FIRSTは2026年に開示される脆弱性が記録的に急増すると予測しているが、セキュリティ研究者は、そのほとんどが実際の攻撃には結びつかないと述べており、CISOは優先順位付け、自動化、キャパシティプランニングを見直す必要に迫られている。
2026年、サイバーセキュリティ業界は、これまで到達したことのない閾値を超えると予想されている。単一年における公開されたソフトウェア脆弱性が50,000件を超えるのだ。
Forum of Incident Response and Security Teams(FIRST)による新しい予測によると、2026年の中央値予測は約59,000件のCommon Vulnerabilities and Exposures(CVE)である。より極端だが、もっともらしいシナリオでは、その数字ははるかに高く上昇する可能性があり、約118,000件に達し、2025年に報告された推定48,000件程度のCVEの2倍以上になる可能性がある。
しかし、セキュリティ研究者とデータサイエンティストは、数字が物語るのは一部に過ぎないと警告している。歴史的に、開示された脆弱性のうち実際に野生で悪用されるのはごく一部であり、ほとんどの企業に有意義な影響を与えるのはさらに少ない。
「脆弱性の数は増加していますが、本当に重要なのは、これらのうちどれが悪用されるかです」と、Empirical Securityの共同創設者兼CTOであるMichael RoytmanはCSOに語る。「そして、それは別のプロセスです。CVEが公開される前にエクスプロイトが書かれることもあるため、そこにある脆弱性の数には依存しません。」
FIRSTの予測が代わりに強調しているのは、シグナル対ノイズの問題の拡大であり、これはすでに過重負担を強いられているセキュリティチームに負担をかけ、組織が指数関数的により多くの欠陥にパッチを当てることを要求するのではなく、優先順位付け、自動化、キャパシティプランニングの重要性を高めている。
欠陥の数が増加している理由
FIRSTの予測は、脆弱性が発見され開示される方法における構造的な変化を反映しており、攻撃者の能力の突然の飛躍を反映しているわけではない。
「従来の協調的脆弱性開示チームの一部は、それぞれ若干多い量を生み出していますが、多くを生み出す新規参入者もいくつか見られます」と、FIRSTリエゾンおよび組織のVulnerability Forecasting Teamの主要メンバーであるÉireann Leverettは、CSOに語る。
この成長は、脆弱性報告自体の成熟も反映している。より多くの組織が現在CVE Numbering Authoritiesとして活動し、より多くのベンダーがバグバウンティプログラムを通じて開示にインセンティブを与え、長い間無視されてきたコードベース(特にオープンソースインフラストラクチャ)が持続的な精査を受けている。
その意味で、この急増は、ソフトウェアの品質の低下ではなく、可視性の向上を反映している。何年も存在していた脆弱性が、10年前には不可能だった方法でカタログ化され、追跡され、測定されている。
FIRSTはまた、2017年頃に始まったCVE公開における構造的なシフトを考慮するために、モデリングアプローチを調整した。この時期、開示量がより急激に上昇し始めた。単一のポイント推定を最適化するのではなく、組織は、セキュリティチームがさまざまな結果に対して計画できるように、信頼区間を拡大した。
「今年、70,000から100,000の脆弱性に達することは完全に現実的だと考えています」とLeverettは述べ、中央値予測は60,000に近く、警告ではなく計画をサポートすることを目的としていると付け加えた。
生のCVE件数がリスクと等しくない理由
予測の規模にもかかわらず、専門家は、脆弱性の量だけでは企業リスクの不十分な代理指標であると強調している。
「企業へのリスクは、リリースされた脆弱性の数に直接関係していません」とEmpirical SecurityのRoytmanは述べる。「それは別のプロセスです。」
彼は、CVE番号が着実に上昇している一方で、悪用は同じ軌道をたどっていないことを示す歴史的データを指摘している。2025年には、約48,000の脆弱性が開示されたとRoytmanは述べる。そのうち、公開されている概念実証エクスプロイトコードを持つものは3,000未満であり、野生で悪用の証拠を示したものは約700だけだった。
「本当にリスクの高いものは[2024年のレベルに比べて]少し変化しましたが、全体の変化から予想されるほどではありません」と彼は述べる。
それに加えて、多くの脆弱性は、ニッチなソフトウェア、携帯電話などの消費者向けデバイス、および大規模な企業環境では優先事項ではないその他の構成に影響を与える。他の脆弱性は理論的には悪用可能だが、すでに武器化され、実証され、スケーラブルで信頼性の高い既存の欠陥と比較して、攻撃者にはほとんど価値を提供しない。
このパターンは、開示量が増加しても、何年も続いている。その結果、公開された脆弱性の数と、運用上重要な脆弱性の数との間のギャップが広がっている。
危機ではなくキャパシティの問題
それでも、増加する量は防御者に現実的な課題をもたらす。
FIRSTは、脆弱性の約5%が深刻なリスクのほとんどを占めると推定している。全体の数が増加すると、その重要なサブセットを特定することが困難になる。
