著者: Saeed Abbasi、Qualys脅威研究ユニット シニアマネージャー
Time-to-Exploitが現在マイナス7日になり、自律型AIエージェントが脅威を加速させている中、データはもはや段階的な改善をサポートしていません。防御のアーキテクチャは変わる必要があります。
リーダーが知っておくべきこと
過去4年間のCISAの既知悪用脆弱性の分析では、Day 7で依然開いている重大な脆弱性が56%から63%に悪化していることが示されており、チームが6.5倍多くのチケットをクローズしているにもかかわらずです。スタッフはこれを解決することができません。
私たちの研究で追跡された52の武器化された脆弱性のうち、88%は悪用されるよりもゆっくりパッチされました。そのうち半分は、パッチが存在する前に武器化されました。
問題はスピードではありません。運用モデルそのものです。
CVE数ではなく、累積的な露出が、セキュリティチームが今測定する必要がある真のリスク指標です。ダッシュボードはパッチの実装スプリントに報酬を与える一方で、侵害はテールを悪用します。AIは別の攻撃面ではありません。代わりに、AI搭載の攻撃者が人間の防御者に直面する過渡期が、業界で最も危険なウィンドウです。
これに応じて、防御側は独自の自律的でクローズドループのリスク運用を実装する必要があります。
壊れた物理学
Qualys脅威研究ユニットからの新しい研究は、4年間で10,000組織からの10億件以上のCISA KEV修復記録を分析し、業界が長い間疑いながらもスケールで証明されていなかったことを定量化しています。エンタープライズセキュリティを支える運用モデルは壊れています。
脆弱性の量は2022年以来6.5倍成長しています。Google M-Trends 2026によると、平均Time-to-Exploitはマイナス7日に低下しています。つまり、敵対者はパッチが存在する前に最も深刻な脆弱性を武器化しています。7日で依然開いている重大な脆弱性の割合は56パーセントから63パーセントに上昇しました。
しかし、これは努力不足のためではありません。組織は現在、ベースラインよりも年間400万件以上の脆弱性イベントをクローズしています。チームはより一生懸命働きますが、重要な場所で違いを出すことができません。私たちの研究者はこれを「人的上限」と呼んでいます。これは、どのようなスタッフやプロセス成熟度でも克服できない構造的な制限です。制約は努力ではありません。モデルそのものです。
完全な悪用タイムラインで追跡された52の高プロファイル武器化脆弱性のうち、88パーセントは悪用されるよりもゆっくり修復されました。例えば、Spring4Shellは開示の2日前に悪用されましたが、平均的なエンタープライズは修復に266日を要しました。
同様に、Cisco IOS XEの欠陥は1ヶ月前に武器化されました。平均クローズ時間は263日でした。
攻撃者の優位性は日数で測定されました。防御者の対応は季節で測定されました。これはインテリジェンス上の失敗ではありません。運用上の失敗です。
修復とリスクで先手を打つ
リスク運用、AI、および大規模修復管理の周辺の将来を理解するために、リスク運用センターカンファレンスであるROCON EMEAに来てください。
同僚と一緒に参加し、自動修復についてさらに詳しく学びます。
手動税とリスク質量
レポートは「手動税」を特定しています。これは、人的プロセスが到達できないロングテール資産が露出を数週間から数ヶ月に引きずる乗数効果です。Spring4Shellの場合、平均修復は中央値の5.4倍でした。
中央値は管理可能なストーリーを語ります。平均は真実を語ります。インフラストラクチャシステムはより厳しい現実に直面しています。Cisco IOS XEの場合、中央値でさえ232日でした。これはエンドポイント中央値の一貫して14未満と比較されます。最良の場合の結果が8ヶ月である場合、手動税は乗数ではなくなります。それはベースラインです。
