米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は10月3日(米国時間)、「CISA Directs Federal Agencies to Improve Cybersecurity Asset Visibility and Vulnerability Detection|CISA」において、拘束力のある運用指令(BOD: Binding Operational Directive)23-01「米国連邦ネットワークにおける資産の可視化と脆弱性検出の改善」を発行したと伝えた。これは、すべての米国連邦民間行政機関(FCEB: Federal Civilian Executive Branch)に対してネットワーク上に存在するものをより適切に報告させるために発行されたもの。

  • CISA Directs Federal Agencies to Improve Cybersecurity Asset Visibility and Vulnerability Detection|CISA

    CISA Directs Federal Agencies to Improve Cybersecurity Asset Visibility and Vulnerability Detection|CISA

CISAは過去数年にわたり、連邦政府民間ネットワークが直面するリスクの可視性を高めることを急務として取り組んでいたが、SolarWindsデバイスの機器を標的とした侵入キャンペーンによってギャップがあることが明らかとなった。そこで、すべての米国連邦民間行政機関に対して、そのネットワーク上の資産と脆弱性を特定し、定められた間隔でCISAにデータを提供する基本要件を確立するためにこの司令を発行したとされている。

「拘束力のある運用指令(BOD: Binding Operational Directive)23-01」の詳細は、専用のWebページにて公開されている。

この指令の実施により、米国連邦政府全体の資産と脆弱性に対する可視性が大幅に向上し、その結果、CISAおよび各機関によるサイバーセキュリティ事件の検出、防止、対応能力が向上し、サイバーセキュリティリスクの傾向がより理解されるようになると説明されている。