CISA tells govt agencies to patch critical exploited flaws in 3 days
2026/06/11 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Federal Civilian Executive Branch (FCEB) 機関におけるセキュリティ更新を優先するための、新たな Binding Operational Directive 26-04 である。この指令の目的は、公共部門を標的とするサイバー攻撃の脅威を低減することであり、高リスクの脆弱性に対して、場合によっては最短 3 日という短期間での修正を義務付けるものである。
2019年および 2021年に導入された BOD 19-02/BOD 22-01 は、この BOD 26-04 により置き換えられると、CISA は説明している。同機関によると、パッチ適用の優先順位は、以下の 4 つの要素に基づいて決定される:
- 対象資産がインターネットに公開されていること。
- 脆弱性が CISA の KEV カタログに含まれること。
- 悪用が自動化され、大規模攻撃での悪用が可能なこと。
- 悪用する攻撃者が、システムの制御を得られること。
これらの要素に応じて、各機関には修正期限が設定され、最短で 3 日以内の対応が求められる。その一方で、自動化された悪用が困難な場合や、影響が部分的な制御にとどまる場合には、修正期限は 2 週間に設定される。
Source: CISA
適用の範囲と実装
この指令は、米国の Federal Civilian Executive Branch (FCEB) 機関および、それらが運用する情報システムに限定して適用される。その対象には、政府機関および各部門が含まれるが、米国国防総省が運用する一部の軍事システム/民間企業/インテリジェンス・コミュニティ・システム/請負業者は対象外である。
従来の指令と同様に、この枠組みは広範なサイバー・セキュリティ業界にも影響を与える。具体的には、パッチ適用の優先順位に関する指標として機能すると見られている。また、この指令は、オンプレミスの連邦システムだけでなく、サードパーティ・ホスト環境や FedRAMP/非 FedRAMP のクラウド環境にも適用される。
現時点で、BOD 26-04 対象の機関にとって必要なことは、脆弱性管理ポリシーの更新/資産インベントリの見直し/KEV ステータスの自動報告の導入の推進である。さらに、60 日以内に、CVE および KEV データを基盤とした修正判断プロセスへ移行し、180 日以内には、新たな修正期限に完全準拠し、資産メタデータの継続的な監視と報告が求められる。
訳者後書:CISA の新たな指令 BOD 26-04 の背景にあるのは、インターネットに公開されたシステムへの攻撃において、高度に自動化された脆弱性の悪用と、短期間で大規模な侵害を引き起こす脅威の高まりです。この自動化の進展により、従来の 2週間〜3週間といったパッチ適用のタイムラインでは対応が追いつかなくなります。現実に、現状の KEV においては、3日以内というきわめて迅速な修正対応を迫られるという、構造的な課題が生まれています。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.