CISA、AI脅威受け連邦機関に3日以内の脆弱性修正を指示
原題: CISA Tells US Agencies to Fix Security Bugs in as Little as 3 Days Thanks to AI Threats
なぜ重要か
AI技術による脆弱性悪用の高速化に対応する官民セキュリティ対策の新基準となり、サイバーセキュリティ業界全体の迅速対応体制強化を促進する。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は10日、AI技術による脆弱性発見・悪用の高速化を受け、連邦政府機関に対し最重要脆弱性を3日以内に修正するよう求める新指令を発表した。従来の15日から大幅短縮。4段階の緊急度評価基準を導入し、優先順位付けを義務化する。
CISAは新世代AI技術がソフトウェア脆弱性の発見と悪意のあるハッカーによる悪用を加速させているとして、連邦政府民間機関向けの「拘束力のある運用指令」(BOD)を発表した。同指令は脆弱性修正の緊急度を4段階で評価し、最重要ケースでは3日以内の対応を求める。
CISAサイバーセキュリティ担当代理執行補佐官のクリス・ブテラ氏は記者会見で「最も問題の多い脆弱性を優先的に対処し、緊急度の低いバグには時間をかけられるよう機関の優先順位付けを支援することが目標」と説明した。
新指令の緊急度評価基準は、システムが公開されているか、脆弱性がCISAの既知悪用脆弱性カタログに掲載されているか、攻撃者が悪用手順を自動化できるか、悪用時の攻撃者のアクセス権限の4点を考慮する。全条件に該当する場合は3日以内の修正と「フォレンジック・トリアージ」プロセスの実行が必要となる。
同指令は2019年と2021年の前指令に代わるもので、従来は最重要脆弱性の修正期限を15日、高緊急度は30日としていた。2021年時点でCISAは「既知悪用脆弱性の42%が開示当日、50%が2日以内、75%が28日以内に使用される」と警告していた。ブテラ氏は予算不足と優先順位の競合を考慮し、最重要脆弱性の期限を24時間ではなく3日に設定したと説明した。