何が起きたか
CISAは2026年6月10日に拘束的運用指令26-04「リスクに基づくセキュリティ更新の優先順位付け」を発行し、BOD 19-02およびBOD 22-01を廃止しました。この指令は、連邦文民行政部門(FCEB)のすべての機関に対して、最も重大なカテゴリーの脆弱性を3暦日以内に修復することを義務付けています。これは以前のタイムラインから大幅な圧縮であり、AI加速型の悪用によって明示的に推進されています。この指令は4つのリスク基準を確立します:公開開示状況、KEV登録、攻撃者の自動化可能性、および攻撃者が資産の制御を獲得できるかどうかです。3日間のウィンドウは、最高リスク閾値を満たす脆�lite性に適用されます。
なぜ重要か
BOD 26-04は拘束的な連邦セキュリティ指令であり、AI対応の脅威加速を中心に明示的に枠組みされています。最も重大な欠陥に対して、連邦パッチウィンドウを3日間に圧縮しています。これは商用事業者と重要インフラプロバイダーがマッチするプレッシャーに直面する標準です。また、AI搭載の攻撃者がマシン速度で動作することをCISAが正式に認識しており、すべてのセクターにわたってより厳しいタイムラインが正当化されることを示しています。この指令は、連邦ビジネスを維持するために、連邦請負業者とベンダーが独自のパッチ管理にアプローチする方法に影響を与えます。
必要な対応
FCEB機関は、最高リスク脆弱性に対する3日間の修復ウィンドウを直ちに実装する必要があります。連邦請負業者とベンダーは、脆弱性開示とパッチサポートのSLAを見直し、BOD 26-04のタイムラインに合わせて調整する必要があります。商用組織は、独自のパッチ頻度を新しい連邦標準と比較検討する必要があります。