CISA BOD 26-04が示す新常識:脆弱性の「CVSSスコア依存」「全件対応」からの脱却 ―本当に危ないものを優先する運用へ
-
│
3行でわかる本記事のサマリ
- CISA BOD 26-04は、米国の連邦政府機関に対し、セキュリティパッチの適用についてリスクに基づく優先順位付けを求める、拘束力のある運用指令です。
- 最大のポイントは、CVSSスコアを優先順位付けの主軸として使わないことです。外部公開、KEV掲載、悪用の自動化、技術的影響の4つの観点で、対応期限を定めています。
- 本指令の対象は米国政府機関ですが、官民問わず参考になる考え方です。日系組織にとっても、外部公開資産を正確に把握し、本当に危ないものから対処する「現実的なリスクベースの脆弱性対応・セキュリティ運用」へ移行していくことが重要です。
はじめに
脆弱性管理は「全部見る」から「本当に危ないものを見極める」段階へ
脆弱性管理の現場では、以前から下記のような悩みをたびたび耳にします。
「脆弱性が多すぎて、どこから手を付ければよいかわからない」
「CVSSが高いものから対応しているが、現場が回りきらない」
「本当に攻撃されやすいものを優先できているのか、自信がない」
こうした課題が続く中、脆弱性の公開件数は急増し、攻撃者による調査・悪用のスピードは速くなっています。従来の「CVSSスコアが高いものから順に対応する」運用を続ける組織では、今後、優先順位付けや対応判断がさらに難しくなります。
2026年6月に米国CISAが、BOD 26-04: Prioritizing Security Updates Based on Risk を発令しました。BOD 26-04は、セキュリティパッチの適用についてリスクに基づく優先順位付けを求める、拘束力のある運用指令です。「すべての脆弱性を同じように扱う」のではなく、「攻撃される可能性と影響が大きいものから対処する」ための運用ルールであり、単なるパッチ適用期限の見直しではありません。
対象は米国政府機関のため、日系組織に直接適用される指令ではありませんが、記載されている考え方は、これからの脆弱性管理を考えるうえで参考になる点が多くあります。
本記事では、BOD 26-04の要点と、CVSS依存からリスクベース運用への転換を解説します。また、2026年6月14日から5日間にわたり米国デンバーで開催されたFIRST(Forum of Incident Response and Security Teams)*の、第38回年次カンファレンス「FIRST Conference 2026」に参加した弊社メンバーが、現場で聞いた各国の有識者の反応などについても紹介します。
*FIRST(Forum of Incident Response and Security Teams):各国のCSIRT/CERTなどインシデント対応・セキュリティチーム間の連携と情報共有を目的とする国際組織
目次
- BOD 26-04とは何か:適用範囲を正しく理解
- なぜ今、BOD 26-04が必要になったのか
- BOD 26-04が示す最大の転換:「CVSS依存」からの脱却
- BOD 26-04の対策を回すための運用モデル:ROC(Risk Operation Center)
- リスクベース運用の第一歩は、なぜEASMなのか
- まとめ:日系組織が学ぶべき2つのポイント
1.BOD 26-04とは何か:適用範囲を正しく理解
BOD 26-04は、CISAが発令したBinding Operational Directive、つまり拘束力のある運用指令です。
対象は、米国のFederal Civilian Executive Branch(FCEB)、日本語では連邦文民行政機関と呼ばれる政府機関の情報システムです。民間企業や日本企業に直接の法的義務があるわけではありません。それでも、BOD 26-04を「米国政府向けの指令」として片付けてしまうには惜しいほど、実務で参考になる考え方が多く含まれています。
この指令では、従来のようにCVSSスコアや一律の期限だけで脆弱性対応を進めるのではなく、資産の露出状況、既知悪用の有無、攻撃の自動化可能性、技術的影響を組み合わせて、対応期限を決める考え方が示されています。
