拘束力のある運用指令26-04「リスクに基づくセキュリティ更新の優先度付与について」 見出しへのリンク

2026年6月10日

このページには、サイバーセキュリティ・社会基盤安全保障庁による拘束力のある運用指令26-04「リスクに基づくセキュリティ更新プログラムの優先度付け」のWeb閲覧しやすい版を掲載しています。

拘束力のある運用指令は、連邦の情報及び情報システムを保護する目的の、連邦・行政府の省庁及び機関に対する法的義務を伴う指令です（合衆国法典第44編第3552条第(b)項第(1)号）。合衆国法典第44編第3553条第(b)項第(2)号は、国土安全保障省（DHS: Department of Homeland Security）長官に、行政管理予算局（OMB: Office of Management and Budget）長官が発行するサイバーセキュリティのポリシー、原則、標準及び指針を実施するための拘束力のある運用指令を策定し、その実施を監督する権限を与えています。連邦機関は、合衆国法典第44編第3554条第(a)項第(1)号(B)(ii)に基づき、これらの指令に準拠する必要があります。これらの指令は、法律で定義された「国家安全保障システム」、又は戦争省若しくは情報機関によって運用される特定のシステムには適用されません（合衆国法典第44編第3553条第(b)、(d)、(e)項第(2)号及び第(3)号）。本指令では、適用対象となるシステムを「連邦文民行政機関（FCEB: Federal Civilian Executive Branch）」システム、それらのシステムを運用する当局を「連邦文民行政機関」当局と呼びます。

背景 見出しへのリンク

米国は、公共部門、民間部門、そして究極的には米国民のセキュリティとプライバシーを脅かす、持続的でますます巧妙化する悪意あるサイバー活動に直面している。連邦政府は、連邦エンタープライズ全体の情報技術資産のセキュリティを確保することにより、これらの活動に対する保護の取組みを強化する必要がある。

サイバー脅威主体はパッチ未適用の脆弱性を悪用しており、それらによるAIの利用によって、パッチの公開から悪用の可能性が生じるまでに防御側が対応するのに与えられた時間がさらに短くなる可能性がある。そのため、米国のネットワークを堅牢化し、パッチ適用ポリシーを含むサイバーセキュリティ慣行が現代のますます巧妙化するサイバー脅威に対処できるよう、直ちに行動する必要がある。このアプローチでは、全ての脆弱性及びシステムを同等に扱うのではなく、最もリスクの高い領域にパッチ適用の取組みを集中させる。

既知の悪用された脆弱性は、機密情報の窃取、運用の妨害及び国家安全保障の弱体化を目的に米国の重要インフラへの侵害を試みる国家支援を受ける者を含む、悪意あるサイバー主体による頻出の攻撃ベクターである。これらの脆弱性は、政府機関及び連邦エンタープライズに重大なリスクをもたらす。

2021年、CISAはBOD 22-01に基づく既知の悪用された脆弱性カタログを確立し、政府機関に対して、既知の悪用された脆弱性（KEV: Known Exploited Vulnerabilities）を積極的に修復し、連邦資産を保護し、サイバーインシデントを削減するよう指示した。本指令は、CISAのKEVカタログを発展させ、低リスクの脆弱性に対する措置を延期する一方、高リスクの脆弱性に効率的に優先度を付与して適時に措置を講じることで、連邦政府全体の任務即応性を向上させる。脆弱性修復の緊急度（表1「修復期限」を参照）は、次の変数に基づいて決定される。

1. 資産の露出（Asset Exposure）: 脆弱な資産は対外公開されているか。
2. KEV状況（KEV Status）: 共通脆弱性識別子（CVE: Common Vulnerabilities and Exposures）のIDで識別される脆弱性は、CISAの既知の悪用された脆弱性カタログに掲載されているか。
3. 悪用の自動化（Exploit Automation）: 敵対者は、脆弱性を悪用するために必要な手順の全てを自動化できるか。
4. 技術的影響（Technical Impact）: 脆弱性の悪用後、敵対者が脆弱な資産で奪取するのは部分的制御か完全な制御か。

