脆弱性と悪用の急増により、過重なセキュリティチームは、対処可能な範囲でリスクベースのアプローチを採用せざるを得なくなっている。
企業の攻撃対象領域は急速に拡大し続けており、2025年上半期だけで20,000件以上の新たな脆弱性が公開され、すでに逼迫しているセキュリティチームにさらなる負担をかけています。
脅威インテリジェンス企業FlashpointのGlobal Threat Intelligence Index調査によると、これらの脆弱性の約35%(6,992件)には、公開された悪用コードが存在しています。
公開された脆弱性の数は3倍以上に増加し、悪用コードの量も2025年2月末以降だけで2倍以上に増えています。
Flashpointは、これらの増加により、ほとんどの組織がすべての脆弱性をトリアージ、修正、または緩和することがもはや現実的でなくなったと主張し、企業はリスクベースのパッチ適用フレームワークを導入する必要があると示唆しています。しかし、CSOが取材した一部の専門家はさらに踏み込み、脆弱性管理の運用全体の抜本的な見直しが必要だと主張しています。
リスクベースのパッチ適用:高まる必要性
Josh Lefkowitz氏(Flashpoint CEO)は、公開される脆弱性や悪用コードの急増は、脅威の状況が変化していることを反映していると述べています。
「攻撃者は脆弱性が明らかになるとすぐに、時には数時間以内に悪用を実行しており、防御側が公的な情報源から信頼できるデータを得るよりもはるかに早い」とLefkowitz氏はCSOに語っています。
露出と対応のギャップが広がる中、セキュリティチームが従来のアプローチに頼るのは現実的ではなくなっています。Lefkowitz氏によれば、対策は「すべてをより早くパッチする」ことではなく、セキュリティインテリジェンスを活用して「より賢くパッチする」ことです。
企業は受動的なパッチサイクルから進化し、リスクベースかつインテリジェンス主導の脆弱性修正を採用すべきです。「つまり、リモートから悪用可能、実際に野放しで悪用されている、またはアクティブな攻撃者キャンペーンに関連する脆弱性を、ビジネスの文脈や攻撃者の行動を考慮しつつ優先することです」とLefkowitz氏は述べています。
悪用可能な脆弱性に注目
第三者のセキュリティ専門家も、企業がリスクベースのパッチ適用フレームワークを導入する必要があることに同意しています。
「すべての脆弱性にパッチを当てようとする組織は、不可能な戦いをしている」とIEEE上級会員のShaila Rana氏は述べています。「しかし、ここでの救いは、この変化が実際により賢く、より戦略的なアプローチの台頭を促していることです。」
Rana氏はさらに、「このプレッシャーが、チームが限られたリソースを優先すべき領域、つまり最も重要な部分に集中できる、より良いリスクベースのフレームワークを生み出している」と付け加えています。
セキュリティ検証企業Picus SecurityのセキュリティリサーチリードHüseyin Can Yüceel氏は、公開される脆弱性の増加は圧倒的に感じられるかもしれないが、実際に特定の企業に影響を与えるのは一部に過ぎないと述べています。
「脆弱性のある製品をそもそも所有していない場合や、すでに悪用を防ぐためのセキュリティ対策が講じられている場合もあります」とYüceel氏は説明します。「最も重要なのは、自分たちにとって何が関連し、重要なのかを決めることです。そのため、文脈に基づく優先順位付けが重要なのです。」
Yüceel氏はさらに、「リスクベースのアプローチは、組織がインフラや運用に最も影響を与える可能性が高い脅威に集中するのに役立ちます。つまり、悪用可能と見なせる脆弱性を優先し、たとえCVSS(共通脆弱性評価システム)のスコアがクリティカルでも、効果的に緩和・防御できる脆弱性は優先度を下げるべきです」と述べています。
CVEだけに頼るのは「持続不可能」に
Flashpointは、共通脆弱性識別子(CVE)やNational Vulnerability Database(NVD)など、公開情報源に大きく依存しているセキュリティチームは、重大な不利な立場にあると警告しています。CVEの公開からNVDの拡充までの平均遅延は、今や数週間から数か月に及び、重大なインテリジェンスの空白を生んでいます。
今年初めのCVEプログラム資金の不安定化は、さらなる疑念を生んでいます。
「CVEやNational Vulnerability Databaseだけに頼るのは、もはや持続不可能です」とFlashpointのLefkowitz氏は述べています。「遅延、不整合、継続的なバックログにより、重要なインテリジェンスが攻撃者の活動開始後に届くことが多く、防御側は重大なリスク露出を見逃すことになります。」
攻撃・防御セキュリティ企業FortraのセキュリティR&DシニアマネージャーTyler Reguly氏は、公開情報源に依存することで組織が「重大な不利」に陥るという懸念は誇張されていると一蹴します。ベンダーレポート、悪用データベース、CISAの既知悪用脆弱性(KEV)リストなど、他にも有用な情報源は多数あるとReguly氏は述べています。
「実際のところ、公開情報源は脆弱性管理に不可欠です」とReguly氏は主張します。「独自データが有益でないとは言いませんが、誰でも収集できるデータはたくさんあります。」
