何が変わったか
CISAが新たに発出した「拘束力ある運用指令(Binding Operational Directive)」は、米連邦民間機関が脆弱性に対処するまでの期限を従来比で大幅に短縮する。2019年・2021年に設定された基準では、重大な脆弱性でも修正まで15日、高重要度では30日が与えられていた。新指令はこれらを廃止し、4つの緊急度評価基準をすべて満たす脆弱性については3日以内の修正を求める。
4つの緊急度評価基準
新指令が定める評価基準は以下の4点だ。
- 対象システムがインターネットに公開されているか
- CISAの「既知悪用脆弱性カタログ(KEV)」に登録されているか
- 悪用が自動化可能か
- 悪用された場合に攻撃者が得るアクセス権のレベル
これら全条件を満たす場合に3日ルールが適用される。期限を「24時間」にしなかった理由についてCISAは、多くの機関にとって現実的に実施不可能だからと説明している。
なぜ今、この指令なのか
背景にあるのはAIによる脅威の変化だ。CISAのサイバーセキュリティ担当執行副長官代行クリス・ブテラ氏は「AIの進化により、脅威アクターは連邦資産の脆弱性を発見・悪用する能力を高めている。大規模かつ自律的に悪用可能なシステムへの対処に数週間かけることは、防御側にとって許容できない」と述べている。
CISAのデータによれば、既知悪用脆弱性のうち実際に攻撃に使われるのは約4%にとどまるが、その4%のうち42%は公開当日(Day 0)に悪用が始まり、50%は2日以内、75%は28日以内に攻撃に使われている。
新指令にはパッチ適用だけでなく、システムがすでに侵害されていないかを確認するフォレンジックトリアージの実施も含まれている。
専門家の見方——「パッチだけでは不十分」
クラウドセキュリティ企業Edelaのエミリー・ロング最高経営責任者は、今回の指令の方向性を評価しつつも限界を指摘する。「指令の趣旨は正しいが、課題の半分しか解決していない。侵害後に攻撃者がアクセスできる範囲をアーキテクチャ側で制限しなければ、同じトレッドミルの上をより速く走るだけだ。パッチは引き続き重要だが、設計段階での封じ込めについても議論を深めるべきだ」とコメントしている。
またロング氏は今回の指令を「新興AIモデルの能力拡大に対抗するための第一歩」としながらも、「まだやるべきことは多い」と付け加えている。
出典:Wired
