編集者ピックアップ

Q1: 何がヤバいのか

CISA が米連邦機関に新ルールを出した。最もリスクの高い脆弱性は3日以内に修正、さらに修正の際に「すでに侵入されていないか」の確認まで義務付けた。パッチ適用とインシデント対応をひとつの手順にまとめた指令は初めてだ。

Q2: どういうニュースか

6月10日、CISA が BOD 26-04「Prioritizing Security Updates Based on Risk」を発行した。KEV カタログの根拠だった BOD 22-01 と、BOD 19-02 を廃止して統合する大きな改訂だ。

優先度の判定に CVSS スコアは使わない。代わりに次の4項目で判定する。

1. インターネットに公開された資産か
2. 攻撃を自動化できるか
3. 攻撃が成功するとシステムを乗っ取られるか
4. 実際に悪用されているか（KEV 掲載）

4つすべてに該当すると、3日以内の修正に加えて、侵害有無の調査（フォレンジックトリアージ）が義務になる。一部だけ該当なら期限は14日か60日。どれにも該当しなければ、次のシステム更改まで先送りしてよい。

侵害調査を義務にした理由は単純で、パッチを当てても、すでに侵入した攻撃者は排除できないからだ。なお CISA は今回の期限短縮の背景として、AI によって脆弱性公開から攻撃開始までの時間が短くなっていることを挙げている。

Q3: インパクトは

対象は米連邦機関だが、国内の組織にも参考になる点が2つある。

- パッチ対応と侵害確認をセットにする発想。多くの組織ではパッチ管理とインシデント対応は別の手順になっている。「直す前に、やられていないか確認する」を脆弱性対応フローに組み込めないか、検討する価値がある
- 「3日」という具体的な基準。公開資産 × 悪用あり × 自動化可能という最悪の条件で、自社なら修正まで何日かかるか。一度測ってみると現状の課題が見える

CVSS の点数順に対応する従来のやり方から、リスクの実態で優先度を決めるやり方への移行が、米政府レベルで確定した。自社の対応速度を見直すきっかけにできる。