脆弱性修正の猶予は14日から3日へ。米CISAの新指令は、全企業にパッチ管理の抜本的見直しを迫っている。リソースが限られる情シスがいかにして「がむしゃらな対応」を捨て、リスクに基づいた優先順位付けと自動化を実現すべきか。
AIを活用した脅威や脆弱性の発見が加速し、パッチ管理プログラムへの圧力が高まっている。これを受け、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府機関にリスクベースの修復を促す方針を打ち出した。専門家は、この動きが民間企業にも必要な影響を及ぼすと指摘する。
CISAは2026年6月10日、連邦政府機関に、最高リスクの欠陥を3日以内に修復することを求める「拘束的運用指令(BOD)」を公開した。一方で、深刻度の低い欠陥については、対処の遅延や保留を認めている。
Forresterのアナリスト、エリック・ノスト氏は「3日以内という修復期限は、以前のBODで設定されていた14日間から大幅な短縮だ」と述べる。公的機関、民間企業の双方に、修復までのタイムラインが今後さらに圧縮されるという強力な指令だという。
CISAは、脆弱性の深刻度を評価する基準として、以下の4項目を提示した。
CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター代理であるクリス・ブテラ氏と、シニア・テクニカル・アドバイザーのジョナサン・スプリング氏は、ブログで次のように述べている。「パッチ適用の優先順位付けのルールを書き換えなければならない。やみくもに取り組むのではなく、よりスマートにパッチを当てるべきだ」
ブテラ氏はブログや説明会で、今回のBOD更新の主な要因としてAIを挙げた。自律的な大規模攻撃が可能なシステムに、防御側がパッチ適用に数週間もかける余裕はないと警鐘を鳴らしている。
ノスト氏によれば、大半の企業は既に「エクスポージャー」と「悪用の有無」の2点は把握しているという。現在は、リスクベースのエクスポージャー管理に基づく優先順位付けの導入を進めている企業が多く、これが残る2点(システム制御と自動化の可否)への対処にも役立つとしている。
今回のCISAの指令は連邦政府機関を対象としたものだ。しかし、英Omdiaのアナリストであるテレサ・ラノウィッツ氏は、民間企業にも波及効果があると指摘する。
「多くの企業は連邦政府の複雑なサプライチェーンの一部であり、物品や知的財産、サービスなどを提供している。民間企業はこのBODを認識し、政府機関に提供しているものを明確に把握した上で、指令に準拠するための予防的なセキュリティ措置を講じる必要がある」(ラノウィッツ氏)
企業、特にCISO(最高情報セキュリティ責任者)が考慮すべき重要事項として、アナリストらはリソースの制約、自動化、そしてツールと技術の活用を挙げている。
「単に『修復を早めろ』と言うだけでは解決しないケースも多い」とノスト氏は指摘する。同氏によると、新しい指令に対応できるリソースを持つのは、大規模な政府機関や大企業に限られ、中小規模の機関や中堅・中小企業(SMB)は苦戦することが予測されるという。
ラノウィッツ氏もこれに同意し、「一部の企業にとって、この攻撃的なタイムラインを管理するのは困難だろう」と述べる。社内のリソースが不足している場合は、外部のサードパーティーとの連携を検討すべきだとしている。
特に重要なのは、誰がどの修復タスクを担当するかを明確にすることだ。ラノウィッツ氏は、RACIマトリックスのような責任分解図を活用してエスカレーション経路を整理し、発見から適用、承認に至るまでの役割の混乱を防ぐよう推奨している。
「今こそ、セキュリティチームを近代化し、システム開発ライフサイクル(SDLC)にコラボレーションのアプローチを取り入れ、あらゆるプロジェクトの初期段階からセキュリティを組み込むべきだ」と同氏は語る。企業の縦割り(サイロ化)は知識の移転を妨げるため、ビジネスの成果に焦点を当てた高度な連携チームが必要になる。
攻撃者は脆弱性を突くために自動化を進めている。政府機関や企業も、それに対抗するために同様の自動化を図るべきだ。ラノウィッツ氏は、継続的なパッチ適用、レポート作成、チケット管理システム、アタックサーフェス(攻撃対象領域)モニタリング、APIモニタリングなどの自動化ツールの検討を勧めている。
ノスト氏によれば、自律的な修復を完全に実現している企業はまだ少ないが、CISOが探求すべき領域だという。まずは以下の3要素の自動化から始めることを提案している。
プロセスを自動化する上で最も困難なのは、修復の過程で発生する文脈や信号の変化に合わせて、システムを適応・調整させていくことだという。
今回の新しい指令は、場当たり的で手動のパッチ適用の時代が終わったことを意味している。ラノウィッツ氏は、エクスポージャー管理、資産発見、リスクベースの優先順位付けといった分野への投資を促している。
ノスト氏によると、エクスポージャー管理ツールは現在の脅威環境に合わせて進化しているという。多くのツールが外部の脅威フィードからより多くの文脈を収集するようになっており、脆弱性を迅速かつ効率的に評価・理解するためのシグナルを提供してくれる。
自社のパッチ管理や脆弱性修復プログラムだけでなく、サードパーティーの取り組みも考慮しなければならない。
ラノウィッツ氏は、ソフトウェアの出どころ(レガシーコード、パートナーの外部リソース、商用オフザシェルフ製品、オープンソース、AIによるバイブコーディングなど)を意識すべきだと警告する。「これら全てのソースが、未知の脆弱性がサプライチェーンに混入する危険性をはらんでいる」と同氏は述べ、サードパーティーのソフトウェアリスクを管理するために、ソフトウェア部品表(SBOM)の活用が必要だと強調した。
CISAの最新の指令は、企業のセキュリティパッチの根本的な転換点となる。従来の脆弱性管理から、エクスポージャー(露出)を重視した戦略への移行だ。
「やみくもに取り組むのではなく、よりスマートにパッチを当てる」という理念は、公的機関と民間企業の双方にとって、AI時代の脅威に耐えうる強靭で即応性の高いセキュリティプログラムを構築するための指針となるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
AIが次々に脆弱性を悪用 Googleが提唱する“手遅れ”を防ぐセキュリティ戦略
Microsoftが過去最多200件超の脆弱性修正 パッチ管理の「手作業」はもう限界か?
「自律型AIワーム」が情シスを襲う日 今すぐできる「泥臭い基本」の対策とは?
ランサム被害でバックアップから復旧できなかった組織の絶望 そのミスは?
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
