CISAは2026年6月10日、拘束的運用指令BOD 26-04「リスクに基づくセキュリティ更新の優先順位付け」を発出しました。
本指令は連邦民間行政機関(FCEB)の情報システムに適用されます。資産の露出、KEVステータス、悪用の自動化、技術的影響の4つの変数に基づき、脆弱性修正の優先度を決定します。フェーズIは直ちに有効で、CDMダッシュボードを通じた報告の自動化などを求めます。フェーズIIは発出から60日以内、フェーズIIIは発出から180日以内の措置を定めます。本指令は2021年確立のKEVカタログを基盤とし、2019年のBOD 19-02および2021年のBOD 22-01を取り消します。CISAは会計年度ごとに修正期限を再評価します。
From: BOD 26-04: Prioritizing Security Updates Based on Risk | CISA
【編集部解説】
今回CISAが出したBOD 26-04は、一言でいえば「すべての脆弱性を平等に扱う時代の終わり」を米国政府が公式に宣言したものです。これまでのBOD 22-01は、KEVカタログに載った脆弱性に一律の修正期限を課す仕組みでしたが、新指令は資産の露出・悪用実績・自動化可能性・技術的影響という4つの変数で危険度を測り、段階的な期限を割り当てます。
ここが理解の要です。4つの変数はいずれも「はい/いいえ」の二択で、その組み合わせは合計16通りになります。この16の組み合わせが、最短3日(フォレンジック・トリアージ付き)から「次回のシステム更新時に修正」という事実上の先送りまで、5段階の期限へと振り分けられます。最も短い3日が課されるのは、KEVに掲載され、かつ攻撃者が資産を完全に制御できる脆弱性に限られます。「重大なら何でも3日」ではない点は、誤読が広がりやすいので強調しておきます。なお旧BOD 22-01では、2021年以降に採番されたCVEは14日、それ以前のものは6か月という期限が課されていました。新指令はこの一律方式を、危険度に応じた可変方式へと改めたものです。
注目すべきは、政府が「直さなくてよい脆弱性がある」と明言したことです。どの危険条件にも当てはまらない脆弱性は、次の定期アップグレードまで放置してよい——CISA自身が、ある大規模な民間行政機関での初期分析で、3日対応に該当したのは脆弱性インスタンスの1%にすぎず、60%超が先送り対象になったと示しています。限られた人員を本当に危険なものへ集中させる、という割り切りです。
なぜ今なのか。背景には、防御側の息切れがあります。2026年版Verizon DBIRを引用したCISAは、2025年にKEV掲載脆弱性のうち完全に修正されたのは26%にとどまり、前年の38%から低下したと指摘しています。脆弱性を解消するまでの期間の中央値は43日に延びました。直すべき脆弱性は増え続け、現場が追いつけなくなっている——これが現実です。
もう一つの動因が、生成AIです。CISAは、攻撃者によるAIの利用が、脆弱性の公開から悪用までの時間をさらに縮めると明言しています。皮肉なことに、この指令が求める「資産の露出状況を常時把握し、期限を動的に追う」運用は、人手だけでは到底回りません。攻撃をAIが加速させ、防御も自動化で応じる——その軍拡競争が、政策の文言として固定化された格好です。
技術史的には、もう一つ静かな転換が起きています。旧BOD 19-02の取り消しにより、連邦政府は脆弱性の優先順位付けにCVSS(深刻度スコア)を用いることを必須としなくなりました。長年デファクトだった「点数の高さ」基準から、「実際に悪用されているか」というSSVCベースの判断へ。脆弱性管理の世界観そのものが、米政府の手で書き換えられたといえます。
影響は連邦政府内にとどまりません。BOD 26-04は民間に強制力を持ちませんが、前身のBOD 22-01が生んだKEVカタログは、世界中の民間企業や同盟国が自発的に使う最も普及した指標になりました。同じ経路をたどれば、この4変数モデルは事実上の国際標準になり得ます。KEVを参照する日本企業にとっても、いずれ無関係ではいられないテーマです。
潜在的なリスクも見ておく必要があります。判断を4変数に委ねるということは、その入力データ——とりわけCISAが供給する悪用・自動化・影響度のメタデータ——の正確さに、防御全体が依存することを意味します。データが遅れたり誤れば、本来3日で対応すべきものが先送りされかねません。また「直さなくてよい」と分類された脆弱性が、攻撃者の優先標的になる可能性も否定できません。割り切りの効率と、取りこぼしの危うさは表裏一体です。
長期的にみれば、これは「人間が一つずつパッチを当てる」前提の終焉を告げる指令だと、私たちは捉えています。期限が動的である以上、資産の露出状態を秒単位で追い、Vulnrichmentのデータと突き合わせ続ける仕組みが不可欠になる。脆弱性管理は、判断業務から、機械が回し人間が監督する自動化基盤へと重心を移していくでしょう。Tech for Human Evolutionの視点からいえば、防御の主導権を人間が保ち続けるために、あえて機械に任せる範囲を線引きした——その最初の制度的な一歩として記録される指令になるはずです。
【用語解説】
拘束的運用指令(BOD)
連邦民間行政機関に対してCISA(DHS長官の権限のもと)が発する、法的拘束力を持つ指示である。各省庁は遵守義務を負う。番号は発出年と通し番号で表され、26-04は2026年の4番目を意味する。
FCEB(連邦民間行政機関)
