米国のBiden(バイデン)政権は、ほぼすべての連邦政府機関に対し、数百におよぶセキュリティバグを修正するよう命じた。それらの中には、10年ほど前に発見されたものも含まれている。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から米国時間11月3日に発令された新たな拘束力のある運用指令では、連邦政府の各機関に対し、ネットワークに「重大な危険」をもたらすと認定された300以上のセキュリティ脆弱性を、6カ月間で修正するよう求めている。ただし、2021年に入ってから見つかったより新しいバグについては、わずか2週間しか修正するための期間が与えられていない。
CISAによると、これらのセキュリティバグは、2014年や2015年にさかのぼるものもあり、連邦機関を狙うサイバー犯罪者にとって「頻繁に攻撃のベクトル」になっているという。
The Wall Street Journal(ウォール・ストリート・ジャーナル紙)が最初に報じたこの指令は、ほとんどの連邦民間機関に適用されるが、軍が運営するネットワークや、国防総省や情報機関の下で運営されるネットワークについては、例外として別個に管理されることになっている。
連邦政府機関は、セキュリティパッチの展開など、サイバーセキュリティへの取り組みの主な管理を任されている。2015年以降、連邦政府機関はまず「重要な」セキュリティバグを公開後1カ月以内に修正することが義務付けられていた。2019年にはそれが拡大され、深刻度の高いバグの修正も含まれるようになった。
しかし、米政府の監視機関は、一部の連邦政府機関がいまだにサイバーセキュリティの基本的な知識を身につけていないと述べている。The Wall Street Journalによると、今回の指令に含まれるバグの多くは、これまで対象となっていなかったもので、一見影響が少ないように見えるバグでも、悪用されれば大きな損害や混乱を引き起こす可能性があることを暗に示している。
「この指令は、連邦民間機関が脆弱性管理を改善し、サイバー攻撃に対するリスクを劇的に減らすために、ただちに行動を起こすべき明確な要件を示しています」と、CISAディレクターのJen Easterly(ジェン・イースタリー)氏は述べている。
「この指令は各連邦民間機関に適用されますが、重要インフラ事業者を含む全国の組織が、同じ脆弱性を利用した攻撃の標的とされていることがわかっています。したがって、すべての組織がこの指令を適用し、CISAの公開目録に挙げられている脆弱性を優先的に緩和することが重要です」と、イースタリー氏はいう。
国家軍事委員会のサイバー小委員会のメンバーであるJim Langevin(ジム・ランゲヴィン)下院議員は、今回のCISAの指令について「ネットワークセキュリティの強化と連邦政府のサイバー衛生の向上に大きく貢献するだろう」と述べている。
画像クレジット:Busà Photography / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)