CISA新指令BOD 26-04、KEV×完全制御は3日で対応─AI時代の脆弱性管理とは

「すべての脆弱性を平等に直す時代は終わった」——2026年6月10日に米CISAが発した指令BOD 26-04は、わずか1週間で文書から運用へと姿を変えました。発出後の6月15日・16日に追加された脆弱性には、早くも「BOD 26-04とフォレンジック・トリアージ要件に従って対応せよ」という指示が組み込まれ、最短3日という新ルールが現実に動き始めています。深刻度スコア（CVSS）依存の終わりを告げるこの転換は、なぜ今これほど急がれるのか。本記事では、指令の中身と、AIが攻撃を加速させる時代における意味を読み解きます。

CISAは2026年6月10日、拘束的運用指令BOD 26-04「リスクに基づくセキュリティ更新の優先順位付け」を発出しました。本指令は連邦民間行政機関（FCEB）の情報システムに適用されます。資産の露出、KEVステータス、悪用の自動化、技術的影響の4つの変数に基づき、脆弱性修正の優先度を決定します。

フェーズIは直ちに有効で、CDMダッシュボードを通じた報告の自動化などを求めます。フェーズIIは発出から60日以内、フェーズIIIは発出から180日以内の措置を定めます。本指令は2021年確立のKEVカタログを基盤とし、2019年のBOD 19-02および2021年のBOD 22-01を取り消します。CISAは会計年度ごとに修正期限を再評価します。

From: BOD 26-04: Prioritizing Security Updates Based on Risk | CISA

【編集部解説】

これまでのBOD 22-01は、KEVカタログに載った脆弱性に一律の修正期限を課す仕組みでした。新指令BOD 26-04はここから踏み込み、資産の露出・悪用実績・自動化可能性・技術的影響という4つの変数で危険度を測り、段階的な期限を割り当てます。米国政府が「すべての脆弱性を平等に扱う」前提を、正式に手放したのです。

ここが理解の要です。4つの変数はいずれも「はい／いいえ」の二択で、その組み合わせは合計16通りになります。この16の組み合わせが、最短3日（フォレンジック・トリアージ付き）から「次回のシステム更新時に修正」という事実上の先送りまで、5段階の期限へと振り分けられます。最も厳しい「3日＋フォレンジック・トリアージ」は、KEV掲載・公開露出・完全制御といった高リスク条件が重なった場合に適用されます。さらに、KEV未掲載でも、公開露出・自動化可能・完全制御といった条件がそろえば3日対応の対象になり得ます。「重大なら何でも3日」ではない点は、誤読が広がりやすいので強調しておきます。なお旧BOD 22-01では、2021年以降に採番されたCVEは14日、それ以前のものは6か月という期限が課されていました。新指令はこの一律方式を、危険度に応じた可変方式へと改めたものです。

注目すべきは、この指令がすでに机上の文書ではなくなっている点です。発出後の6月15日・16日にKEVカタログへ追加された脆弱性には、早くも「BOD 26-04とフォレンジック・トリアージ要件に準拠して対応せよ」という指示が組み込まれ、実装ガイダンスへのリンクまで添えられています。制度は告知から運用へと、わずか1週間で移行したのです。

もう一つ注目すべきは、政府が「直ちに直さなくてもよい脆弱性がある」と制度上認めたことです。どの危険条件にも当てはまらない脆弱性は、次回の主要なアップグレードや定期更新まで対応を延期できる——CISA自身が、ある大規模な民間行政機関での初期分析で、3日対応に該当したのは脆弱性インスタンスの1%にすぎず、60%超が延期可能と判定されたと示しています。限られた人員を本当に危険なものへ集中させる、という割り切りです。

なぜ今なのか。背景には、防御側の息切れがあります。2026年版Verizon DBIRを引用したCISAは、2025年にKEV掲載脆弱性のうち完全に修正されたのは26%にとどまり、前年の38%から低下したと指摘しています。脆弱性を解消するまでの期間の中央値は43日に延びました。直すべき脆弱性は増え続け、現場が追いつけなくなっている——これが現実です。