BOD 26-04は、過去の指令であるBOD 19-02・BOD 22-01の考え方を統合し、「インターネットに出ているから危ない」「KEVに載っているから危ない」という個別判断を、より体系化したものと見ることができます。
- BOD 19-02:インターネットからアクセス可能なシステムの脆弱性対応
- BOD 22-01:CISA KEVカタログに掲載された既知悪用脆弱性への対応
- BOD 26-04:外部公開、KEV、悪用自動化、技術的影響を組み合わせたリスクベース対応
2.なぜ今、BOD 26-04が必要になったのか
BOD 26-04が出てきた背景には、脆弱性管理を取り巻く環境の変化があります。
大きな変化の一つが、CVE件数の急増です。FIRSTが2026年6月15日に公開した中間予測で、2026年のCVE件数が約66,000件に達する可能性を示しました。これは2月時点の予測を46.3%も上回るペースで、年間のCVE件数が7万件に迫るのは史上初めてです。
AIによって脆弱性の発見が加速し、例えば、これまで見つけきれなかった古いソフトウェアの欠陥や、埋もれていた脆弱性が掘り起こされる可能性が高まっています。攻撃者も同じようにAIを使い、脆弱性の発見から悪用コードの作成までを高速化させています。FIRSTも、今後はAIによる悪用コードの生成とAIによる修正の競争が、2026年後半のセキュリティ動向を象徴する動きの一つになると指摘しています。
さらに重要なのは、脆弱性の母数は増えているものの、KEV(CISAが公開する実際に悪用が確認された脆弱性のカタログ)やEPSS(FIRSTが提供する悪用される確率を予測するスコア)で見た「本当に悪用される可能性が高いもの」まで同じペースで増えているわけではない、という点です。つまり、脆弱性の発見件数が急増する中で、本当に対応すべきリスクを見極めること自体が難しくなっているともいえます。だからこそ、悪用の実態に基づいて優先順位を付ける重要性がさらに増しています。
2026年6月に開催されたFIRST Conference 2026でも、この点は大きなテーマでした。弊社メンバーも参加し、現地で世界各国のCSIRT担当者に話を伺うと、課題は「検知できるか」にとどまらず、検知した情報をどう処理し、誰と連携し、どの順番で対処するかという運用全体に広がっていることが分かりました。
この章のポイント:必要なのは、増え続ける情報の中から、本当に危ないものを早く見つけ、対処へつなげる仕組み
3.BOD 26-04が示す最大の転換:「CVSS依存」からの脱却
BOD 26-04の最大の転換は、CVSSスコアを優先順位付けの主軸として使わないことです。
もちろん、CVSSそのものが不要になるわけではありません。CVSSは、脆弱性そのものの技術的な深刻度を把握するための指標として参考情報となります。ただし、CVSSだけでは「自社にとって本当に危ないか」を判断できません。
たとえば、CVSSが高くても、外部から到達できない内部環境の資産であれば、攻撃される可能性は限定的かもしれません。逆に、CVSSが中程度でも、インターネットに公開され、すでに悪用が確認され、攻撃が自動化しやすい脆弱性であれば、最優先で対応すべきです。
BOD 26-04では、以下の4つの属性でリスクを判断します。
|
判断軸 |
見るポイント |
|---|---|
|
Asset Exposure |
資産がインターネット等に外部公開されているか |
|
KEV Status |
CISA KEVカタログに掲載されているか |
|
Exploit Automation |
攻撃の自動化が可能か |
|
Technical Impact |
悪用時に完全制御、または部分制御に至るか |
また、BOD 26-04は「危なそうなものから対応する」という曖昧な判断ではなく、明確な判断軸に基づいて具体的な期限を定めています。対応期限は、大きく次の4段階に整理できます。
|
対応区分 |
主な条件のイメージ |
求められる対応 |
|
Critical |
KEV掲載、外部公開または自動化可能、完全制御に至る |
3日以内+フォレンジックトリアージ |
|
High |
外部公開、KEV掲載、自動化、完全制御のうち複数条件に該当 |
3日以内、または14日以内 |
|
Medium |
一部のリスク条件に該当するが、最重要・高には至らない |
