「重大な脆弱性は3日以内にパッチを」 CISA新指令が示すパッチ管理の大転換：場当たり的で手動のパッチ適用の時代は終わり

脆弱性修正の猶予は14日から3日へ。米CISAの新指令は、全企業にパッチ管理の抜本的見直しを迫っている。リソースが限られる情シスがいかにして「がむしゃらな対応」を捨て、リスクに基づいた優先順位付けと自動化を実現すべきか。

[Sharon Shea，TechTarget]

　AIを活用した脅威や脆弱性の発見が加速し、パッチ管理プログラムへの圧力が高まっている。これを受け、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、連邦政府機関にリスクベースの修復を促す方針を打ち出した。専門家は、この動きが民間企業にも必要な影響を及ぼすと指摘する。

　CISAは2026年6月10日、連邦政府機関に、最高リスクの欠陥を3日以内に修復することを求める「拘束的運用指令（BOD）」を公開した。一方で、深刻度の低い欠陥については、対処の遅延や保留を認めている。

　Forresterのアナリスト、エリック・ノスト氏は「3日以内という修復期限は、以前のBODで設定されていた14日間から大幅な短縮だ」と述べる。公的機関、民間企業の双方に、修復までのタイムラインが今後さらに圧縮されるという強力な指令だという。

　CISAは、脆弱性の深刻度を評価する基準として、以下の4項目を提示した。

• エクスポージャー（インターネット経由でアクセス可能か）
• 脆弱性が実際に悪用されているか
• その欠陥の悪用により、システムを完全に制御される恐れがあるか
• 攻撃者が悪用を完全に自動化できるか

　CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター代理であるクリス・ブテラ氏と、シニア・テクニカル・アドバイザーのジョナサン・スプリング氏は、ブログで次のように述べている。「パッチ適用の優先順位付けのルールを書き換えなければならない。やみくもに取り組むのではなく、よりスマートにパッチを当てるべきだ」

　ブテラ氏はブログや説明会で、今回のBOD更新の主な要因としてAIを挙げた。自律的な大規模攻撃が可能なシステムに、防御側がパッチ適用に数週間もかける余裕はないと警鐘を鳴らしている。

　ノスト氏によれば、大半の企業は既に「エクスポージャー」と「悪用の有無」の2点は把握しているという。現在は、リスクベースのエクスポージャー管理に基づく優先順位付けの導入を進めている企業が多く、これが残る2点（システム制御と自動化の可否）への対処にも役立つとしている。

エグゼクティブサマリー

• CISAは連邦政府機関に、最高リスクの脆弱性を3日以内に修復することを義務付けた
• AIを悪用した脅威の増大により、従来の「14日以内」という修復期限では不十分になっている
• 民間企業も、連邦政府とのサプライチェーンを維持するために、この指令に準じた対応が求められる
• 修復プロセスの自動化（優先順位付け、実行、検証）が、限られたリソースで迅速に対処するための鍵となる

企業が受ける影響

「AI時代のセキュリティ」に関連する編集部お薦め記事

　今回のCISAの指令は連邦政府機関を対象としたものだ。しかし、英Omdiaのアナリストであるテレサ・ラノウィッツ氏は、民間企業にも波及効果があると指摘する。

　「多くの企業は連邦政府の複雑なサプライチェーンの一部であり、物品や知的財産、サービスなどを提供している。民間企業はこのBODを認識し、政府機関に提供しているものを明確に把握した上で、指令に準拠するための予防的なセキュリティ措置を講じる必要がある」（ラノウィッツ氏）

　企業、特にCISO（最高情報セキュリティ責任者）が考慮すべき重要事項として、アナリストらはリソースの制約、自動化、そしてツールと技術の活用を挙げている。

リソース制約と管理の課題

　「単に『修復を早めろ』と言うだけでは解決しないケースも多い」とノスト氏は指摘する。同氏によると、新しい指令に対応できるリソースを持つのは、大規模な政府機関や大企業に限られ、中小規模の機関や中堅・中小企業（SMB）は苦戦することが予測されるという。

