Cloud Security Allianceが実施した902名のITおよびセキュリティ専門家を対象とした調査によると、過去1年間に10社中8社が、すでに自社チームが把握していた脆弱性に起因するアプリケーションセキュリティ上の被害を経験していたことが明らかになりました。このパターンは業界全体に共通する構造的な問題を示しており、欠陥の発見から本番環境での修正完了までの間隔が、攻撃者が行動するには十分な長さにわたって開いたままになっています。
AIを活用したアプリケーションコンポーネントのランタイム動作に関する、あなたの組織の可視性を最もよく表しているのはどれですか?(出典:CSA)
国家脆弱性データベース(NVD)は2025年に4万件を超えるCVEを登録しており、VulnCheckは開示後数日以内に悪用活動が確認された事例を記録しています。さらに、Mythosと呼ばれるものを含む、機械的なスピードで実用的なエクスプロイトを生成できるフロンティアAIシステムの登場により、この窓はさらに狭まっています。本番環境に未解決の脆弱性を抱えるあらゆる組織にとって、運用上のリスクはいっそう高まっています。
日単位で測るパッチ適用の遅れ
多くの組織では、クリティカルおよび高深刻度の欠陥を、発見から1〜7日以内に修正しています。24時間以内に対応を完了できる組織はごくわずかで、大多数が複数日にわたる範囲に集中しており、問題が深刻化するのもまさにこの段階です。
対応速度は結果と強い相関関係があります。対応に4〜7日かかる組織では、ほぼすべての組織が過去1年間に既知の脆弱性によるインシデントを経験しています。一方、1〜3日以内に対応するチームでは、その割合が大幅に低下します。既知の脆弱性の修正に数日を要する組織の多くが、最終的にインシデントとして経験することになっています。
組織内での意見の不一致がプロセスをさらに遅らせています。脆弱性の関連性や悪用可能性をめぐる対立は、全体の約3分の1の事例で発生しています。遅延の主な理由として最も多く挙げられたのは、アプリケーション機能や業務運営への影響を懸念する声であり、回答者の約半数がこれを指摘しています。
本番環境で続発するインシデント
本番前のセキュリティツールは広く普及しています。静的アプリケーションセキュリティテスト(SAST)はほとんどの組織で導入されており、Webアプリケーションファイアウォール(WAF)や動的アプリケーションセキュリティテスト(DAST)も一般的に利用されています。それにもかかわらず、回答者の80%が過去1年間に少なくとも1件のアプリケーションセキュリティインシデントを経験していました。
本番環境でインシデントを経験した組織では、2つの失敗パターンにほぼ均等に分かれています。約半数のケースでは、問題が本番前の検出をまったく免れていました。残りの半数では、脆弱性はリリース前に特定されていたにもかかわらず、本番環境に達していました。現在の戦略がAI駆動の攻撃対象に対しても十分機能すると自信を持っている回答者でさえ、本番環境での迂回率は90%を超えていました。上流戦略への自信が、運用上の実態を変えることはありません。
本番稼働するAIコンポーネントと後追いの監視体制
10社中7社が、AIを活用したアプリケーションコンポーネントを本番環境で稼働させています。導入状況は二極化しており、そのうちの半数は現時点でセキュリティ上の懸念はほとんどないか、まったくないと回答しています。残りの半数は、現実的な懸念を抱えながらAIコンポーネントを運用しています。
これらのコンポーネントに対するランタイム監視は、導入の進展に追いついていません。回答者の半数は、AIランタイムの可視性についてインシデント発生後に完全に監査可能な状態と説明しています。さらに4分の1はログが部分的または不完全であると回答し、リアルタイムの可視性を持つ組織は5分の1にも満たない状況です。多くの組織にとって、現時点でのAI監視とは事後に何が起きたかを再構成することを意味しています。
求められる機能:悪用可能性の証明
本番環境における潜在的なリスクを調査する際、回答者の半数以上が最大の課題として「悪用不可能または低リスクの検出結果から実際の脅威を区別する能力」を挙げています。優先順位付けが2番目に続き、人員と技術力の不足はリストの下位にとどまりました。
修正対応に最も役立つものを回答者が挙げた際にも、同じパターンが見られました。主な要望は、「本番環境において脆弱性が実際に悪用可能であることの証明」「コードを即座に変更せずにリスクを封じ込める能力」「影響を受ける正確なコードパスとデータフローの可視性」の3点でした。人員の増強は再び下位にとどまっています。両方の質問を通じて、課題は人員や体制の問題ではなく、検出結果を実行可能なリスクに変換するためのランタイム上のエビデンスにあることが示されています。
ブロッキングへの期待が現状の制御への信頼を上回る
組織の約4分の3が、誤検知を最小限に抑えつつ本番環境でのエクスプロイトを確実にブロックできる仮想パッチ制御の利用に前向きまたは非常に前向きであると回答しています。しかし、現在の導入状況はそのレベルに達していません。アプリケーション層の攻撃を自動的にブロックするようWAFを設定している組織はごく一部にとどまっており、多くはより保守的な運用モードを採用しています。よく理解されたパターンのみをブロックするか、主にアラートモードで運用するか、ログ取得のみに制御を限定しているのが実情です。
保守的な設定が採用される理由は運用上のものです。回答者の多数が挙げた主な懸念点は、安全なブロッキング判断を下すために必要なアプリケーションレベルのコンテキストが不足していることです。ビジネスクリティカルな機能への影響への懸念や、チューニングとメンテナンスの負担も上位の反対理由として挙げられています。本番環境における異常なアプリケーションの動作を少なくとも月に1回は説明しきれないと感じているチームは、全体の約半数に上ります。
本番環境へとシフトする投資意向
組織の約半数が、今後24ヶ月間に本番前のセキュリティへの投資を拡大する計画を持っています。それに近い42%がランタイムセキュリティへの投資増加を計画しており、本番前のセキュリティが依然としてリードする中でも、支出の優先順位に変化が生じていることを示す数字です。
予算に関する見通しは依然として一致していません。ランタイムセキュリティについては、予測が増加・横ばい・減少のほぼ均等に分かれています。AIセキュリティの予算でも同様の分布が見られ、今後12〜24ヶ月間での減少を見込む回答者が最も多い割合を占めています。現在のAIおよびエージェント型セキュリティへの支出は、セキュリティ予算全体の6〜20%程度が典型的ですが、本番環境防御における競合するニーズからの圧力にさらされています。
翻訳元: https://www.helpnetsecurity.com/2026/06/03/csa-application-security-incidents/