60日以内 |
|
Low |
外部公開なし、KEVなし、自動化困難 |
次回システム更新時に修正 |
特に注目すべき点は、最も重大なリスクに対して「3日以内の対応」と「フォレンジックトリアージ」が求められていることです。これまでの単にパッチを適用すれば完了という運用ではなく、重大度の高いリスクに関してはパッチ適用の前後で、すでに侵害が発生していないかを確認する必要があります。
攻撃者がすでに侵入している場合、パッチを適用しても侵害が解消されるとは限らず、Webシェル、バックドア、不正アカウント、盗まれた認証情報などが残っていれば、修正後も被害が継続する可能性があります。
このようにBOD 26-04は、CVSSスコア順に対応していく運用ではなく、攻撃者から見て到達できるか、すでに悪用されているか、攻撃が自動化されるか、侵害された場合の影響が大きいかで判断する運用です。
この章のポイント:CVSS ベースの優先順位付けを主軸にする時代は終わりつつある。BOD 26-04 では、外部公開、KEV、自動化、技術的影響という 4 属性で、対処期限まで定めている
4.BOD 26-04の対策を回すための運用モデル:ROC(Risk Operation Center)
ここからは、BOD 26-04そのものの解説から一歩進み、これらをどのように実務に落とすかを解説します。
弊社では従来から、現実的なリスクベースのセキュリティ運用が重要だと考え、その考え方を自社開発サービス「ANTERAS ASM」のリスク評価ロジックにも反映してきました。BOD 26-04が示す方向性は、こうした弊社の問題意識とも重なります。そして、こうした運用を継続的に回す仕組みとして注目しているのが、ROC(Risk Operation Center)というコンセプトです。皆さんもよくご存知のSOCは、侵入後の検知やインシデント対応を担う一方で、ROCは、攻撃が起きる前にリスクを可視化し、優先順位を付け、対処を進める役割を持ちます。
BOD 26-04を実務に落とし込むには、単発のパッチ対応ではなく、継続的にリスクを見つけ、優先順位を付け、対処を進める運用モデルが必要となり、ROCへの理解を深めることは、BOD 26-04の考え方を現場の運用に具体化するうえで有効な手がかりになります。
BOD 26-04の考え方をROCの運用に落とし込むと、次のように整理できます。
- 脅威情報を継続的に収集・把握する
- 自社資産を継続的に把握・更新する
- リスクベースで優先順位付けする
- 対処を推進する
SOCは、侵入後の検知、分析、対応、復旧において今後も不可欠です。ただし、外部公開資産の脆弱性や設定不備、漏洩認証情報、未管理資産といった侵入の「火種」が多すぎると、SOCはノイズに埋もれてしまい、運用が回らなくなります。ROCは、その前段で火種を減らす役割を果たし、本当に危ない資産を先に見つけ、優先順位を付け、対処を動かすことで、SOCが重要なアラートに集中できる状態を作ります。
この章のポイント:BOD 26-04を実務に落とすには、パッチ担当だけでは不十分。脅威情報把握、資産把握、優先度付け、対処推進を体系的に回すROC的な運用が必要
5.リスクベース運用の第一歩は、なぜEASMなのか
では、ROCでリスクベースの運用を始めるにあたり、日系組織はまず何から取り組むべきでしょうか。BOD 26-04の4属性のうち、最初に出てくるのがAsset Exposureです。警察庁のレポートにおいても、外部公開資産(VPN・RDP)による侵入は過去5年の合計で80%以上を占めています。そこでまず取り組むべきは、EASM(External Attack Surface Management)で、外部から見える攻撃対象領域を継続的に把握し、管理することです。
BOD 26-04型の運用に必要なのは、以下のような資産も含め、自組織が把握できていない外部公開資産を網羅的かつ正確に発見できるEASMです。
- 海外拠点が独自に公開している資産
- グループ会社や関連会社のドメイン
- 委託先が管理する環境
- 放置されたサブドメイン
- クラウド上の公開設定ミス
- 管理画面、VPN、テスト環境などの見落とされやすい資産
