CISA Directive Improves Asset Visibility, Vulnerability Detection on Federal Networks
2022/10/04 InfoSecurity — CISA は、連邦政府のネットワークにおける、IT 資産の可視性/脆弱性検出を改善するための、新たな拘束的運用指令 (BOD:Binding Operational Directive) を発表した。この新指令 BOD 23-01 は、2023年4月3日に発効され、また、連邦民間行政機関 (FCEB) に対して、IT 資産の発見を7日ごとに自動を行うよう求めるものとなる。BOD 23-01 の文書には、「この課題を達成するために、数多くの方法や技術を用いることが可能だが、最低限でカバーすべき範囲は、それぞれの機関が用いる IPv4 空間全体となる」と記されている。
さらに、この指令が FCEB 機関に求めるものとして、すべての資産 (nomadic/roaming デバイスを含む) で発見された脆弱性の列挙を 14日ごとに行い、発見から 72時間以内に脆弱性の列挙結果を、Continuous Diagnostics and Mitigation (CDM) Agency Dashboard に、自動的に取り込むことを挙げている。
CISA は BOD 23-01 を通じて、CISA からの要請を受けてから 72時間以内に、オンデマンドで資産の発見/脆弱性の列挙を開始する、運用能力の開発と維持も義務付けている。また、CISA の要請から7日以内に、FCEB 機関は列挙結果の提出が求められる。
また、同指令には、「すべての FCEB 機関は、CISA の脆弱性列挙パフォーマンス・データの要件公表から6カ月以内に、この指令に関連する脆弱性列挙パフォーマンス・データの収集と報告を、CDM Dashboard で開始することが求められる。このデータにより、スキャンの定時性/厳密性/完全性などの測定を含む、それぞれの機関におけるスキャニング性能の監督/監視を、CISA は自動化できるようになる」と記されている。
この指令で明らかにされた指示の一部として、それぞれの機関と CISA は 2023年4月3日までに、CDM Dashboard コンフィグレーションの更新を推進し、CISA アナリストによる脆弱性列挙データへのアクセスを、オブジェクト・レベルで達成可能にするとされる。
BOD 23-01 は FCEB 機関にのみ適用されるが、CISA は「組織のサイバー耐性を強化する資産管理と脆弱性検出の実践が保証される」として、すべての関係者が、その基準を見直し、取り入れることを推奨している。
この指令は、CISA と各政府機関が、ソフトウェア・サプライチェーンのセキュリティ向上を目的とした、開発者向けの新ガイダンスを発表した1カ月後に公表された。
CISA の KEV (Known Exploited Vulnerabilities) ですが、開始から1年が経とうとしています。そして、BOD 22-01 から BOD 23-01 へとアップグレードして、さらにアクセルを踏んでいるようでワクワクしてきます。文中の Continuous Diagnostics and Mitigation (CDM) Agency Dashboard というのは、初めて見るような気がしますが、BOD 22-01 でも言及されていたのかもしれません。この流れは、しっかりと追いかけようと考えています。よろしければ、CISA + KEV で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.