2025年、AIの進化により攻撃者は脆弱性を悪用しやすくなっています。一方で、企業はシャドーIT、サプライチェーンリスク、拡大するクラウドインフラなど、さまざまな要因によって攻撃対象領域の拡大に直面しています。
これらの課題に直面し、防御側はどれだけ対応できているのでしょうか?データは一部の分野での進展を示す一方で、脅威環境全体の圧力が限られたセキュリティチームに過度な負担をかけていることも浮き彫りにしています。
Intruderのエクスポージャーマネジメントインデックスは、3,000の中小企業(従業員1~2,000人)からのデータを分析し、脅威環境がどのように変化しているか、また脆弱性対応が企業規模、業界、地域によってどのように異なるかを明らかにします。
2025年のエクスポージャーマネジメントを形作る3つの主要トレンドを以下でご紹介します。さらに詳しいインサイトや専門家のコメント、激化する脅威環境下で安全を保つためのアドバイスについては、完全レポートをダウンロードしてください。
重大度の高い脆弱性が20%増加
組織ごとに特定されたクリティカルな脆弱性の平均数は昨年と比べてほぼ横ばいであり、必ずしも「総動員」レベルの危機が増えているわけではありません。
しかし、重大度の高い問題の数は前年比で約20%増加しています。つまり、セキュリティおよびエンジニアリングチームは、より多くの深刻な問題に対応しなければならなくなっています。
しかし、多くの場合、スタッフや予算の増加は伴っていません。その結果、すでに逼迫しているセキュリティおよびエンジニアリングチームへのプレッシャーがさらに高まっています。
生成AIは、攻撃者が新たなエクスプロイトを作成しやすくすることで、この増加に一役買っています。また、攻撃者は未修正の古い脆弱性を悪用する機会も見出しています。
IntruderのプロダクトVPであるAndy Hornegold氏は「CVEや脆弱性のバックカタログが、これまで以上の頻度で武器化されているのを目の当たりにしています」とコメントしています。
重大な脆弱性の89%が30日以内に修正
良いニュースとしては、チームがクリティカルな問題をより迅速に修正していることです。2025年には、解決されたクリティカルな脆弱性の89%が30日以内に修正されており、2024年の75%から向上しています。
この推進力は、今年ヘルスケア、小売、自動車業界で大きく報道されたインシデントに関連している可能性があります。これらのインシデントは、遅延のコストをIT部門以外にも可視化し、経営層や取締役会がより迅速な対応を求める要因となりました。
この改善は、セキュリティプロセスの成熟化や、より優れたツール、明確な責任分担が効果を上げていることを示唆しています。
小規模企業は依然として修正が速いが、その差は縮小
企業規模も脆弱性の修正速度に影響します。2024年、小規模企業(従業員50人未満)はクリティカルな問題を平均約20日で解決しており、中規模組織(平均38日)のほぼ2倍の速さでした。2025年には両グループとも大幅に改善し、クリティカルな脆弱性の修正期間はそれぞれ14日と17日となり、差はさらに縮まっています。
この違いは複雑さに起因します。
規模が大きく歴史のある企業は、レガシーシステムや独自統合、より多様な環境が混在していることが多いです。パッチ適用には追加のテストや調整が必要であり、承認やチケット処理もさらなる遅延要因となります。
セキュリティチームが脆弱性を素早く検知できても、パッチ適用はインフラ、DevOps、プロダクトエンジニアリングチームに依存することが多く、引き継ぎのたびに摩擦が生じて遅れが発生します。
小規模組織はシステム数が少なく官僚的な手続きも少ないため、より機敏に対応できます。企業が成長するにつれ、ボトルネックを減らし修正対応を迅速化するためのプロセスやツールの導入が課題となります。
2025年の防御側の現状
今年のデータは、防御側が適応している一方で、依然として大きな負担を抱えていることを示しています。
ここで紹介したトレンド以外にも、インデックスでは欧州の規制の影響、業界ごとの修正期間の違い、攻撃者がAIを使って古い脆弱性を武器化している実態なども分析しています。また、2025年の脅威環境を形作った注目すべき脆弱性も振り返っています。
完全レポートをダウンロードして、詳細な分析や自社の現状との比較をご覧ください。
Intruderによるスポンサー記事・執筆。