よくある誤解として、「ASMを入れているから大丈夫」というケースがありますが、既知資産をスキャンし、CVSS順にアラートを並べるだけでは、BOD 26-04が求めるリスクベース運用には届きません。本質的なEASMの価値は、未把握資産を洗い出し、脅威情報と照合し、優先順位付けを行うことで、その後の対処までつなげることです。
この章のポイント:EASMは、BOD 26-04型のリスクベース運用の入口。見えていない資産は、優先順位付けも、パッチ適用も、侵害調査も実施できない
6.まとめ:日系組織が学ぶべき2つのポイント
BOD 26-04から、日系組織が学ぶべき点は大きく2つあります。
ポイント1:外部公開資産の網羅的な把握
まずは、いまランサムウェアの主要な侵入口となっている外部公開資産を把握するところから始めましょう。
自組織の担当者がすべての外部公開資産を把握できているとは限りません。例えば、会社の備品を棚卸する際に、別拠点の倉庫や過去プロジェクト用の保管棚から、台帳に載っていない備品が発見されることがあります。同じように、海外拠点、グループ会社、委託先、クラウド環境、買収企業が持っていた古いドメイン、過去プロジェクトのテスト環境なども、同じように管理台帳外に残りやすい資産です。
攻撃者から見れば、それが本社管理か、海外拠点管理か、委託先管理かは関係なく、インターネットから見えていて、攻撃できるようであれば、そこが入口になります。
ポイント2:本質的なリスクから対応
もう一つは、脆弱性対応の順番を変えることです。
これまで、全件対応やCVSSが高いものを優先する運用だった場合は、以下のBOD26-04と同じ観点で優先順位を決めるよう見直すことを推奨します。
- 外部から到達できるか
- すでに悪用されているか
- 攻撃が自動化しやすいか
- 侵害時の影響が大きいか
- 事業上重要な資産か
- すぐにパッチを当てられない場合、代替策が取れるか
- すでに侵害されている可能性を確認できるか
これは、単なるセキュリティ製品の導入ではなく、運用の設計そのものです。
EASMで資産を見つけ、脅威情報と突き合わせてリスクベースの優先度付けを行い、対処まで推進する流れを持てるかどうかが、今後の侵入リスクの差に影響します。これを機に、自組織の資産把握と優先順位付けを見直してみてはいかがでしょうか。
この章のポイント:日系組織がまず見るべきは、外部公開資産の抜け漏れと、優先順位付けの基準です。BOD 26-04は、その両方を見直すきっかけになります。
関連ウェビナーのご案内
BOD 26-04でも重視される「外部公開資産の把握」と「リスクベースの優先順位付け」をテーマに、ANTERAS ASMをご紹介します。この機会にぜひご視聴ください。
開催日時:2026年07月14日(火) 11:00~11:30(受付開始10:45)
形態:オンライン(無料/事前登録制)
➡お申込みはこちら
関連資料のご案内
ASMについてもっと詳しく知りたい方に向けて、資料を無料提供しています。
ANTERAS ASM(旧Macnica ASM)の概要や導入事例など、ASMの検討に役立つ情報が満載です。
今すぐ、下記のリンクからダウンロードしてください。
ANTERAS ASMについて、詳しくはこちら
お問い合わせはこちら
参考情報
- CISA:BOD 26-04: Prioritizing Security Updates Based on Risk
- CISA:BOD 26-04 Implementation Guidance for Prioritizing Security Updates Based on Risk
- FIRST:FIRST Mid-Year Vulnerability Forecast Confirms Historic Surge, Projects ~66,000 CVEs in 2026
- FIRST:The 2026 Vulnerability Forecast Update: Navigating the AI Epoch
- 警察庁サイバー警察局:令和7年における サイバー空間をめぐる脅威の情勢等について
- マクニカネットワークスブログ:ランサムウェア攻撃に先回り!インシデントリスクを最小化する「ROC」とは
- マクニカネットワークスブログ:脆弱性対処の優先順位を決める"脱CVSS"のススメ
