米CISA62%帰休で脆弱性スキャン停止｜企業が今すべき対策DHS予算失効でサイバー防衛の「盾」が機能低下、企業は自衛策を

米CISAが62%帰休、脆弱性スキャン停止で「攻撃の窓」が開く

米国のサイバーセキュリティ・インフラ庁（CISA）が、2月14日からの国土安全保障省（DHS）部分的政府閉鎖により、深刻な機能低下に陥っています。SecurityWeekの報道によると、職員2,341人中わずか888人（38%）のみが業務を継続し、62%にあたる約1,450人が一時帰休（無給休暇）となりました。連邦ネットワークおよび重要インフラの脆弱性スキャンが停止しており、国家レベルのサイバー攻撃者にとって格好の「攻撃の窓」が開いている状況です。

停止した業務と継続中の業務

今回の政府閉鎖で停止している業務は多岐にわたります。連邦政府ネットワークと重要インフラに対する脆弱性スキャンが完全に停止しているほか、サイバーセキュリティガイダンスの新規策定も止まっています。また、セキュリティ訓練やステークホルダーとの連携活動、新技術の開発・展開も中断されました。さらに、重要インフラサイバーインシデント報告法（CIRCIA）の最終規則策定も停止しており、法制度面での対応も遅延が見込まれます。

一方で、完全に機能停止しているわけではありません。既知の悪用脆弱性（KEV）カタログの維持・更新は継続されており、24時間365日体制のオペレーションセンターも稼働しています。緊急性の高い脅威への対応も行われていますが、人員が限られているため対応能力は大幅に制限されています。Gottumukkala長官代行は「政府が閉鎖しても、サイバー脅威は閉鎖しない」と警告しており、現場の危機感が伝わってきます。

なぜ今、日本企業にとって重要なのか

この問題は米国だけの話ではありません。CISAは世界中のセキュリティ機関と連携しており、日本のNISCやJPCERT/CCとも情報共有を行っています。CISAの機能低下は、脆弱性情報の発信遅延やインシデント対応支援の制限につながり、日本企業のセキュリティ対応にも間接的な影響を与えます。

特に深刻なのは、まさに今、複数のゼロデイ脆弱性への対応が進行中だという点です。Dell RecoverPointのCISA KEV対応期限は2月21日であり、BeyondTrustやChromeのゼロデイ対応も同時進行しています。CISAのガイダンス発行が遅延すれば、企業は独自に判断して対応を進める必要があります。さらに、昨年のトランプ政権下での人員削減で既に約3分の1の職員を失っており、今回の62%帰休と合わせると、CISAは事実上「骨格人員」状態にあります。UNC6201のような国家支援のサイバー攻撃グループにとって、まさに絶好の攻撃機会といえるでしょう。

御社が今すぐ取るべき5つの対策

CISAの機能低下を受けて、日本企業は自社のサイバーセキュリティ体制を見直す必要があります。

第一に、CISA KEVカタログの自主的なモニタリング強化が挙げられます。CISAからのガイダンス発行が遅延する可能性があるため、KEVカタログを定期的に確認し、該当する脆弱性があれば優先的にパッチを適用してください。

第二に、米国パートナー企業との代替連絡手段の確認です。インシデント発生時にCISA経由での情報共有が遅れる可能性を考慮し、直接連絡できる体制を整えておくことが重要です。

第三に、日本国内のセキュリティ機関との連携強化です。NISCやJPCERT/CCとの情報共有チャネルを再確認し、国内の情報ソースを活用する体制を構築しましょう。

第四に、自社の脆弱性スキャン体制の点検です。CISAの脆弱性スキャンに依存していた部分がないか確認し、商用ツールや内製ツールでの補完を検討してください。

第五に、インシデント対応計画の見直しです。米国政府機関からの支援が得られない前提で、自社およびセキュリティパートナーだけで対応できる体制になっているか確認しましょう。

まとめ

米CISAの62%帰休は、サイバーセキュリティの「公共財」が政治的事情で機能不全に陥るリスクを浮き彫りにしました。企業は政府機関への依存度を見直し、自律的なセキュリティ体制を構築する必要があります。特に今は複数のゼロデイ脆弱性が同時進行で対応中であり、待ったなしの状況です。

GXOは、180社以上のセキュリティ支援実績と成功率92%の実績をもとに、脆弱性管理からインシデント対応まで一気通貫でご支援しています。自社のセキュリティ体制に不安がある方は、ぜひお気軽にご相談ください。

GXOに相談する