eSecurity Planetのコンテンツおよび製品に関する推奨事項は、編集部として独立した立場で作成されています。掲載リンクを経由してご購入いただいた場合、当社は収益を得ることがあります。 詳細はこちら
脆弱性スキャンやシフトレフト型セキュリティへの長年の投資にもかかわらず、既知の脆弱性が引き続き本番環境でのセキュリティインシデントを引き起こしています。これはCloud Security Allianceが公表した『2026 State of Modern Application & AI Security Report』が明らかにしたものです。
AIが脆弱性の発見とエクスプロイト開発の両方を加速させる中、攻撃者に悪用される前に露出の窓を狭めるよう、組織へのプレッシャーは高まり続けています。
「今回の調査で発生したインシデントの多くは、組織が既に把握していた脆弱性に起因しています。つまり、必ずしも検出の失敗ではなく、修正対応のスピードの問題なのです」と、Cloud Security AllianceのリサーチAVP(副部門長)であるHillary Baron氏はeSecurity Planetへのメールで述べています。
同氏はさらに、「AIが開示から積極的な悪用までの期間を短縮する中、組織が既知の露出をどれだけ迅速に解消できるかが、アプリケーションセキュリティにおける最も重要な変数の一つになりつつあります」と付け加えました。
アプリケーション & AIセキュリティ報告書の主要ポイント
- 既知の脆弱性は依然としてセキュリティインシデントの主な原因であり、過去1年間に既知の脆弱性が関与したアプリケーションセキュリティインシデントを1件以上経験した組織は80%に上ります。
- 「パッチギャップ」が引き続きリスクを生み出しており、重大な脆弱性を24時間以内に修正できる組織はわずか9%にとどまる一方、74%の組織は1〜7日を要しています。
- AIが脆弱性の発見とエクスプロイト開発を加速させており、開示から悪用までの時間が短縮し、セキュリティチームへのプレッシャーが増しています。
- ランタイムセキュリティが優先事項として浮上しており、70%の組織がAI搭載コンポーネントを本番環境で稼働させているものの、そのランタイム動作をリアルタイムで把握できている組織はわずか18%です。
2026年版モダンアプリケーション & AIセキュリティ報告書の詳細
900人以上のサイバーセキュリティ専門家を対象とした同報告書によると、現代のアプリケーションセキュリティ対策が広く普及しているにもかかわらず、既知の脆弱性は依然として深刻なセキュリティインシデントの原因となっています。
過去1年間に既知の脆弱性が関与したアプリケーションセキュリティインシデントを少なくとも1件経験したと回答した組織は80%に上り、そのうち約半数(45%)は、当該脆弱性がデプロイ前に既に確認されていたにもかかわらず本番環境に到達したと答えています。
検出だけでは不十分
これらの調査結果は、脆弱性の検出と修正対応の間に広がる乖離を浮き彫りにしています。
組織はシフトレフト型セキュリティへの取り組みと、SAST、DAST、ソフトウェアコンポジション解析(SCA)などのツールに多大な投資を行っており、脆弱性の特定そのものはもはや主たる課題ではありません。
問題は、どの欠陥が最大のリスクをもたらすかを迅速に判断し、攻撃者に悪用される前に修正できるかどうかという点に移っています。
パッチギャップ
この問題の主な要因は、セキュリティ専門家が「パッチギャップ」と呼ぶもの、すなわち脆弱性の発見から修正プログラムの展開までの期間です。
調査対象組織のうち、重大な脆弱性を24時間以内に修正できると回答したのはわずか9%であり、約4分の3(74%)は1〜7日を要すると答えています。
この遅延は、深刻な結果をもたらす可能性があります。
重大な脆弱性の修正に4〜7日かかった組織では、過去1年間に既知の脆弱性に関連するインシデントの発生率が97%に達しており、比較的短い修正期間であっても攻撃者に悪用の機会を与え得ることが示されています。
報告書は、課題はもはや単に脆弱性を発見することではなく、本番環境で実際に悪用可能なものを見極めることにあると指摘しています。
回答者の過半数(54%)が、アプリケーションセキュリティリスクを調査する際の最大の障壁として、実際の脅威と理論上の検出結果を区別することを挙げています。
