米政府、AI脅威に対応するため「最深刻な脆弱性」の対応期限を3日に短縮

アメリカのサイバーセキュリティ庁（CISA）は、急速に進化するAIを活用したサイバー攻撃の脅威に対処するため、連邦政府機関に対し、最も深刻なシステム脆弱性の修正パッチ適用期限を「最短3日以内」とする新たな指令を発令しました。これは、従来の脆弱性管理プロセスを見直し、よりリスクベースのアプローチを採用することを目的としています。

これまでCISAは共通脆弱性評価システム（CVSS）に基づき、「悪用されたことがある既知の脆弱性カタログ」を用いて対応してきましたが、今後はこのリストを拡張し、以下の4つの基準に基づいて脆弱性に優先順位を付けます。具体的には、「資産が公開されているか」「既知の脆弱性カタログに掲載されているか」「攻撃者が脆弱性悪用手順を自動化できるか」「攻撃者が資産の一部または全部を掌握できるか」という項目です。

この新しい評価基準に基づき、最も深刻な脆弱性はわずか3日という極めて短い期間での修正（パッチ適用、無効化、またはインターネットからの切り離し）が求められます。CISAは、対応が必要なのは全体のわずか1%に過ぎないとしており、この優先順位付けの導入により、限られたリソースを最も危険度の高い箇所に集中させることが可能になると期待されています。

背景として、AI技術の進化によりサイバー攻撃が自動化され、「N-day」から「N-hour」へと脅威のサイクルが短縮しているため、防御側も迅速な対応が求められています。実際に、過去にはCISAカタログ掲載脆弱性のうち2025年に完全に修復されたのはわずか26％に留まり、平均的な完全解決期間は43日という課題がありました。クリス・ブテラ氏（CISAサイバーセキュリティ担当執行副局長代理）は、この指令により緊急度の高い脆弱性への対応を迅速化しつつ、リスクの低いものは定期的なサイクルで管理できると述べています。

---

背景

近年、AI技術の進化に伴い、サイバー攻撃が高度に自動化され、「N-day」から「N-hour」へと脅威発生サイクルが劇的に短縮しています。これに対応するため、アメリカ政府は膨大な数の脆弱性の中から、最も緊急性の高いものを選別し、迅速な対応を義務付ける必要が生じました。

重要用語解説

• 共通脆弱性評価システム（CVSS）: サイバーセキュリティの脆弱性を点数化する国際的な基準の一つ。深刻度を客観的に評価するための指標として広く用いられています。
• N-day/N-hour: 「N日」から「N時間」への変化を指し、AIなどの技術進化により、新たな脆弱性が発見され、悪用されるまでの時間が極端に短縮している現状を示します。
• サイバーセキュリティ庁（CISA）: アメリカ合衆国政府のサイバーセキュリティ対策を統括する機関。連邦政府システム全体の防御体制強化を担っています。

今後の影響

この指令は、米国の連邦政府機関における脆弱性管理ポリシー全体を見直すきっかけとなり、より迅速かつ効率的なパッチ適用プロセス確立が求められます。民間企業や国際的なITインフラにも大きな影響を与え、セキュリティ対応の標準化とスピードアップを加速させる可能性があります。