CISA、緊急サイバー指令10件を異例の一括終了
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2019年から2024年にかけて発行された緊急指令10件を終了したことを発表しました。これは、CISAが一度に終了した緊急指令の中で過去最大の件数となります。
CISAは、「緊急指令は、新たな脅威を迅速に軽減し、指令の期間を最短に制限することで影響を最小限に抑えるために発行される」と説明しています。
終了の背景と理由
今回の指令終了の主な理由は、必要な対策がすでに完了したか、または既存の「拘束力のある運用指令22-01(BOD 22-01):既知の悪用されている脆弱性の重大なリスクの軽減」によってカバーされるようになったためです。
終了された緊急指令の一覧
今回終了された緊急指令は以下の通りです。
- ED 19-01: DNSインフラストラクチャの改ざん対策
- ED 20-02: 2020年1月のWindowsパッチチューズデーの脆弱性対策
- ED 20-03: 2020年7月のWindows DNSサーバーの脆弱性対策
- ED 20-04: 2020年8月のNetlogon特権昇格の脆弱性対策
- ED 21-01: SolarWinds Orionコード侵害対策
- ED 21-02: Microsoft Exchangeオンプレミス製品の脆弱性対策
- ED 21-03: Pulse Connect Secure製品の脆弱性対策
- ED 21-04: Windows Print Spoolerサービス脆弱性対策
- ED 22-03: VMwareの脆弱性対策
- ED 24-02: Microsoft企業メールシステムの国家による侵害からの重大なリスク軽減
BOD 22-01とKEVカタログの役割
BOD 22-01は、CISAの「既知の悪用されている脆弱性(KEV)カタログ」を利用し、連邦政府機関に対して積極的に悪用されている脆弱性とそのパッチ適用期限を通知するものです。
この指令に基づき、連邦政府機関はKEVカタログに記載された脆弱性をCISAが設定した特定の日付までに修正することが義務付けられています。通常、2021年以前のCVEには最大6ヶ月、新しい脆弱性には2週間以内に修正が求められますが、CISAは高リスクと判断された場合には、著しく短いパッチ適用期間を設定することができます。最近の例では、CiscoデバイスのCVE-2025-20333およびCVE-2025-20362に対する緊急パッチが1日以内に要求されました。