Rana氏は、公開脆弱性インテリジェンスは、脅威インテリジェンスやビジネスリスク評価と組み合わせることで最大の効果を発揮すると主張します。
「賢い組織は、CVEデータとリアルタイム脅威インテリジェンスを重ね合わせ、より精緻で実行可能なセキュリティ戦略を構築しています」とRana氏は述べます。これらの信頼できる情報源を放棄するのではなく、効果的なチームは、それらをより広範なインテリジェンスの一部として活用し、自社の環境に実際に関係する脅威に先んじることに成功しています。
再び問われるサードパーティリスク
アプリケーション攻撃対象領域保護企業Wing SecurityのCEO、Galit Lubetzky Sharon氏は、脆弱性と悪用コードの急増は問題の一部に過ぎないと述べています。
「企業はサードパーティのSaaSベンダーへの依存を強めており、パッチサイクルをベンダーが決定します。ベンダーのパッチ適用が遅い、または開示しない場合、顧客はリスクを無自覚に引き継ぐことになります」とSharon氏は述べています。
AIはこの脅威をさらに増幅しています。攻撃者はかつてないスピードで悪用を武器化し、「SaaSベンダーは成熟したセキュリティ管理がないままAI機能のリリースを急いでいる」とSharon氏は指摘します。
「本当の課題は、パッチの適用に追いつくことだけでなく、サードパーティリスクの可視化を得ることです。SaaS、AI、一般的なサードパーティのセキュリティを継続的に確保することが不可欠です」とSharon氏は結論付けています。
AIによる悪用開発の簡素化
アプリケーションセキュリティ企業MendのCEO、Rami Sass氏は、過去2年間で脆弱性発見から悪用までの期間が数週間から数日、場合によっては数時間にまで短縮されており、その一因は攻撃者によるAI技術の悪用増加にあると述べています。
Sass氏によれば、脅威状況がますます混沌とする主な要因は3つあります:
- 特にレガシーコードにおける脆弱性発見のためのより優れたツール
- 悪用コードのための旺盛で拡大する商業市場
- AIツールによる悪用コード作成の容易化
「攻撃者は今やAIを使って防御側よりも早く動いています」と、ゼロ知識ネットワーキング企業XiidのCTO、Federico Simonetti氏は述べます。「AIは脆弱性の発見や悪用コード作成には非常に効果的ですが、一方で有意義な保護レベルの適用には全く効果的ではありません。」
エクスポージャー管理
クラウドセキュリティ企業XM Cyberのリサーチ責任者Peled Eldan氏は、脆弱性や悪用の急増は「広大なクラウド環境、急速な移行、展開ミス、設定ミスなどの副産物」だと考えています。
「NVDは依然としてサイバーセキュリティの基盤ですが、SOCチームがリスクを本質的に低減するにはCVE IDやCVSSスコアだけでは不十分です」とEldan氏は述べます。「たとえNVDの拡充が早まっても、より大きな問題、つまり脆弱性が他の露出とどう結びついて悪用可能な攻撃経路を生み出すかという理解は解決しません。」
このダイナミクスが、脆弱性管理をエクスポージャー管理へと進化させており、ID問題や設定ミスもコードの欠陥と同様に重視されるようになっています。
「侵害シミュレーション、ペンテスト、レッドチームなどの攻撃対象領域ツールと組み合わせることで、企業は攻撃者が重要資産に到達する経路を可視化する攻撃グラフを構築できます」とEldan氏は説明します。「攻撃グラフは、デジタルツインと組み合わせて、特定の修正戦略が露出を排除できるかどうかをシミュレーション・検証するために使われます。」
ポゴスティックで地雷原を進むようなもの
クラウドセキュリティベンダーQualysのEMEAリスクテクノロジー担当副社長Ivan Milenkovic氏は、どの組織も、あるいはすべきだと考えること自体、「すべての脆弱性にパッチを当てる」という発想は「常に誤りだった」と述べています。
「公開情報の爆発的増加やNVDの明らかな信頼性の低さは新たな問題を生んだのではなく、従来のアプローチの知的破綻を露呈させただけです」とMilenkovic氏はCSOに語ります。「CVSSスコアに頼り、CVEを追いかけるのは、ポゴスティックで地雷原を進むようなものです。」
リスクベースのパッチ適用フレームワークに頼るのではなく、企業は継続的脅威露出管理(CTEM)プログラムに基づく完全な運用改革が必要だとMilenkovic氏は助言します。
GartnerのCTEMのようなフレームワークは、セキュリティオペレーションセンターのチームに、単なる深刻度スコアではなく、悪用可能性やビジネスインパクトに基づいて露出に優先順位を付けるための成熟プロセスのロードマップを提供します。
「根本的な問いは『この脆弱性は深刻か?』ではなく、『ビジネスにとってどの程度の価値が危険にさらされており、それを最も資本効率よく減らす方法は何か?』です」と元CISOのMilenkovic氏は説明します。
Milenkovic氏が「リスクオペレーションセンター」アプローチと呼ぶCTEMコンセプトの目的は、セキュリティを真のビジネス成果と一致させることです。
「あなたの目標は、組織にとって実際に90%以上の重大リスクをもたらす2%の脆弱性だけを、資本効率よく外科的に修正することです」とMilenkovic氏は述べています。