もう一つの動因が、生成AIです。CISAは、攻撃者によるAIの利用が、脆弱性の公開から悪用までの時間をさらに縮めると明言しています。皮肉なことに、この指令が求める「資産の露出状況を常時把握し、期限を動的に追う」運用は、人手だけでは到底回りません。攻撃をAIが加速させ、防御も自動化で応じる——その軍拡競争が、政策の文言として固定化された格好です。

技術史的には、もう一つ静かな転換が起きています。旧BOD 19-02の取り消しにより、連邦政府は脆弱性の優先順位付けにCVSS（深刻度スコア）を用いることを必須としなくなりました。長年デファクトだった「点数の高さ」基準から、「実際に悪用されているか」というSSVCベースの判断へ。一部のベンダーや専門家は「深刻度スコア依存の終わり」とまで評しており、脆弱性管理の世界観そのものが書き換えられつつあります。

影響は連邦政府内にとどまりません。BOD 26-04は民間に強制力を持ちませんが、前身のBOD 22-01が生んだKEVカタログは、世界中の民間企業や同盟国が自発的に使う最も普及した指標になりました。同じ経路をたどれば、この4変数モデルは事実上の国際標準になり得ます。KEVを参照する日本企業にとっても、いずれ無関係ではいられないテーマです。

潜在的なリスクも見ておく必要があります。判断を4変数に委ねるということは、その入力データ——とりわけCISAが供給する悪用・自動化・影響度のメタデータ——の正確さに、防御全体が依存することを意味します。データが遅れたり誤れば、本来3日で対応すべきものが先送りされかねません。しかも、セキュリティ企業Tenableの運用分析では、実際に悪用される脆弱性の83%が攻撃者に「完全な制御」を許すとされ、最短3日＋フォレンジック・トリアージという最上位の負荷は、例外ではなく日常的に発生すると見ておくべきです。「延期可能」と判定された脆弱性が攻撃者の標的になる可能性も含め、割り切りの効率と、取りこぼしの危うさは表裏一体です。

実務に落とすと、段階は日付で押さえておくと分かりやすいでしょう。フェーズIは発出と同時（6月10日）に有効で、各省庁が方針を見直す段階に入っています。脆弱性管理プロセスを更新するフェーズIIは発出から60日、2026年8月7日が期限です。表1の期限に沿った修正と資産タグ付けを求めるフェーズIIIは180日、2026年12月7日にあたります。なお、この期限はFedRAMP認証を受けたクラウドサービスにも波及し、関連ルールの必須化が同年12月7日に前倒しされる見通しです。

長期的にみれば、これは「人間が一つずつパッチを当てる」前提の終焉を告げる指令だと、私たちは捉えています。期限が動的である以上、資産の露出状態を秒単位で追い、Vulnrichmentのデータと突き合わせ続ける仕組みが不可欠になる。脆弱性管理は、判断業務から、機械が回し人間が監督する自動化基盤へと重心を移していくでしょう。Tech for Human Evolutionの視点からいえば、防御の主導権を人間が保ち続けるために、あえて機械に任せる範囲を線引きした——その最初の制度的な一歩として記録される指令になるはずです。

【用語解説】

拘束的運用指令（BOD）
連邦民間行政機関に対してCISA（DHS長官の権限のもと）が発する、法的拘束力を持つ指示である。各省庁は遵守義務を負う。番号は発出年と通し番号で表され、26-04は2026年の4番目を意味する。

FCEB（連邦民間行政機関）
Federal Civilian Executive Branchの略。連邦政府の行政機関のうち、国防・情報機関などを除いた民間の省庁群を指す。本指令の適用対象である。

KEV（既知の悪用された脆弱性）
Known Exploited Vulnerabilitiesの略。攻撃に実際に使われている証拠が確認された脆弱性を指す。CISAはこれらを一覧化した「KEVカタログ」を維持している。理論上の危険度ではなく「現に悪用されているか」を基準にする点が特徴だ。

