何が起きたか
CISAは2026年6月10日にBOD 26-04「リスクに基づくセキュリティ更新の優先順位付け」を発行し、BOD 19-02およびBOD 22-01を廃止した。本ディレクティブは、4つのリスク基準(資産露出、KEVステータス、エクスプロイト自動化、エクスプロイト後の影響)のうち3つ以上を満たす脆弱性を連邦文民機関が3日以内に修復することを要求し、低リスク調査結果の次のアップグレード サイクルへの延期を正式に認める。CISAはパッチリリースとアクティブなエクスプロイテーション間のウィンドウを狭める、AI駆動型の脅威アクターの能力を中心に緊急性をフレーミングしている。機関はパッチング手順の更新に60日間、完全な実装に180日間を有する。
なぜ重要か
これは数年来で最も重要な連邦脆弱性管理改革である。米国政府の時間ベースのパッチングをKEVステータス、EPSS相当の自動化シグナル、資産露出に基づくリスク インテリジェンス モデルに移行させるもので、民間企業および重要インフラ オペレーターがデファクト業界標準として採用する可能性が高い。AI加速型エクスプロイテーションを主要な脅威ドライバーとして明示的に認識することは、CISAがポスト-Mythos世界をパッチング プログラムに構造的な変化を必要とする新しい常識と見なしていることを示唆している。
必要な対応
顧客の現在の脆弱性管理ポリシーをBOD 26-04の4つの基準(資産露出、KEVステータス、エクスプロイト自動化、技術的影響)に対して確認し、現在のSLA構造とのギャップを識別してください。連邦機関はパッチング手順を60日以内に更新する必要がありますが、民間の同業他社は今すぐフレームワークの採用を開始すべきです。