CISAの新指令:連邦政府のパッチ適用における現実的な見直し
TL;DR
CISAの新指令:連邦政府のパッチ適用における現実的な見直し
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「すべてを、どこでも、同時にパッチ適用する」という旧来の考え方を根本から覆しました。拘束力のある運用指令(BOD)26-04の発行により、連邦民間機関は、時代遅れでカレンダーベースのパッチ適用習慣を捨て、実際の脅威リスクを冷静かつ厳格に見極めることが求められるようになりました。
これは単なる小規模なアップデートではなく、完全な刷新です。BOD 26-04は、旧来のBOD 19-02およびBOD 22-01の義務を正式に終了させます。なぜ変更が必要だったのでしょうか?それは、脅威の状況が足元から変化したからです。AI主導の攻撃手法の台頭により、従来の「経過日数に基づく」パッチ適用モデルは、もはやリスク要因となってしまいました。攻撃者はもはや標準的な30日間の猶予を待つことはありません。彼らは自動化ツールを駆使し、ITチームが朝のコーヒーを飲み終える前に脆弱性を悪用しています。
リスクベースの修復における4つの柱
CISAは、もはや「どれだけのパッチを適用したか」には関心がありません。彼らが重視するのは、そのパッチが実際に侵害を阻止できるかどうかです。これを実現するため、各機関が脆弱性をトリアージ(優先順位付け)する際に使用すべき4つの具体的な基準が示されました。これらに該当しないものは、優先事項とはみなされません。
優先的に修正すべき脆弱性を判断するための新しいプレイブックは以下の通りです:
- 既知の悪用された脆弱性(KEV): CISAのKEVカタログに掲載されているものは、すでに悪意のある攻撃者に利用されています。これらは「即座に修正すべき」項目です。
- 資産の露出度: 脆弱なシステムがパブリックインターネット上に露出しているか、それとも防御層の背後に隠れているか。外部に公開されている資産が、現在の最優先事項です。
- 攻撃の自動化: AI主導のスクリプトや「ポイント&クリック」ツールが利用可能な脆弱性であれば、攻撃者の参入障壁はゼロに等しくなります。
- 悪用後の技術的影響: 侵入された場合、どのような影響があるか。リモートコード実行や権限昇格を許すような欠陥は、優先順位の最前線に移動します。

パッチの先にあるもの:フォレンジックの現実
重要な点は、パッチ適用が魔法の杖ではないということです。CISAは、攻撃者がすでにネットワーク内に潜伏している場合、単にセキュリティアップデートを適用するだけでは不十分であることを明確にしています。新しい指令の下では、各機関はパッチを適用する「前」にフォレンジック・トリアージ(調査)を行うことが義務付けられています。すでに侵害されたシステムにパッチを適用することは、泥棒が中にいる状態でドアに鍵をかけるようなものです。
このプロセスを支援するため、CISAは強化された脆弱性メタデータと、資産タグ付けのための標準化されたデータスキーマを展開しています。これは、全員が共通の言語で話せるようにするための取り組みです。
| カテゴリ | 修復期間 | 推定ボリューム |
|---|---|---|
| 深刻/高リスク | 3日以内 | 脆弱性の約1% |
| 中程度/低リスク | 延期/標準 | 脆弱性の約60% |
CISAの公式発表で説明されている通り、「深刻な1%」に対する3日間の猶予期間は恣意的なものではありません。これは、AIを活用したスキャンの速度に対する直接的な対応です。残りの99%のノイズを排除することで、各機関は限られたリソースを本当に重要な場所に集中させることができます。
国家安全保障エコシステムの新しい基準
この指令は単独で存在するものではありません。これは、AIセキュリティに関する最近の大統領令を支える運用上の基盤です。連邦政府は、毎年何千もの脆弱性が発見される現状において、従来の「すべてにパッチを当てる」というアプローチが非効率であるだけでなく、不可能であることをようやく認識しました。
業界の専門家は、CISAによるリスクベースのパッチ優先順位付けへの移行を、長年待ち望まれていたレガシー思考からの脱却であると評価しています。この指令は現在、連邦民間機関を対象としていますが、州、地方、部族、準州政府、さらには民間企業に対するメッセージは明確です。「追いつかなければ、取り残される」ということです。
ここでの目標は、恣意的な期限ではなく、実証データに基づいた、より強靭な国家安全保障体制を構築することです。各機関は現在、内部ワークフローを見直し、フォレンジックチェックを標準的なパッチ適用ライフサイクルに統合することが期待されています。これは、「チェックリストを埋める」コンプライアンスから、実質的かつ測定可能なセキュリティへの転換です。
各機関がこれらの新しい要件に準拠し始める中で、焦点は資産の重要性と、進化するAI主導の脅威能力との交差点に置かれ続けるでしょう。これはハイステークスな「いたちごっこ」ですが、久しぶりに防御側が優位に立ち始めているのかもしれません。