CISAは、Vulnrichmentプログラム等のサービスを通じ、全てのCVE IDについて、KEV状況、悪用の自動化及び技術的影響に関する回答を公表する。政府機関は、資産の露出を判断し、脆弱な資産が対外公開されているかを判定するため、CISAのインターネット露出縮小指針に従うべきである。さらに、CISAは、政府機関による本指令の実施を支援するため、実施指針「リスクに基づくセキュリティ更新の優先度付与」を策定した。

本指令の要件は、連邦情報資源の管理ポリシーを確立する行政管理予算局（OMB）通達A-130「戦略的資源としての情報の管理」¹と整合している。同通達は、堅牢な脆弱性管理慣行、継続的監視要件、及び2014年連邦情報セキュリティ近代化法（FISMA: Federal Information Security Modernization Act）²に基づくCISAとの連携を重視している。本指令はまた、大統領令「高度な人工知能のイノベーション及びセキュリティの促進」³及び米国サイバー戦略に定められた、連邦政府ネットワークを保護するための優先事項を推進する。本指令に示す措置は、連邦資産をより積極的に強固にし、サイバーインシデントのリスクを軽減するための重要な第一歩である。本指令は、BOD 19-02「インターネットアクセス可能なシステムに対する脆弱性修復要件について」（2019年4月29日）及びBOD 22-01「既知の悪用された脆弱性の重大なリスクの軽減について」（2021年11月3日）に優先し、それによりこれらを廃止する。本指令は、連邦機関がサイバーセキュリティの脆弱性に対処するための脆弱性修復指針を統合し、明確化する。

本指令における定義 見出しへのリンク

• 資産（Asset）: 情報システムを構成するハードウェア又はソフトウェアの品目。⁴
• 対外公開（Publicly exposed）: 物理的又は論理的な場所にかかわらず、インターネット等の公開ネットワークを介し、認証されていない又は信頼されていない主体がアクセスできる、機関所有又は機関管理のIT資源。
• 部分的制御（Partial control）: ⁵ 次のいずれかに該当する状態。悪用により、脅威主体が脆弱性を含むソフトウェアの挙動を限定的に制御できる、若しくはその情報を露出させられる状態、又は悪用により、脅威主体が低い確率的機会により完全な制御を得られる状態。この文脈における「低い」とは、物理的又はセキュリティ上の障害を克服して完全な制御を得るために、脅威主体が合理的な回数の試行を行えないことを意味する。サービス拒否攻撃は、脆弱なコンポーネントの挙動に対する限定的制御の一形態である。
• 完全な制御（Total control）: ⁶ 悪用により、ログイン認証情報が安定して明らかになる場合を含め、敵対者がソフトウェアの挙動を完全に制御できる状態。

適用範囲 見出しへのリンク

本指令は、通達A-130で「機関が使用若しくは運用する、又は機関に代わって別の主体が使用若しくは運用する情報システムであって、機関の情報を収集、処理、保管、伝送、発信、又はその他の方法で保持するもの」と定義される、全ての「連邦情報システム」内の機関資産に適用される。適用される調達契約に定めがない限り、本指令は請負業者には適用されない。ただし、FCEB当局は、契約担当官と協議のうえ、本指令の要求事項に準拠するために必要な変更を判断するため、全ての契約を見直さなければならない。

連邦リスク承認管理プログラム（FedRAMP: Federal Risk and Authorization Management Program）認定環境を含む第三者環境でホストされる連邦情報システムについて、各機関は、それらのシステムの目録を維持し、本指令に関する状況更新を取得し、協調的な継続的監視を通じて要件への準拠を確保する責任を負う。

FedRAMP認定のクラウドサービスオファリングについて、機関は、本指令への準拠を確保するためFedRAMPプログラムマネジメントオフィス（PMO: Program Management Office）を通じて対応しなければならない。FedRAMP認定を受けていないクラウドオファリングについて、機関は、それを支えるクラウドサービスプロバイダ（CSP: Cloud Service Provider）のインフラが本指令と同じ要件に従い、全ての逸脱が適切に文書化され、顧客機関に伝達されることを確保するため、CSPと直接連携しなければならない。

