執筆者
Forum of Incident Response and Security Teams(FIRST)によると、脆弱性の開示は2026年に記録破りの50,000件に達するか、それを上回る見込みです。
2月11日に公開された2026年脆弱性予測において、この非営利団体は今年約59,427件の新しい共通脆弱性識別子(CVE)が中央値として発生し、90%信頼区間は30,012件から117,673件の範囲になると予測しています。
これらの計算は、FIRSTで開発された新しい統計モデルの結果であり、可能なCVE開示の範囲を反映するよう最適化されています。使用されたデータソースには、米国国家脆弱性データベース(NVD)とMITREからの過去のCVE記録と公開トレンドが含まれています。
この新しい手法はFIRSTの2025年脆弱性予測で使用され、年間予測で7.48%、2025年第4四半期で4.96%の誤差率を達成しました。
2026年に記録破りのCVE報告が予想される
FIRSTの予測が正しければ、2026年は公開されたCVEが50,000件を超える最初の年となります。これは「脆弱性開示の歴史における重要なマイルストーン」を表すと、この非営利団体は述べています。
予測レポートはまた、現実的なシナリオでは今年70,000件から100,000件の脆弱性が十分に可能であると述べています。
最後に、FIRSTは、CVE開示は2026年以降も増加し続ける可能性が高く、2027年には約51,018件、2028年には53,289件のCVEが中央値として予測され、上限は2028年までに約193,000件に達すると予測しています。
FIRST:CVE報告の爆発的増加に備える方法
FIRSTは、このデータが「業界全体のセキュリティチームにとって重要な計画ツール」として機能し、「より良いリソース配分と戦略的意思決定を可能にする」ことを目的としていると示しています。
FIRSTリエゾンであり、FIRST脆弱性予測チームの主要メンバーであるÉireann Leverettは、組織は自分たちのチームとプロセスがこのような量の脆弱性に対処する準備ができているか、そして適切なものを優先しているかを問う必要があると述べています。
「私たちの予測により、防御側はすべての新しいCVEに反応することをやめ、攻撃者がギャップを悪用する前に、限られたリソースをどこに集中させるかについて戦略的な決定を下すことができます」と彼は付け加えました。
FIRSTの2026年脆弱性予測はまた、CVEの増加に備えたい組織向けの基本的な推奨事項のリストも提供しています:
- 今すぐ能力を評価する:現在の人員とプロセスが50,000件以上のCVEに対処できるかどうかを評価する
- 徹底的に優先順位を付ける:最も高い共通脆弱性評価システム(CVSS)評価を持つものだけでなく、特定の環境に最大のリスクをもたらす脆弱性に焦点を当てる
- シナリオの計画:中央値の予測に備えるが、より大量のシナリオに対する緊急時対応計画を構築する
- 予測を活用する:資産インベントリと併せて脆弱性予測を使用し、ベンダーおよび製品固有の準備を行う
翻訳元: https://www.infosecurity-magazine.com/news/first-forecasts-record-50000-cve/
