米サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は、連邦機関に対し、最優先と判断した脆弱性を最短3日以内に是正する新たな指針を示した。AIの活用でサイバー攻撃の自動化と高速化が進むなか、すべての脆弱性を一律に処理する運用から、実際の悪用リスクに基づいて優先順位を付ける方式へ見直す。

Gigazineが11日に報じた。

新指針では、すべての脆弱性を同じスピードで処理するのではなく、実際に悪用される可能性が高く、被害が大きくなり得るものを優先して対処する。最上位のリスク群に分類された脆弱性については、3日以内のパッチ適用または無効化を求め、必要に応じてインターネットからの切り離しも求める。

CISAは、新たな基準として4つの要素を評価する。対象資産が外部に公開されているか、当該脆弱性が既知悪用脆弱性カタログに含まれているか、攻撃者が悪用手順を自動化できるか、侵害時に資産の一部または全部を掌握される可能性があるか、の4点だ。対応期限は、これらの条件に応じて変わる。

背景には、AIの普及による攻撃側の変化がある。攻撃者は未適用パッチの脆弱性を従来より速く見つけて悪用できる一方、防御側は大量の脆弱性を即時に処理できるだけの人員や資源を持たない。こうした状況を踏まえ、米政府はCVSSや既知脆弱性リストに依存した運用から、実リスクの高い対象を優先する枠組みへ移行を進めている。

CISAは、3日以内の対応が必要となる脆弱性は全体の1％にとどまるとの見方を示した。大半の脆弱性は最優先での即時対応を要しない可能性があり、優先順位付けによって運用の実効性を高められるという判断だ。各機関の実態もこれを裏付ける。Verizonの2026年版データ侵害調査報告書によると、CISAカタログに掲載された脆弱性のうち、2025年に完全修正された比率は26％にとどまり、完全解決までの期間中央値は43日だった。

各連邦機関は今後、この指針に沿って脆弱性管理方針の見直しを迫られる。単にパッチ適用の時期を前倒しするだけでなく、リスク評価と対処の優先順位を内部手続きに組み込む運用体制の整備が必要になる。

CISAでサイバーセキュリティを担当する執行副局長代行のクリス・ブテラ氏は、最優先の脆弱性により迅速にパッチを適用できる時間を確保する必要があると説明した。リスクの低い脆弱性については、より定期的なパッチサイクルの中で対応できるとも述べた。

今回の指針は連邦機関向けではあるものの、脆弱性管理の考え方そのものの転換を示すものでもある。攻撃の自動化が進み、外部公開資産を狙った侵害の試行が加速するなか、脆弱性の件数ではなく、実際の悪用可能性や被害規模に応じて対応速度を変える運用の重要性は一段と高まっている。米政府のセキュリティ運用は、深刻度スコア偏重から、攻撃可能性と影響度を合わせて判断する方向へ再編が進みそうだ。