本指令に定めるその他全ての規定は、引き続き適用される。

要求措置 見出しへのリンク

フェーズI — 即時発効とし、機関は次を実施すること 見出しへのリンク

1. 本指令に従って機関の脆弱性管理ポリシーを見直し、必要に応じて更新するとともに、更新したポリシーを実施するために必要な手順を改訂する。CISAから要求された場合、機関はこれらのポリシー及び手順の写しを提供する。機関のポリシーには、少なくとも次を含めなければならない。

   1. CISAがKEVカタログへの掲載を通じて連邦エンタープライズに重大なリスクをもたらすと識別した脆弱性について、本指令に基づきCISAが設定した期間内に継続的に修復するプロセスを確立する。
   2. 本指令の求めに従い機関の活動を執行するための役割と責任を割り当てる。
   3. 本指令が求める活動への迅速な対応を可能にするために必要な活動を定義する。
   4. 本指令の遵守を確実なものとするための内部検証・強制手順を確立する。
   5. 本指令の遵守状況を評価し、必要に応じてCISAに報告するために、内部の追跡・報告要件を設定する。

2. KEVカタログの更新を監視し、KEV修復期限に従って脆弱性を積極的に軽減する。

3. 常時診断・緩和（CDM: Continuous Diagnostics and Mitigation）ダッシュボードを通じた自動報告により、KEVカタログに掲載された脆弱性の状況報告を自動化する。

   1. CDMプログラムを通じた脆弱性報告を完全には自動化していない機関は、隔週で状況を手動報告しなければならない。

4. サイバーハイジーン診断を継続する。

   1. サイバーハイジーンの送信元IPアドレスを拒否リストから削除する。
   2. 四半期に一度、又はCISAから要求された際に、サイバーハイジーンの適用範囲変更プロセスを通じて、機関の対外公開IPアドレス及び機関所有のドメイン名を更新・証明する。この証明には、IPアドレス及びドメイン名のあらゆる変更、並びに前四半期から追加又は削除された全ての資産を記載した一覧を含めるものとする。
   3. CISAから要求された場合、指定された経路を通じて、更新したサイバーハイジーン受入書を提出する。

フェーズII — 発行後60日以内 見出しへのリンク

5. CVEデータベース（又は同じデータを提供するサービス）及びKEVカタログで識別された脆弱性に基づく継続的な脆弱性修復を支援するため、機関の脆弱性管理プロセス及び手順を更新する。要求事項1に定めるとおり、CISAから要求された場合、政府機関は更新した脆弱性管理方針及び手順の写しを提供する。

フェーズIII — 発行後180日以内 見出しへのリンク

6. 各脆弱性を可及的速やかに、かつ表1「修復期限」に定める期限までに修復する。

7. 機関ネットワークの外部から到達可能で、ルーティング可能なIPアドレスを使用する、機関所有の全資産を継続的に識別し、タグ付けする。

   1. CDMプログラムを通じた脆弱性報告を完全には自動化していない政府機関は、CISAが承認した機械判読可能な形式及びCISAの報告指示に従い、この情報を7日ごとにCISAへ定期報告しなければならない。

   2. タグには次の情報を含めなければならない。

      1. 組織及び下位組織（機関／下位機関）
      2. 環境（本番／開発）
      3. 露出（対外公開／内部）
      4. 資産種別（サーバ、アプリケーション又はネットワーク機器）

8. 政府機関は、ワークステーション、サーバ、モバイル機器、クラウド資産、プリンタ及びその他のネットワーク接続資産を含め、CDM連邦ダッシュボードに報告される全ての資産に、RFC 1918（IPv4）又はRFC 4193（IPv6）のプライベートIPアドレスを含む、関連する全てのIPアドレスが確実に含まれるようにするものとする。

