アメリカのサイバーセキュリティ庁(CISA)が、政府のシステムを迅速に防御するための新たな指令を公布しました。CISAは最も深刻な脆弱性について「最短3日以内」に修正する必要があるとしています。

BOD 26-04: Prioritizing Security Updates Based on Risk | CISA

https://www.cisa.gov/news-events/directives/bod-26-04-prioritizing-security-updates-based-risk



Patch Smarter, Not Harder | CISA

https://www.cisa.gov/news-events/news/patch-smarter-not-harder

CISA tells agencies to patch smarter, not harder - foreshadowing broader industry practice | CSO Online

https://www.csoonline.com/article/4183750/cisa-tells-agencies-to-patch-smarter-not-harder-foreshadowing-broader-industry-practice.html

近年はAIを活用したサイバー攻撃が可能となり、修正パッチが適用されていない脆弱性を攻撃者が素早く発見して悪用する危険性が高まっています。こうした状況の中、防御側には大量に存在する脆弱性を全て完璧に修正するだけのリソースがないため、何らかの優先順位を付けて脆弱性を順番に修正していく必要性が生じました。

これまでは「悪用されたことがある既知の脆弱性カタログ」という名前のリストを作成し、共通脆弱性評価システム(CVSS)という評価基準に沿って対応していましたが、今後はこのリストを発展させて別の基準で脆弱性に優先順位を付け、リスクの高いものから優先的に修正を行っていく方針をCISAが明らかにしました。



CISAは「資産が公開されてしまっているか」「既知の脆弱性カタログに掲載されているか」「攻撃者が脆弱性悪用手順を自動化できるか」「攻撃者が資産の一部あるいは全部を掌握できるか」という4つの項目を設定し、それぞれに当てはまるかどうかによって脆弱性への対応期限を定めます。最も深刻な脆弱性の対応期限はわずか3日で、担当者は期限内に修正、無効化、またはインターネットから切り離すなどの対応を取らなければなりません。



ただ、CISAによると3日以内に対応が必要な脆弱性は全体のわずか1%に過ぎないとのこと。脆弱性のうちほとんどは対応を延期しても問題ないとされていることから、脆弱性の優先順位付けは非常に効果的に働くと期待されています。なお、Verizonの2026年データ侵害調査レポートによると、CISAのカタログに掲載されている脆弱性のうち、2025年に完全に修復されたのはわずか26%で、完全解決までの期間の中央値は43日だったそうです。

今回の指令に基づき、各政府機関は脆弱性管理ポリシーを見直し、脆弱性の修復を行うためのプロセスを確立する必要があります。

CISAのサイバーセキュリティ担当執行副局長代理を務めるクリス・ブテラ氏は「我々は、最も緊急性の高い脆弱性へのパッチ適用を迅速化するための時間を確保しつつ、リスクの低い脆弱性についてはより定期的なパッチ適用サイクルで対応できるはずだと強く信じています」と述べました。