2つのレポートは対照的な視点を示しています。一方はセキュリティチームが本当に必要とするものをツールが提供できていないと指摘し、もう一方はツールは存在しているが適切に管理されていないと主張しています。
サイバー犯罪の産業化が、サイバー防御を圧倒しようとしています。このプロセスはChatGPTが登場する以前から始まり、AI時代の到来によって一気に加速し、現在は「ポスト・Mythosの時代」として特徴づけられています。防御側がパフォーマンスを向上させなければ、戦場を敵に明け渡すことになりかねない時代です。アプリケーションが戦場となり、AI支援による攻撃の速度・規模・巧妙さは、封じ込めが困難な状況となっています。
「AIは単に脆弱性を増やしているだけではありません。既知の脆弱性を十分な速度で修正できないという企業の実態を、白日の下にさらしているのです」と、Miggo SecurityのCEO兼共同創業者であるDaniel Shechter氏は説明しています。「長年にわたり、セキュリティプログラムの評価基準は、ソフトウェアのリリース前にどれだけリスクを発見できるかにありました。MythosのようなフロンティアAIは、その問いかけ自体を変えています。攻撃者が公開情報からエクスプロイトまでを数時間で実現できるなら、取締役会やCISOは、ビジネスがどれほどの期間リスクにさらされ続けるか、そして迅速かつ効率的に緩和するために何ができるかを理解する必要があります。」
Miggoの委託を受け2026年6月2日に公開されたクラウドセキュリティアライアンス(CSA)の『現代アプリケーションとAIセキュリティの現状』レポート(PDF)は、この新たな現実を裏付け、詳しく説明しています。CSAは900名以上のサイバーセキュリティリーダーを調査し、ポスト・Mythosの時代における脆弱性が本番前フェーズをすり抜けている実態と、82%の組織が効果的なランタイム可視性を欠いていることを明らかにしました。
「真の課題はアプリケーションが本番環境に入ってから始まります。セキュリティチームは、どのエクスポージャーが本当に悪用可能かを迅速に判断し、最も重要なリスクを優先し、攻撃者に悪用される前に対応しなければなりません」と、Miggo SecurityのCEO兼共同創業者であるDaniel Shechter氏は述べています。
侵害の多くは、既知の脆弱性によって引き起こされています。調査対象企業の80%が、過去1年間に既知の脆弱性を含むインシデントを少なくとも1件経験しています。既知の脆弱性であればほぼ確実にパッチ適用が可能ですが、ポスト・Mythosの時代では対処すべきパッチの数が多すぎます。最大の課題は、どの脆弱性が実際に悪用可能であり、最も緊急にパッチを必要としているかを見極めることです。
重大な脆弱性を24時間以内に修復できる組織はわずか9%に過ぎず、74%は1〜7日を要しています。パッチ適用までの時間は極めて重要で、4日以上かかった組織のインシデント発生率は97%に達したのに対し、3日以内の組織では67%でした。これは、パッチ適用の速度を高めるとともに、悪用可能な脆弱性をより正確に把握する必要があること、そして理想的にはその両方を実現することが求められていると示唆しています。
侵害の戦場と称されるランタイムでは、状況はさらに複雑かつ緊急性を帯びます。多くの組織は、被害が発生した後に事後検証を行って初めて何が起きたかを把握できます。73%の組織は誤検知を最小限に抑えられるという確信があれば仮想パッチを採用すると回答していますが、WAFを自動ブロックに設定しているのはわずか17%で、その理由としてアプリケーションコンテキストの不足を挙げた組織は56%に上ります。
こうしたランタイムの課題を背景に、42%の組織が今後数年間でランタイム監視と保護への投資を増やす意向を示しています。しかし、予防は常に治療に勝るという観点から、投資の大部分(52%)はCI/CDビルド保護などの本番前フェーズに引き続き集中しています。
潜在的な解決策は明確です。脆弱性の悪用可能性に対する可視性の向上と、対象アプリケーションおよびビジネスの安定性への影響に関する包括的なコンテキスト理解が深まれば、多くの脆弱性に対して自律的なパッチ適用が可能となり、自動ブロックの拡大にも自信を持って取り組めるようになります。
同じく2026年6月2日に公開されたFireMon Insightsの別レポートは、セキュリティバリアとしてのファイアウォールの自動利用に対する懸念は理解できるものの、少なくとも部分的には人間による監視の不足に起因していると指摘しています。FireMonはファイアウォール全般について論じていますが、同じ原則はWAFにも当てはまります。
「ファイアウォールの複雑性は、もはや単なる運用上の問題ではありません。それはコントロールの問題です」と、FireMonのCEOであるJody Brazil氏は述べています。「セキュリティチームはファイアウォール、クラウド、セグメンテーションプラットフォームに多大な投資を行っていますが、ポリシーのコントロールがなければ、それらの環境を安全に管理することは困難になります。問題はもはやツールの不足ではありません。運用上のコントロールの欠如こそが問題なのです。」
レポートは、手動によるポリシー管理は非効率であり、高深刻度のポリシー障害が長期間にわたって放置され、未使用・冗長なルールによってさらに悪化するという環境が主な要因となって、攻撃対象面全体のリスクが急速に拡大し続けていると結論付けています。
FireMonは、ファイアウォール自体の能力よりも、人間による管理の失敗を問題視しています。例えば、ファイアウォールルールの45%は所有者またはドキュメントが不明で、17%は冗長またはシャドウ化されており、69%は未使用の状態です。
「ファイアウォールの複雑性は、もはや単なる運用上の問題ではありません。それはコントロールの問題です」とBrazil氏は重ねて述べています。「セキュリティチームはファイアウォール、クラウド、セグメンテーションプラットフォームに多大な投資を行っていますが、ポリシーのコントロールがなければ、それらの環境を安全に管理することは困難になります。問題はもはやツールの不足ではありません。運用上のコントロールの欠如こそが問題なのです。」
これはファイアウォールのより効果的な活用に向けた方向性を示してはいますが、コンテキストを無視したブロッキングルールがビジネス運営に悪影響を及ぼす可能性への懸念——それはアプリケーションセキュリティ改善の核心にある問題です——については論じられていません。
しかし、この2つのレポートは若干食い違いを見せています。CSAレポートはセキュリティツールが本当に必要な解決策を提供できていないことが問題であると示唆しているのに対し、FireMonレポートはツールは既に存在しているが適切に管理されていないと主張しています。
