新しい脆弱性が次々と発見され、悪用までの時間が短く、それらへの可視化が大きく不足しています。
ビジネスのグローバルな相互接続性と、それが使用するシステムおよびソフトウェアは、サプライチェーンおよびサプライチェーン脅威をサイバーセキュリティの最重要課題へと高めました。特に問題なのは、多くの組織が自社のサプライチェーン内での位置を認識していないため、自らの過失がないにもかかわらず被害を受ける可能性があることです。
Black Kiteによる2026年のサプライチェーン脆弱性レポートは、「可視化なき速度は新しいサプライチェーン危機である」という声明で始まります。その分析は3つの主要な結論を提示しています:
- 2025年に48,000件以上のCVEが公開された
- 悪用までの時間は現在マイナスの数値である
- CVEのうち、エンタープライズサプライチェーンに対する真の、発見可能で、悪用可能な脅威と特定されるのはわずか58件である
最初の結論は事実です。2番目の結論は、Black KiteとMandirant(M-Trends 2026:「脆弱性の悪用までの平均時間は推定-7日に低下し、パッチがリリースされる前に悪用が定期的に発生していることを意味する」)の両者に達せられた結論です。
これらの2つの事実を合わせると、企業はCVEへのパッチによるセキュリティ維持は不可能であることが示されます。これがBlack Kiteが「速度」について懸念する理由を説明します。
3番目の結論は、脆弱性の数を管理可能な数に削減するため、脆弱性への「可視化」が必要であることを示しています。
Black Kiteが採用したアプローチは、EPSSスコア、KEVインクルージョン、および第三者関連性に基づいて、優先度の高いCVEのサブセット(1,024件)を選択することでした。しかし、これらのうち、OSINTを通じて攻撃者が容易に発見できるのはわずか58件のCVEであり、したがって最も重要です。これらの最も重要なCVEを見つけることはサプライチェーンセキュリティの主要な可視化の問題です。しかし、それらが見つかれば、速度をより適切に管理できます。
この速度と可視化の問題は2025年の問題でしたが、今後悪化する可能性があります。AIは直接的および間接的な原因要因の両方です。第一に、2026年中、フロンティアモデルAIは過去数年で発見されたよりもより多くの脆弱性を見つけることは確実です。第二に、容易にバイブコーディングされた新しいアプリケーションの急速な増加は、より多くの弱点を持つより多くのアプリケーションを導入しています。第三に、AIの影響を受けた増加したソフトウェア更新の頻度は、後で悪用される可能性のある悪意のあるnpm作成ソフトウェアの弱点を含む可能性が高くなっています。
これに、Black Kiteのシニアバイスプレジデントおよびサイバーリスク戦略家であるJeffrey Wheatmanが4つ目を追加します。「我々が見ている多くのエージェント的成長は、これらのツールが認可、認証、およびアクセスを付与されているため、追加の露出につながっていると思います。」これにより可視化の問題が増加します。なぜなら、IT部門とセキュリティ部門が、インフラストラクチャで使用されているエージェント的システムを認識していないからです。それらはダウンロードされたウェブアプリに隠され、開示されていない可能性があります。または、シャドウAIを通じて静かに導入される可能性があります。
脆弱性の数は増加し続け、悪用までの時間は縮まり続けます。「数字はどんどん増加していると思います」とWheatmanは続けます。しかし、彼は1つの希望的なポイントを追加します。「良いニュースは、このの大部分は効果的にバックグラウンドノイズであるということです。例えば、Mythosによって発見された脆弱性に関するすべての騒ぎの中で、OpenBSDで27年前のバグを見つけることに焦点が当たっていました。そうですね。しかし、それは侵害される可能性がありますか?実際には、実用的な方法ではありません。」
そこで、Black Kiteの初期の前提に戻ります。脆弱性の数は増加し続け、侵害までの時間は縮まり続けます。脆弱性の速度は悪化し、組織はより対応できなくなります。可視化を通じて、焦点を当てる本当に重要な脆弱性の比較的少数を特定できない限りです。
Wheatmanは、防御的なAIが支援できることに楽観的です。ここで最大の問題は、脅威の速度の増加が、完全に自律的な防御的AIへの依存の増加を早すぎる原因となるかどうかです。サイバーセキュリティの質問でよくあるように、答えは状況によるです。
「CrowdStrike事件を思い出してください」と彼は提案します。Windows システムの Falcon Sensor への不正な設定更新は、CrowdStrike の Rapid Response Content システムを通じて自動的に展開され、約 850 万の Windows システムがクラッシュしました。
「私が聞いた大きな質問」と彼は続けます。「自動更新をオフにすべきですか?」というものでした。なぜなら、それがその問題の原因となったからです。私が聞いた決定は、これらの自動更新がいくつかのリスクをもたらすことは確かですが、署名を更新しないこと、それらの定義、その発見、その識別能力を更新しないことは、はるかに高いリスクであるということです。
しかし、それはまだ状況によります。「銀行は、給与計算システムよりも取引システムの自動シャットダウンを許可する傾向が低くなります。シャットダウンの1時間ごとに数百万ドルのコストがかかる可能性があるからです。」このような状況は、最終決定を下すために人間がループ内にいることを要求する可能性があります。人員リソースが少なく、セキュリティ予算が低い小さな企業は、脆弱性の速度に対応し、その重要性への可視化の欠如に対応するために、完全に自律的な防御に向かう可能性が高くなります。
再び、使用されているソフトウェアへの可視化の欠如は大きな問題です。これはソフトウェアサプライヤーによって提供されるSBOMsを通じて提供されるべきですが、その完全性、正確性、値は現在議論の余地があります。SBOMsはソフトウェアの脆弱性の詳細を提供すべきですが、提供しますか?「AI SBOMsについてもっと聞き始めていますが、それはある種の聖杯です。しかし、それはまだ1年以上先です」とWheatmanは追加します。
結局のところ、すべてはBlack Kiteの元の前提に帰着します。可視化なき速度は新しいサプライチェーン危機であり、その可視化を得ることが解決策を提供するのに役立つでしょう。