脆弱性の未対応リストが増え続ける中、セキュリティチームは修正の優先順位付けと、実際に武器化される可能性が最も高い脅威へのリソース集中のために、ランタイムのコンテキストと悪用可能性データをますます必要としています。
AIがもたらす新たなセキュリティと可視性の課題
AIはこの課題をさらに困難にしています。
報告書は、AI搭載技術が脆弱性の発見とエクスプロイト開発の両方を加速させ、開示から悪用までの時間を短縮していると指摘しています。
攻撃者がマシンの速度で脆弱性を特定し武器化する能力を獲得するにつれ、組織は脅威の先を行くために十分な速さでシステムにパッチを当てることがますます困難になりつつあります。
同時に、AIの導入は防御側にとって新たな可視性の課題も生み出しています。
組織の70%が本番環境でAI搭載コンポーネントを稼働させていると回答したにもかかわらず、そのランタイム動作をリアルタイムで把握できている組織はわずか18%にとどまっています。
多くの組織は依然としてインシデント後の事後監査や不完全なロギングに頼っており、発生中の不審な活動をリアルタイムで検知する能力が制限されています。
AI駆動のアプリケーションがより自律的かつ動的になるにつれ、従来の監視アプローチではリアルタイムで悪用の試みを特定するために必要なコンテキストを提供できなくなる可能性があります。
ランタイムセキュリティの重要性の高まり
これらの課題に対処するため、ランタイムの可視性、悪用可能性の検証、迅速な緩和能力が、現代のアプリケーションセキュリティプログラムに不可欠な要素となっています。
アプリケーションやAIシステムが本番環境でどのように動作するかを可視化できなければ、組織は正当な活動と悪意ある動作を区別したり、実際のリスクに基づいて脆弱性の優先順位を付けたりすることが困難になる可能性があります。
報告書ではまた、73%の組織が、恒久的な修正が展開される間のリスク軽減策として仮想パッチソリューションの採用を検討していることも明らかになっています。
組織がアプリケーションセキュリティリスクを低減するための方策
報告書は脆弱性の修正対応とランタイムセキュリティにおける課題を浮き彫りにする一方で、組織がリスクを軽減するために取れる具体的な手順についても知見を提供しています。
セキュリティチームは、修正対応期間の短縮、本番環境への可視性向上、そして従来型およびAI駆動型の脅威に対する防御強化に注力すべきです。
- 重大な脆弱性の迅速な修正対応を優先する。特に、実際の悪用事例や公開されている概念実証(PoC)コードが存在するものを優先的に対処してください。
- ランタイム監視・検知機能を実装することで、アプリケーションやAIコンポーネントの動作への可視性を高め、インシデントに発展する前に脅威を特定します。
- 仮想パッチと補完的な制御を導入する。Webアプリケーションファイアウォール(WAF)、ランタイムアプリケーション自己保護(RASP)、侵入防止システムなどを活用し、恒久的な修正が開発中の間の露出を低減します。
- リスクベースの脆弱性管理を採用し、重大度スコアだけでなく、悪用可能性・資産の重要度・ビジネスへの影響・実際の露出状況に基づいて修正の優先順位を付けます。
- 不要なサービスの削除、露出したAPIのセキュリティ確保、安全な設定の徹底、サードパーティおよびオープンソースの依存関係の継続的な監視により、攻撃対象領域を縮小する。
- 最小権限のアクセス制御、ネットワークセグメンテーション、強化された監視を通じてアーキテクチャを強化し、侵害が成功した場合の影響範囲を限定します。
- ソフトウェアサプライチェーン攻撃や重大な脆弱性の悪用に関するシナリオを用いて、インシデントレスポンス計画をテストし、攻撃シミュレーションツールを活用します。
積極的な脆弱性管理、ランタイム保護、インシデント対応への備えを組み合わせることで、組織全体の露出リスクを低減できます。
アプリケーションセキュリティの再考
従来のアプリケーションセキュリティプログラムは、コードスキャン、テスト、その他のデプロイ前の管理手段を通じて、脆弱性が本番環境に到達することを防ぐことに重きを置いてきました。
しかし、悪用までのタイムラインが縮小し続け、アプリケーション環境がより複雑になるにつれ、組織はデプロイ後に何が起きるかにより大きな重点を置くようになっています。
従来のデプロイ前の管理手段を超えてセキュリティを強化しようとする組織の中には、ゼロトラストソリューションを活用して可視性の向上、アクセスの制限、攻撃成功時の影響範囲の縮小を図るところも出てきています。