CISAの措置 見出しへのリンク

1. cisa.gov/known-exploited-vulnerabilities-catalogで既知の悪用された脆弱性のカタログを管理し、認識及び活動させるために更新プログラムについて機関に注意喚起する。カタログを可及的速やかに更新し、CISAが新たなKEVを識別する速度に対応した頻度で更新を確実に公開できるようにする。
2. cisa.gov/known-exploited-vulnerabilitiesで、KEVカタログに脆弱性を含めるための条件を管理する。
3. 現在Vulnrichmentプログラムで提供しているように、認定データ公開者（ADP: Authorized Data Publisher）の仕組み⁷を通じて、CVEデータベースに脆弱性のメタデータを提供する。
4. 本指令及び実施指針、又は関連するKEVエントリ固有の「注記」欄で共有される、適切な「フォレンジックトリアージ」に該当する措置に関する指針を維持する。
5. 付録A「脆弱性対応期限」の表1「修復期限」に定める期限に従い、サイバーハイジーン診断の結果及び脆弱なシステムの状況について、連邦機関に定期報告する。
6. 60日以内に、機関が標準化されたデータスキーマを使用して、マシン単位の資産タグ付け情報を提供する方法を示すデータ要件を公開する。
7. 本指令の発行後、必要に応じて、サイバーセキュリティ全般の状況変化を考慮して本指令を見直し、連邦情報システムに関する追加のベストプラクティスを盛り込むため実施指針を更新する。
8. 年度ごとに一度、表1「修復期限」に定める優先度付けの期限について、正式かつデータ駆動型の再評価を実施する。技術又は敵対者の進歩により期限をさらに短縮する必要があるかを判断するため、事例研究による評価を継続的に実施する。
9. 各年度末までに、国土安全保障省長官、OMB長官及び国家サイバー長官に対し、本指令の実施に関する政府機関横断の状況及び未解決の問題を示す状況報告書を提出する。
10. CISAウェブサイト、緊急指令、及びCyberDirectives@cisa.dhs.govへの要求に応じた個別対応を通じて、機関に追加指針を提供する。

追加情報 見出しへのリンク

cisa.gov/news-events/directivesを参照するか、次の連絡先に問い合わせること。

• 一般情報、支援及び報告 — CyberDirectives@cisa.dhs.gov
• 侵害指標（IOC）の報告 — central@cisa.dhs.gov

有用なリソース:

• CISAの既知の悪用された脆弱性カタログ[^訳2]を参照する。
• 脆弱性がKEVカタログに追加された際に注意喚起を受信するため、電子メール更新に登録する。
• 次の詳細を確認する。
  • CISAのサイバーハイジーンサービス
  • 利害関係者固有脆弱性分類（SSVC: Stakeholder-Specific Vulnerability Categorization）
  • CISAが脆弱性のトリアージに使用する情報
  • 既知の悪用された脆弱性の判断基準
• CISAのVulnrichmentプログラムを通じて公開されるCVE IDのメタデータを参照する。

付録A: 脆弱性対応期限 見出しへのリンク

連邦機関は、表1「修復期限」に詳述する期限に基づいて脆弱性を修復しなければならない。

表1「修復期限」は、単一システムにおける脆弱性の悪用状況、安全性への影響及び影響を受ける製品の普及状況を考慮した脆弱性分析手法をサイバーコミュニティに提供する、SSVCシステムに基づいている。

技術的影響は、悪用後に敵対者が影響を受ける資産の制御をどの程度奪取できるかを示すものであり、共通脆弱性評価システム（CVSS: Common Vulnerability Scoring System）の基本値における「深刻度」の概念に類似する。技術的影響を評価する際は、スコープの定義が特に重要である。

