**CISAのBOD 26-04**は、以前の指令である**BOD 19-02**および**BOD 22-01**に取って代わるもので、連邦システム全体におけるサイバーセキュリティ脆弱性への対応における緊急性の高まりを示しています。この指令は、4つの主要な考慮事項に基づいた優先順位付けによる、段階的な修正アプローチを導入しています。 * アセットがオンラインで公開されているかどうか。 * 脆弱性が**CISAの既知の悪用脆弱性（KEV）**カタログに存在するかどうか。 * 大規模攻撃のために脆弱性の悪用を自動化できるかどうか。 * 脆弱性の悪用が攻撃者にシステムの部分的または完全な制御を付与するかどうか。 これらの要因に応じて、各機関は厳格な期限に直面します。公開されており、**KEV**カタログに存在し、自動化された完全なシステム制御を可能にする最も重要な脆弱性は、3日以内に修正する必要があります。自動化された悪用が不可能であるか、部分的な制御しか提供しない、それほど緊急性の高くない状況には、2週間の期間が与えられます。  *脆弱性修正期間 出典：CISA* ### スコープと実装 **BOD 26-04**は、米国の連邦民間執行機関（FCEB）およびその情報システムを対象としています。これには様々な政府部門が含まれますが、一部の軍事システム、民間企業、情報コミュニティのシステム、および請負業者は除外されます。 その直接的な対象範囲にもかかわらず、この指令は前例となり、より広範なサイバーセキュリティ業界に影響を与え、すべてのセクターにおけるパッチ適用の優先順位について明確なシグナルを提供すると予想されています。この義務は、すべてのオンプレミス連邦システム、サードパーティホストシステム、およびFedRAMPおよび非FedRAMPクラウド環境にまで及びます。 各機関は現在、**BOD 26-04**に準拠するために脆弱性管理ポリシーを更新し、アセットインベントリを強化し、**KEV**ステータスレポートを自動化する必要があります。60日以内に、脆弱性管理プロセスは、修正決定のために**CVE**および**KEV**データを利用するように更新されなければなりません。180日以内に、すべての機関は新しい修正期間に完全に準拠し、継続的な監視と詳細なアセットメタデータレポートを実装する必要があります。