　ラノウィッツ氏もこれに同意し、「一部の企業にとって、この攻撃的なタイムラインを管理するのは困難だろう」と述べる。社内のリソースが不足している場合は、外部のサードパーティーとの連携を検討すべきだとしている。

　特に重要なのは、誰がどの修復タスクを担当するかを明確にすることだ。ラノウィッツ氏は、RACIマトリックスのような責任分解図を活用してエスカレーション経路を整理し、発見から適用、承認に至るまでの役割の混乱を防ぐよう推奨している。

　「今こそ、セキュリティチームを近代化し、システム開発ライフサイクル（SDLC）にコラボレーションのアプローチを取り入れ、あらゆるプロジェクトの初期段階からセキュリティを組み込むべきだ」と同氏は語る。企業の縦割り（サイロ化）は知識の移転を妨げるため、ビジネスの成果に焦点を当てた高度な連携チームが必要になる。

自動化による対抗策

　攻撃者は脆弱性を突くために自動化を進めている。政府機関や企業も、それに対抗するために同様の自動化を図るべきだ。ラノウィッツ氏は、継続的なパッチ適用、レポート作成、チケット管理システム、アタックサーフェス（攻撃対象領域）モニタリング、APIモニタリングなどの自動化ツールの検討を勧めている。

　ノスト氏によれば、自律的な修復を完全に実現している企業はまだ少ないが、CISOが探求すべき領域だという。まずは以下の3要素の自動化から始めることを提案している。

• 優先順位付けのプロセス：CISAの指令や、自社で定義したサービスレベルに基づき、期限内に何を優先すべきかどうかを判断する意思決定を自動化する
• 実行のアクションシーケンス：自動パッチ適用が可能かどうかをシステムが判断し、リスクの低い資産や容易な資産から順次実行するプロセスを自動化する
• 検証：パッチ適用が成功したことを証明し、問題が修復されたことを確認するスキャンのプロセスを自動化する

　プロセスを自動化する上で最も困難なのは、修復の過程で発生する文脈や信号の変化に合わせて、システムを適応・調整させていくことだという。

ツール、技術、プロセスの刷新

　今回の新しい指令は、場当たり的で手動のパッチ適用の時代が終わったことを意味している。ラノウィッツ氏は、エクスポージャー管理、資産発見、リスクベースの優先順位付けといった分野への投資を促している。

　ノスト氏によると、エクスポージャー管理ツールは現在の脅威環境に合わせて進化しているという。多くのツールが外部の脅威フィードからより多くの文脈を収集するようになっており、脆弱性を迅速かつ効率的に評価・理解するためのシグナルを提供してくれる。

サプライチェーンの重要性

　自社のパッチ管理や脆弱性修復プログラムだけでなく、サードパーティーの取り組みも考慮しなければならない。

　ラノウィッツ氏は、ソフトウェアの出どころ（レガシーコード、パートナーの外部リソース、商用オフザシェルフ製品、オープンソース、AIによるバイブコーディングなど）を意識すべきだと警告する。「これら全てのソースが、未知の脆弱性がサプライチェーンに混入する危険性をはらんでいる」と同氏は述べ、サードパーティーのソフトウェアリスクを管理するために、ソフトウェア部品表（SBOM）の活用が必要だと強調した。

スマートな修復を目指して

　CISAの最新の指令は、企業のセキュリティパッチの根本的な転換点となる。従来の脆弱性管理から、エクスポージャー（露出）を重視した戦略への移行だ。

　「やみくもに取り組むのではなく、よりスマートにパッチを当てる」という理念は、公的機関と民間企業の双方にとって、AI時代の脅威に耐えうる強靭で即応性の高いセキュリティプログラムを構築するための指針となるだろう。