AI脅威時代に向けて連邦パッチ適用要件を全面改訂するCISA
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦機関に対するパッチ適用義務をリスクマトリクス方式に刷新しました。最も危険度の高い脆弱性については3日以内の修正を義務付ける一方、リスクの低い問題については正式に対応を延期できるようにしています。同庁が今週公開した新たな拘束的運用指令(BOD)26-04
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦機関に対するパッチ適用義務をリスクマトリクス方式に刷新しました。最も危険度の高い脆弱性については3日以内の修正を義務付ける一方、リスクの低い問題については正式に対応を延期できるようにしています。同庁が今週公開した新たな拘束的運用指令(BOD)26-04
CISAの新たな指令は、連邦機関の対応を深刻度スコア頼みから脱却させ、現実の悪用状況・資産の露出状態・攻撃者の影響力を優先するリスクベースのパッチ適用モデルへと転換させます。多くのセキュリティリーダーが、このフレームワークを脆弱性管理の未来像と捉えています。