「この追加分がすべて生成されると、その5%を見つけるのが少し難しくなるかもしれません。干し草の山から針を見つけるようなものです」とFIRSTのLeverettは述べる。「ノイズの中からシグナルを見つけることです。」
CISOにとって、その意味は、パッチ戦略は、すでに負担がかかっている意思決定プロセスをスケーリングすることについてであるということだ。「マシンが50,000ではなく100,000のものを処理しなければならないと言われても、それは大したことではありません」とRoytmanは述べる。「人間がそれをしなければならないと言われたら、私はパニックになります。」
セキュリティチームは何年も人間のスケールで運用していないと、彼は付け加える。今違うのは、ノイズフロアが、優先順位付け、ツール、自動化の弱点を露呈するほど速く上昇していることだ。
AIは発見を加速させている — まだ大規模な悪用ではない
FIRSTの予測をめぐる懸念の多くは、人工知能、特に大規模にコードを監査できる大規模言語モデルに集中している。AI支援ツールはすでに脆弱性発見のペースを増加させているが、専門家は、発見と悪用は依然として非常に異なる問題であると警告している。
Roytmanは、AIが欠陥を列挙することを容易にした一方で、攻撃者は依然として経済的および運用上の制約に直面していると主張している。「それがそれほど簡単なら、彼らは昨年見た50,000に対してそれを行っているでしょう」と彼は述べる。「代わりに、悪用は、実証され、スケーラブルで、価値のある比較的小さな脆弱性のセットに集中したままです。」
同時に、防御者は、洪水を管理するために同じ技術を使用している。悪用データで訓練された機械学習モデルは、どの脆弱性が重要である可能性が高いか、そしてどれが安全に優先順位を下げることができるかをセキュリティチームが判断するのに役立っている。
「大規模な発見を可能にしている同じツールは、防御者が大規模にノイズからシグナルをフィルタリングすることも可能にしています」とRoytmanは付け加える。
CVEの洪水を管理するためにCISOは何をすべきか?
問題を解決するために雇用する能力がない場合、ほとんどの組織は、次のようなより実用的な対策に頼る必要がある。
- 優先順位付けに力を入れる。悪用の可能性、資産コンテキスト、ビジネスへの影響は、生の(CVSS Common Vulnerability Scoring System)スコアよりもはるかに重要である。
- トリアージを積極的に自動化する。人間によるレビューは、小規模で信頼性の高い脆弱性のサブセットに限定する必要がある。
- ポイント推定ではなく範囲で計画する。FIRSTの信頼区間は、予測ではなくキャパシティプランニングをサポートするように設計されている。
- より多くの攻撃者ではなく、より多くのノイズを予想する。開示は悪用よりも速く加速している。
「パニックになる必要はありません」とRoytmanは述べる。「しかし、戦略的である必要があります。」
脆弱性エコシステムへのストレス
この予測はまた、Cybersecurity and Infrastructure Security Agency(CISA)との契約の下でCVEを生成するMITRE、National Institute of Standards and Technologyが管理するNational Vulnerability Database、およびCVEを割り当てる権限を与えられた組織であるCVE Numbering Authorities(CNA)を含む、より広範な脆弱性エコシステムの持続可能性についての疑問を提起している。これらはすでにバックログに苦しんでいる。
RANDのシニアポリシー研究者であるSasha Romanoskyは、CSOに、システムは急増するCVE数の重みの下で完全に崩壊するのではなく、徐々に劣化する可能性が高いと語る。
「何かが壊れるとは思いません」とRomanoskyは述べる。「処理されないだけです。多くの脆弱性が無視されるでしょう。」
そのダイナミクスは、より多くの責任をソフトウェアベンダーとCNAに移す可能性があり、その多くはすでに独自のキャパシティ制約に直面している。エンリッチメントと優先順位付け作業の多くを下流に分散させることは、短期的には役立つかもしれないが、それは自動化も並行して改善される場合に限られる。
「システムは脆弱ではありません」とRomanoskyは述べる。「制約されているのです。」
実際には、これは、増加するキュー、不均一なデータ品質、および公開データベースの遅延を補うための民間セクターのツールへの依存度の増加を意味する可能性がある。その結果、必ずしもリスクが高まるわけではないが、特に成熟した脆弱性管理プログラムを持たない組織にとって、断片化が進む。
サイバーセキュリティ業界は、悪用可能な弱点の爆発的な増加ではなく、情報の爆発的な増加に直面している。CISOにとって、2026年の成功は、より速く反応することよりも、より良く決定することに依存する。自動化とコンテキストを使用して、脆弱性数の増加がリスクの増加につながらないようにすることである。
「しばらくの間、人間のスケールの問題ではありませんでした」とRoytmanは述べる。今後の課題は、それが管理不能にならないようにすることだ。
