米国政府機関にネットワークの可視性と脆弱性について報告する義務、CISA

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は10月3日(米国時間)、「CISA Directs Federal Agencies to Improve Cybersecurity Asset Visibility and Vulnerability Detection｜CISA」において、拘束力のある運用指令(BOD: Binding Operational Directive)23-01「米国連邦ネットワークにおける資産の可視化と脆弱性検出の改善」を発行したと伝えた。これは、すべての米国連邦民間行政機関(FCEB: Federal Civilian Executive Branch)に対してネットワーク上に存在するものをより適切に報告させるために発行されたもの。

CISAは過去数年にわたり、連邦政府民間ネットワークが直面するリスクの可視性を高めることを急務として取り組んでいたが、SolarWindsデバイスの機器を標的とした侵入キャンペーンによってギャップがあることが明らかとなった。そこで、すべての米国連邦民間行政機関に対して、そのネットワーク上の資産と脆弱性を特定し、定められた間隔でCISAにデータを提供する基本要件を確立するためにこの司令を発行したとされている。