何が起きたか
CISAは2026年6月10日にBinding Operational Directive 26-04「リスクに基づくセキュリティアップデートの優先順位付け」を発行し、BOD 19-02およびBOD 22-01に置き換わります。このディレクティブは、すべての連邦文民行政機関(FCEB)に対して、最も重大なカテゴリの脆弱性を3暦日以内に修復することを義務付けています。これは以前のタイムラインから大幅な短縮であり、AI加速型の悪用によって明示的に促進されています。ディレクティブは4つのリスク基準を確立しています:公開開示ステータス、KEVリスティング、攻撃者自動化の可能性、および攻撃者が資産の制御を獲得できるかどうかです。3日間のウィンドウは、最高リスク閾値を満たす脆弱性に適用されます。
なぜ重要か
BOD 26-04はバインディング連邦セキュリティディレクティブであり、AI対応の脅威加速を中心に明示的に構成されています。最も重大な欠陥に対する連邦パッチウィンドウを3日に圧縮しています。これは商用オペレーターと重要インフラプロバイダーが対応する圧力に直面する標準です。また、AIを搭載した攻撃者がマシンスピードで動作することをCISAが正式に認めていることを示しており、すべてのセクターにおいてより厳しいタイムラインを正当化しています。このディレクティブは、連邦ビジネスを維持するために、連邦請負業者とベンダーが独自のパッチ管理にアプローチする方法に影響を与えます。
必要な対応
FCEB機関は、最高リスク脆弱性に対する3日間の修復ウィンドウを直ちに実装する必要があります。連邦請負業者とベンダーは、BOD 26-04のタイムラインに適合するよう、脆弱性開示とパッチサポートSLAを見直すべきです。商用組織は、新しい連邦標準に対して独自のパッチケーデンスをベンチマークすべきです。