人工知能によるサイバー攻撃に対する懸念の高まりにより、組織がソフトウェアの脆弱性にパッチをどれだけ早く適用すべきかについて新たな議論が巻き起こっており、その中には連邦政府機関にパッチ適用の期限を数週間ではなく数日で守るよう義務付けるべきかどうかも含まれる。
サイバー専門家らは、特に最近の人工知能の進歩を考慮すると、多くの場合、より迅速な修正が必要になるだろうと述べている。しかし多くの人は、期限を短縮すること自体が迅速な修正につながる可能性は低く、場合によっては逆効果になる可能性があるとも述べています。
Anthropic の Claude Myth プレビューに応じて、トランプ政権指導者らは、サイバーセキュリティ・インフラセキュリティ庁の既知の悪用された脆弱性 (KEV) カタログに公開されている一般的な脆弱性とエクスポージャ (CVE) にパッチを適用するための政府機関の標準期限を短縮することを検討していると伝えられています。
ロイター通信の報道によると、CISA指導者と国家サイバー管理局は、標準的なKEV期限を2~3週間ではなく3日に短縮することについて協議したという。
CISAは、KEVのカタログ日付を巡る議論についてのコメント要請に応じなかった。しかし、CISAが5月6日から5月14日までにKEVカタログに作成した4件のエントリーにはすべて3日間の期限があった。
是正スケジュールの加速は多くの連邦政府機関にとって困難となる可能性が高い。国土安全保障省の元最高情報セキュリティ責任者、ヘマント・バイドワン氏は、3日間の期限を守るのは「簡単なことではないだろう」としながらも、「そうならなければならない」と付け加えた。
現在、セキュリティ企業ノックス・システムズの上級CISOを務めるバイドワン氏は、「セキュリティの脆弱性を軽減した後、実際に移行するまで30日、60日、120日待って従来のパッチサイクルを待っている余裕はないと思う」とフェデラル・ニュース・ネットワークに語った。
この緊急性は、クロード神話のプレビューから生じました。しかし、元国家安全保障局サイバーセキュリティ部長のロブ・ジョイス氏は、大規模な言語モデルのせいで「Mythos以前からリスク環境は劇的に変化していた」と述べた。
今週セキュアフレームが主催したウェビナーでジョイス氏は、人工知能システムが「産業規模で」ソフトウェアの脆弱性を発見していると述べた。
「問題に取り組む人が増えたからといって、より早くバグが見つかるわけではない」とジョイス氏は語った。 「発見ループのほとんどが機械で行われるようになったため、より迅速に発見できるようになりました。」
同氏は組織に対し、「既知の脆弱性が悪用される可能性がある」ことを理解しながら、AIが悪用することに長けていることが証明されているレガシーテクノロジーを迅速にアップグレードするようアドバイスした。
「より早く修正する方法を見つけて、こうした有限なシステムを排除してください」とジョイス氏は語った。 「何が使用されているかを示す CISA KEV カタログは、ものが近づいていることを示す大きな赤い点滅ライトです。」
KEV のスケジュールは加速しています
先月の Mythos の暴露以前から、CISA はすでに各機関が KEV が公開した脆弱性にパッチを適用する期限を短縮していました。
2026 年のこれまでのところ、KEV カタログで公開された脆弱性の期限は 14.4 日です。昨年の平均修理時間は 19.7 日でしたが、2024 年の修理時間は平均 20 日を超えました。
CISA は 2021 年に KEV カタログを作成し、連邦政府機関が 1 回限りの緊急指令のみに依存するのではなく、危険なソフトウェアのバグを修正するための反復可能なメカニズムを提供しました。
当初の目標は標準期限を2週間以上とすることでした。しかし、CISAで脆弱性対応部門の課長を務め、現在はセキュリティ企業runZeroで研究担当副社長を務めるトッド・ビアズリー氏によると、当局は多くの政府機関がこれらの期限を守らず、数週間、場合によっては数カ月も遅れていることにすぐに気づいたという。
「逆説的ですが、期限が短いと修理にかかる時間が長くなります」とビアズリー氏は言う。
ビアズリー氏は、「締め切りより早く進めば良い、遅れたら悪いという指標を設定すると、締め切りを過ぎてしまえばもう失敗することはできない」と付け加えた。
CISA は 2022 年から 2025 年の間、ほとんどの CVE を修正する期限を 3 週間に設定しました。ビアズリー氏は、CISAに勤務していた間、当局者らはほとんどの政府機関にとって2~3週間が「スイートスポット」であることに気づいたと述べた。
しかし、今年3月以降、CISAはほとんどのKEV期限を14日に設定し始めた。また、カタログの歴史の中で、パッチの期限が 7 日以内である 61 件の脆弱性のうち、25 件が今年発生しました。
「タイムラインがすでに圧縮されていることは、気づかれていないわけではありません」とビアズリー氏は言う。
公に話す権限がないため匿名を条件に語った連邦最高情報責任者は、修正スケジュールは「可能な限り即時に近づける必要がある」と認めた。政府機関は自動化の利用を増やすなど、「システムの脆弱性の優先順位付けと修復を加速する」必要がある。
しかし同CIOは、政府機関が特定のIT環境内で真に悪用される可能性のある問題に優先順位を付けることが重要だと述べた。
同 CIO は、「タイムラインが速くなるのは問題ありませんが、CVE があるからといって、それが当社に影響を与えるわけではないことも認識しています」と述べました。 「また、すぐに実装できるソリューションがあるという意味でもありません。間接的なレポート作成やデータ通話の追加は、実際には変更されたスケジュールよりも悪いと思います。文字で書くのではなく、実際に作業を行う人々のことを思い出せば、何の問題もないはずです。」
Baidwan 氏は、特に AI によってソフトウェアの脆弱性がすでに増加している分野では、優先順位付けが重要であると述べました。
「それが早くできればできるほど、『CISA、これを3日で解決することはできないが、私はすでにこの緩和策を実装しているので、敵対者が悪用するのはより困難になる』と早く言えます」と同氏は述べた。 「それまでの間、私はすでに自分のリソースを、私たちが本当に脆弱で今日悪用される可能性のある場所を修正することに優先順位を付けています。」
ビアズリー氏は、パッチ管理をうまく行っている政府機関は、自社の環境に何があるかを把握しており、ソフトウェア、特に一部の機関が依存している「風変わりなソフトウェア」の更新と保守に関する戦略を構築する傾向があると述べた。
同氏は、CISAはソフトウェアのライフサイクル管理に関する新しい戦略やベストプラクティスを促進することもできると述べた。
「CISAは、102の機関に助言を与え、時には指導を行うという点で、非常にユニークな立場にある」とビアズリー氏は語った。 「そのうちの 1 つまたは 2 つをリセットすると、秘密裏に実行して、『これが機能していると考えられます。これが機能しないものです。成功している代理店で見られるテクノロジーの習慣は次のとおりです。』というレポートを作成することもできます。」
著作権 © 2026 連邦ニュース ネットワーク。無断転載を禁じます。このサイトは、欧州経済領域内のユーザーを対象としたものではありません。
