何が起きたか
CISAは2026年6月10日にBOD 26-04「リスクに基づくセキュリティアップデートの優先順位付け」を発行し、BOD 19-02およびBOD 22-01に代わるものとなった。この指令は、連邦民間機関に対し、4つのリスク基準のうち3つ以上を満たす脆弱性(資産露出、KEVステータス、エクスプロイト自動化、悪用後の影響)を3日以内に改善することを要求し、低リスク調査結果の次のアップグレードサイクルへの延期を正式に認めている。CISAはパッチ公開と実際の悪用の間のウィンドウを狭める、AI駆動の脅威アクター機能の周辺の緊急性を明示的に枠組みしている。機関は60日以内にパッチング手順を更新し、180日以内に完全実装する必要がある。
なぜ重要か
これは数年間で最も重要な連邦脆弱性管理改革である。米国政府が時間ベースのパッチングからリスク・インテリジェンスモデルへ移行し、KEVステータス、EPSS相当の自動化シグナル、および資産露出に基づくモデルとなる。このモデルは、商用企業および重要インフラストラクチャ運用者が事実上の業界標準として採用される可能性が高い。AI加速型エクスプロイテーションを主要な脅威ドライバーとして明示的に認識することは、CISAがMythos後の世界をパッチングプログラムに構造的変化を必要とする新しい常態と見なしていることを示唆している。
必要な対応
クライアントの現在の脆弱性管理ポリシーをBOD 26-04の4つの基準(資産露出、KEVステータス、エクスプロイト自動化、技術的影響)に対して確認し、現在のSLA構造からのデルタを特定する。連邦機関は60日以内にパッチング手順を更新する必要があるが、商用ピアは今すぐフレームワーク採用を開始すべきである。