CVSS（共通脆弱性評価システム）
脆弱性の深刻度を0〜10の数値で示す国際的な評価指標である。長年、優先順位付けの事実上の標準だったが、本指令の前提となった旧BOD 19-02の取り消しにより、連邦政府では必須ではなくなった。

SSVC（ステークホルダー固有脆弱性分類）
Stakeholder-Specific Vulnerability Categorizationの略。CVSSの「点数」ではなく、悪用状況・影響・普及度などから「どう対応すべきか」を判断する意思決定手法である。本指令の修正期限はこの考え方に基づく。

Vulnrichment（ヴァルンリッチメント）
CISAが運営するプログラムで、各CVEについて「KEV該当か」「自動化可能か」「技術的影響はどの程度か」といったメタデータを付与・公開する。本指令の4変数判断のうち3つは、このデータが用いられる。

フォレンジック・トリアージ
システムがすでに侵害されていないかを、痕跡から評価する初動調査を指す。最も危険なティアでは、パッチ適用だけでなくこの調査の実施も求められる。「直すだけでは不十分、もう侵入されている前提で確かめる」という発想だ。

CDM（継続的診断・緩和）プログラム／ダッシュボード
Continuous Diagnostics and Mitigationの略。連邦各省庁の資産や脆弱性の状況を可視化・報告する仕組みである。本指令では、このダッシュボードを通じた自動報告が求められる。

部分的な制御／完全な制御（技術的影響）
攻撃成功後に攻撃者が得る支配の度合いを表す。完全な制御は、ログイン情報の窃取を含め、ソフトウェアの挙動を完全に掌握できる状態を指す。完全な制御は、公開露出やKEV掲載などの条件と重なったとき、最短3日対応を引き起こす中心的な要素となる。

【参考リンク】

CISA｜BOD 26-04: Prioritizing Security Updates Based on Risk（外部）
リスク基準への転換を定めた本指令の一次情報。背景や適用範囲、フェーズ別の必要措置、修正期限までを網羅する公式ページである。

CISA｜Known Exploited Vulnerabilities Catalog（外部）
実際に悪用が確認された脆弱性の一覧。各エントリに本指令準拠の対応指示が記載され、運用が始まっている。

The White House｜Promoting Advanced AI Innovation and Security（外部）
本指令が整合を図るとされるAI関連の大統領令。連邦政府のネットワーク安全確保に向けた優先事項を定める公式の文書である。

Verizon｜Data Breach Investigations Report（DBIR）（外部）
編集部解説で引用した修正率や対応期間の数値の出典である年次レポート。データ侵害の傾向を毎年分析している調査である。

【参考記事】

CISA BOD 26-04: FAQ about the new risk-based patching directive（Tenable）（外部）
4変数16通りを5段階の期限に振り分ける仕組みを詳説。KEV完全修正率26%や対応中央値43日など、本稿の数値の主な出典である。

Operationalize CISA BOD 26-04 with Tenable One（Security Boulevard）（外部）
発出後の運用負荷を分析。悪用CVEの83%が完全制御に至り、3日対応が日常になるとのTenable評価を伝える。

What is CISA BOD 26-04? Prioritizing Security Updates Based on Risk（Nucleus Security）（外部）
4つの判断基準を整理し、全条件を満たす脆弱性は3日以内の修正とフォレンジック・トリアージが要ると解説した記事である。

CISA Requires Federal Agencies to Patch Critical Vulnerabilities Within 3 Days（Cyber Security News）（外部）
最危険の既知悪用脆弱性を3暦日以内に修正させる点を強調し、連邦指令史上最も積極的なパッチ期限と評価する記事である。

CISA Directive Highlights Risk-Based Vulnerability Management（Wiley）（外部）
法律事務所による解説。本指令は実装ガイダンスと共に発出され、各省庁は契約見直しが要る点など適用範囲を整理する。

CISA BOD 26-04 directs agencies to prioritize exploited vulnerabilities（Industrial Cyber）（外部）
攻撃者のAI利用がパッチ公開から悪用までの時間を縮める問題意識を取り上げ、侵害の有無を先に評価する発想を報じる。