表1: 修復期限 見出しへのリンク

#	対外公開†	KEV掲載*	敵対者が自動化可能か*	技術的影響*	機関の修復期限（暦日）
1	はい	はい	はい	完全な制御	3日及びフォレンジックトリアージ
2	はい	はい	はい	部分的制御	3日
3	はい	はい	いいえ	完全な制御	3日及びフォレンジックトリアージ
4	はい	はい	いいえ	部分的制御	14日
5	はい	いいえ	はい	完全な制御	3日
6	はい	いいえ	はい	部分的制御	14日
7	はい	いいえ	いいえ	完全な制御	14日
8	はい	いいえ	いいえ	部分的制御	60日
9	いいえ	はい	はい	完全な制御	3日及びフォレンジックトリアージ
10	いいえ	はい	はい	部分的制御	14日
11	いいえ	はい	いいえ	完全な制御	14日
12	いいえ	はい	いいえ	部分的制御	14日
13	いいえ	いいえ	はい	完全な制御	60日
14	いいえ	いいえ	はい	部分的制御	60日
15	いいえ	いいえ	いいえ	完全な制御	システム更新時に修正
16	いいえ	いいえ	いいえ	部分的制御	システム更新時に修正

アスタリスク（*）が付された要素は、CISAがVulnrichmentプログラムを通じて、CVE IDを持つ全ての脆弱性についてCVEデータベースに提供する。

短剣符（†）が付された要素は、参加政府機関に対してCISAサイバーハイジーンプログラムから提供される場合、又は第三者の資産管理若しくは脆弱性管理サービス若しくはスキャナによって収集若しくは提供される場合がある。

表中の用語は、次を意味する。

1. 日数は暦日である。
2. CISAは、CVE IDによってサイバーセキュリティの脆弱性を識別する。
3. CVE IDのインスタンスを含むことが検知された各資産について、表1「修復期限」に定める期限内に脆弱性を修復（すなわち、パッチ適用、システムの廃棄又はその他の措置により脆弱性を除去）しなければならない。⁸
4. 「及びフォレンジックトリアージ」とは、政府機関が期限（3日）内に修復又は緩和措置を完了し、そのシステムが侵害されているかを評価するため、資産のフォレンジックトリアージを実施しなければならないことを意味する。適切なフォレンジックトリアージは、実施指針のフォレンジックトリアージ指針に従う。⁹
5. 各資産の期限は、事実関係の変化に応じて動的に変わる。例えば、システムをインターネットから切り離すことは有効な緩和策の一つである。この措置により、「対外公開」の値は「はい」から「いいえ」に変わり、修復等の追加措置に必要な期限は後ろ倒しになる。一方、CISAがKEVに掲載されていなかった脆弱性をKEVへ追加した場合、措置の期限は表1に従って短縮される。
6. 表1に定める期限は、(1) CISAが脆弱性をKEVカタログへ追加した時点、又は (2) BOD 23-01に従い、政府機関が資産上の脆弱性を列挙若しくは識別し、継続的診断・軽減（CDM）プログラムの政府機関・連邦ダッシュボードを更新した時点の、いずれか早い時点から開始する。
7. システム更新時に修正とは、上記第5項に記載したように状況が変化しない限り、脆弱な資産が予定された次回の大規模更新又は再構築を受ける際に、その脆弱性を修復するべきであることを意味する。
8. KEV掲載とは、そのCVE IDがKEVカタログに登録されていることと定義する。CISAが脆弱性をKEVカタログに掲載する判断基準に変更はない。
9. 対外公開は、本指令の適用範囲内の資産が、その物理的又は論理的な場所にかかわらず、インターネット等の公開ネットワークを介して、認証されていない又は信頼されていない主体からアクセス可能な場合は「はい」、それ以外の場合は「いいえ」と定義する。CISA又は政府機関は、資産又は資産群が一般公開されているかを判断するため、CISAのCDMプログラム及びサイバーハイジーンサービス等、相互に重複する複数のシステムを使用できる。いずれかの方法によりシステムが一般公開されていることが判明した場合、この判断項目の値を「はい」に設定するべきである。
10. 敵対者が自動化可能か（「自動化可能性」と略す）及び技術的影響は、Vulnrichmentプログラムに記載されているとおり定義する。具体的には、Vulnrichmentプログラムが現在使用している定義は、GitHub CERTCC/SSVCに記載されている。

表1は下図と同等である。