を緩和
ED 20-04:2020年8月のPatch TuesdayにおけるNetlogonの特権昇格の脆弱性を緩和
ED 21-01:SolarWinds Orionのコード侵害を緩和
ED 21-02:Microsoft Exchangeオンプレミス製品の脆弱性を緩和
ED 21-03:Pulse Connect Secure製品の脆弱性を緩和
ED 21-04:Windows Print Spoolerサービスの脆弱性を緩和
ED 22-03:VMwareの脆弱性を緩和
ED 24-02:国家主体によるMicrosoftの企業メールシステム侵害に起因する重大リスクを緩和
CISAはまた、今回が一度に廃止されたEDの数として最多だとも述べた。
「これら10件の緊急指令の終了は、連邦全体にわたる運用面での協働に対するCISAのコミットメントを反映しています。今後もCISAは、透明性、設定可能性、相互運用性を優先する『Secure by Design』原則を推進し、あらゆる組織が多様な環境をより適切に防御できるようにしていきます」と、ゴットゥムッカラは説明している。
