「30日対応」が成立しない時代の宣告 #
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年6月、連邦政府機関に対する拘束的運用指令(BOD)を更新し、最も深刻な脆弱性については「最短3日以内」のパッチ適用を義務付ける方針を打ち出した。これまで KEV(Known Exploited Vulnerabilities)カタログに載った脆弱性ですら、対応期限は2週間〜30日が標準だった。それを一気に1/5〜1/10まで圧縮する形だ。
背景にあるのは、ここ1〜2年で常態化した「公開から悪用までが時間単位」という現実である。CVEが公開された当日のうちに PoC が GitHub に上がり、数時間後には Mass Scan が始まる。さらに2025年以降は、PoC のコード化や対象資産の探索を AI エージェントが半自動で回す事例も観測されており、CISA は「人間の運用 SLA と攻撃者の OODA ループが釣り合わなくなった」と内部で認めている。
「3日」を達成する技術運用の現実 #
実際に3日で当てるには、月次パッチ会議や CAB(変更諮問委員会)を回している組織では到底間に合わない。CISA が暗に求めているのは、(1) 資産インベントリのリアルタイム同期、(2) 本番に近いステージング環境での自動回帰テスト、(3) 緊急パッチ用のロールバック前提デプロイパイプライン の3点セットだ。要は SRE 寄りの運用に寄せきった組織しか達成できない。逆に言えば、これを達成できない組織は構造的に「Nデイの餌食」になり続ける。
日本企業も「米国SLA」と同じ土俵に立たされる #
これは米国政府機関だけの話ではない。米連邦が3日 SLA を採用すれば、SaaS / クラウドベンダはそれに合わせた脆弱性対応プロセスを構築せざるを得ず、その圧力はサプライチェーン経由で日本のユーザ企業にも降ってくる。「米本社の同等水準でパッチを当てているか」が、今後の調達条件・監査項目に組み込まれる可能性が高い。
日本の情シスにとっては、まず手元の「重大脆弱性 SLA」が何日なのかを棚卸しし、CAB を経由しない緊急レーンを設計することが現実的な第一歩になる。CISA の指令を「米国の話」として眺めている時間が一番のリスクだ。
COMMENTS 0
No comments yet — be the first to leave one.