平均値を見ることは、意思決定に役立たなくなりました。代わりに、リスク質量(脆弱な資産に露出日数を掛けたもの)を見ることは、CVE数が累積露出に関して隠すものをキャプチャします。付随するメトリック、平均露出ウィンドウ(AWE)は、環境全体の武器化から修復までの全期間を測定します。
例として、Follinaは開示の30日前に武器化され、平均クローズはDay 55でした。
ただし、AWEは85日まで拡張されました。開示前のブラインドスポットがその85日の36パーセントを占める一方で、パッチの長いテールがさらに44パーセントを占めます。合計で、開示前と長いテール合わせて80パーセントを表します。測定されるスプリントは20未満を占めています。
同時に、2025年に開示された48,172の脆弱性のうち、357のみがリモートで悪用可能で積極的に武器化されました。組織は理論的な露出に修復サイクルを費やしている一方で、本当に悪用可能なギャップは持続しています。
ギャップが拡大する理由
サイバーセキュリティは長い間、技術シフトの派生物として機能してきました。WindowsセキュリティはWindowsに従い、クラウドセキュリティはクラウドに従いました。主要な実践者と投資家は、AIがそのパターンを破ると主張しています。これは単に防御する新しい表面ではありません。これは敵そのものの根本的な変換です。
攻撃的なエージェントはすでに、人間が配置されたどの運用よりも速く発見、武器化、実行できます。修復データは、人間が今日ペースを保つことができないことを証明しています。自律型AIは、ギャップが明日加速することを保証します。
過渡期(AI搭載の攻撃者が人間スピードの防御者に直面する場所)は、業界で最も危険なウィンドウを表します。これは、近期を支配する構造的な脆弱性によって複雑化しています。チームが管理できる範囲を超えて拡張された攻撃表面、ポリシーを上回るアイデンティティの拡散、および手動実行に基づいてまだ構築されている修復ワークフローです。
従来のスキャンとレポートモデルは、CVEのより低いボリュームとより長い悪用タイムラインのために構築されました。それに取って代わるのは、エンドツーエンドのリスク運用センターです。機械可読の決定ロジックとして到着する埋め込まれたインテリジェンス、脆弱性が特定の環境で実際に悪用可能かどうかを検証する積極的な確認、および脅威が要求するタイムスケールへの応答を圧縮する自律的なアクション。
目的は人間の判断を排除することではなく、それを高めることです。実務家を戦術的な実行から、独自の自律システムを指揮するポリシーの管理へシフトさせます。
すでに物理的なギャップに勝っている組織は、より大きなチームで勝っていません。彼らは勝っています。なぜなら、彼らは重大なパスから人間の遅延を削除したからです。
セキュリティチームがリスクギャップをどのように閉じるか
スキャンとレポートモデル(発見、スコア、チケット、手動ルーティング)は、より低いボリュームとより長い悪用タイムラインのために構築されました。
それに取って代わるのは、エンドツーエンドのリスク運用センターです。機械可読の決定ロジックとして到着する埋め込まれたインテリジェンス、脆弱性が特定の環境で実際に悪用可能かどうかを検証する積極的な確認、および脅威が要求するタイムスケールへの応答を圧縮する自律的なアクション。
目的は人間の判断を排除することではなく、それを高めることです。実務家を戦術的な実行から自律システムを指揮するポリシーの管理へシフトさせます。すでに物理的なギャップに勝っている組織は、より大きなチームで勝っていません。彼らは勝っています。なぜなら、彼らは重大なパスから人間の遅延を削除したからです。
Time-to-Exploitは正の数に戻りません。脆弱性の量は安定しません。反応型モデルは厳しい数学的上限に達しました。
残りの唯一の質問は、人間規模の防御と自律規模の攻撃の間のウィンドウが永遠に閉じる前に、組織が数学に合わせるアーキテクチャを使用するかどうかです。
Qualysに連絡して、企業が自動化とAIでスケール修復をどのように管理し、どのように今すぐその違いを生じさせることができるかについてのインサイトを得てください。