Federal Civilian Executive Branchの略。連邦政府の行政機関のうち、国防・情報機関などを除いた民間の省庁群を指す。本指令の適用対象である。
KEV(既知の悪用された脆弱性)
Known Exploited Vulnerabilitiesの略。攻撃に実際に使われている証拠が確認された脆弱性を指す。CISAはこれらを一覧化した「KEVカタログ」を維持している。理論上の危険度ではなく「現に悪用されているか」を基準にする点が特徴だ。
CVSS(共通脆弱性評価システム)
脆弱性の深刻度を0〜10の数値で示す国際的な評価指標である。長年、優先順位付けの事実上の標準だったが、本指令の前提となった旧BOD 19-02の取り消しにより、連邦政府では必須ではなくなった。
SSVC(ステークホルダー固有脆弱性分類)
Stakeholder-Specific Vulnerability Categorizationの略。CVSSの「点数」ではなく、悪用状況・影響・普及度などから「どう対応すべきか」を判断する意思決定手法である。本指令の修正期限はこの考え方に基づく。
Vulnrichment(ヴァルンリッチメント)
CISAが運営するプログラムで、各CVEについて「KEV該当か」「自動化可能か」「技術的影響はどの程度か」といったメタデータを付与・公開する。本指令の4変数判断のうち3つは、このデータが用いられる。
フォレンジック・トリアージ
システムがすでに侵害されていないかを、痕跡から評価する初動調査を指す。最も危険なティアでは、パッチ適用だけでなくこの調査の実施も求められる。「直すだけでは不十分、もう侵入されている前提で確かめる」という発想だ。
CDM(継続的診断・緩和)プログラム/ダッシュボード
Continuous Diagnostics and Mitigationの略。連邦各省庁の資産や脆弱性の状況を可視化・報告する仕組みである。本指令では、このダッシュボードを通じた自動報告が求められる。
部分的な制御/完全な制御(技術的影響)
攻撃成功後に攻撃者が得る支配の度合いを表す。完全な制御は、ログイン情報の窃取を含め、ソフトウェアの挙動を完全に掌握できる状態を指す。KEV該当かつ完全な制御の組み合わせが、最短3日対応の対象となる。
【参考リンク】
CISA|BOD 26-04: Prioritizing Security Updates Based on Risk(外部)
リスク基準への転換を定めた本指令の一次情報。背景や適用範囲、フェーズ別の必要措置、修正期限までを網羅する公式ページである。
CISA|Known Exploited Vulnerabilities Catalog(外部)
実際に悪用が確認された脆弱性の一覧。CSVやJSONでも公開され、世界中の防御側が優先順位付けの入力情報として利用している。
The White House|Promoting Advanced AI Innovation and Security(外部)
本指令が整合を図るとされるAI関連の大統領令。連邦政府のネットワーク安全確保に向けた優先事項を定める公式の文書である。
Verizon|Data Breach Investigations Report(DBIR)(外部)
編集部解説で引用した修正率や対応期間の数値の出典である年次レポート。データ侵害の傾向を毎年分析している調査である。
【参考記事】
CISA BOD 26-04: FAQ about the new risk-based patching directive(Tenable)(外部)
4変数16通りを5段階の期限に振り分ける仕組みを詳説。KEV完全修正率26%や対応中央値43日など、本稿の数値の主な出典である。
What is CISA BOD 26-04? Prioritizing Security Updates Based on Risk(Nucleus Security)(外部)
4つの判断基準を整理し、全条件を満たす脆弱性は3日以内の修正とフォレンジック・トリアージが要ると解説した記事である。
CISA Requires Federal Agencies to Patch Critical Vulnerabilities Within 3 Days(Cyber Security News)(外部)
最危険の既知悪用脆弱性を3暦日以内に修正させる点を強調し、連邦指令史上最も積極的なパッチ期限と評価する記事である。
CISA Directive Highlights Risk-Based Vulnerability Management(Wiley)(外部)
法律事務所による解説。本指令は実装ガイダンスと共に発出され、各省庁は契約見直しが要る点など適用範囲を整理する。
CISA BOD 26-04 directs agencies to prioritize exploited vulnerabilities(Industrial Cyber)(外部)
攻撃者のAI利用がパッチ公開から悪用までの時間を縮める問題意識を取り上げ、侵害の有無を先に評価する発想を報じる。
【編集部後記】
この指令は遠い米国政府の話に見えて、じつは私たちの日々の「あとで直そう」という感覚にも問いを投げかけています。攻撃側がAIで勢いを増すいま、何を真っ先に守り、何を後回しにできると割り切るか。みなさんがふだん使う端末やサービスにも、同じ判断の芽はあるかもしれません。もし関心を持たれたら、KEVカタログを一度のぞいてみてください。そこで一緒に、未来の防御のかたちを考えていけたら嬉しいです。