脆弱性は防御措置を数時間ではなく数日間も上回り始めており、公式な修正のリリースより前に出現することがよくあります。最近の実証的な分析によると、最も危険な欠陥の平均Time-to-Exploitは、驚くほどのマイナス7日に急低下しています。本質的には、敵対者はベンダーがパッチを配布する前に脆弱性を武器化することにますます巧妙になっています。その結果、相違点を特定し、チケットを生成し、延長された手動承認チェーンを経由することを特徴とする従来の防御パラダイムは、単に孤立して失敗しているのではなく、完全に崩壊しています。
Qualys Threat Research Unitが実施した研究では、4年間にわたって10,000の組織のCISA KEVカタログから10億以上の脆弱性修復記録を利用しており、暗い画像を描いています。2022年以来、脆弱性の総量は6.5倍急増しています。逆説的に、7日目までに未対処のままになっている重大な欠陥の割合は56%から63%に上昇しています。セキュリティチームはより多くのチケットを処理していますが、真に壊滅的な脅威の状態は改善されていません。
著者たちは、この停滞が業界の勤勉さの欠如によるものではないと強調しています。組織は現在、研究開始時よりも年間400万件以上の脆弱性イベントを修復しています。職員はより激しく労働し、プロセスは増殖し、タスク完了率は上昇しています。しかし、リスクが侵害に変わる「レッドゾーン」では、進展はほぼ存在しません。研究者たちはこの障害を「人間の天井」と定義しており、これは追加採用も強化された規律も、より悠長な攻撃テンポ用に元々設計されたモデルを維持できない構造的制限です。
これは、文書化された悪用の年代記を持つ脆弱性によって最も鮮やかに説明されています。52の有名なバグのサンプルでは、88%の組織が敵対者がそれを悪用するよりも脆弱性を修復するのが遅かった。注目すべきことに、これらの脆弱性の半分はパッチの存在より前にアクティブな悪用の対象でした。
レポートで強調されている不一致は、業界基準によっても不安です。Spring4Shellは公開開示の2日前に悪用が始まり、平均的なエンタープライズは修復を達成するのに266日かかりました。Cisco IOS XE脆弱性でも同様の軌跡が観察されました。悪用は防御者が予想するより1か月早く始まり、平均修復時間は263日に伸びました。対立する側が使用する時間単位は根本的にずれていました。敵対者は日数で進捗を測定し、防御者は月と季節で活動していました。
研究者たちは、このデータは不十分な分析や弱い脅威インテリジェンスを示していないと主張しています。病根はより深い:組織はリスクの特定は得意ですが、そのナレッジをインフラストラクチャ内の決定的な行動に変換する機敏性に欠けています。したがって、失敗は運用上のものです。
レポートは「Manual Tax」という用語を導入し、人間中心のワークフローによって発生するペナルティを説明しており、これは特にアセットの「ロングテール」に負担をかけます。チームがシステムのサブセットに迅速に対応することがありますが、残りのパッチが当たっていないアセットは平均修復時間を膨らませ、露出のウィンドウを数週間から数か月に延長します。Spring4Shellの場合、平均修復時間は中央値の5.4倍でした。中央値は制御下の状況を示唆していますが、平均値は管理が悪いレガシーアセットがもたらす継続的なリスクを明らかにしています。
インフラストラクチャシステムの場合、見通しはさらに悲劇的です。エンドポイントの中央値修復時間はしばしば14日以下のままですが、Cisco IOS XEの中央値は驚くほどの232日に達しました。環境の相当な部分の「最良の典型的な結果」が8か月である場合、手動介入は単なる非効率ではなくなり、それは体系的リスクの根本的原因になります。
その結果、著者たちはCVEの生数からの焦点を「蓄積された露出」にシフトすることを提案しています。彼らはメトリック「Risk Mass」を使用しており、これは脆弱なアセットの量に危険にさらされたままだった期間を掛けたものです。このアプローチはより正確に真の危険を反映しており、単純な脆弱性数は欠陥がどのくらい継続したか、または何個のシステムがそれを危険にさらしたかを考慮できないからです。
Risk Massと並んで、Exposureの平均ウィンドウがあり、これは環境全体にわたる悪用の開始から最終的な修復までの総間隔を測定します。Follina脆弱性は痛切な例です:悪用は開示の30日前に始まり、平均的なクロージャーは55日目に発生しました。しかし、総露出ウィンドウは85日間にわたりました。このうち、36%は公開開示前の「ブラインドスポット」で発生し、別の44%は修復の長引く「テール」によるものでした。総合的に、開示前の段階と遅延した対応は総リスクウィンドウの80%を占め、通常レポートで測定・称賛されるプロセスのセグメントは20%未満でした。
さらに、研究は多くのセキュリティチームの運用哲学に異議を唱えています。2025年には48,172の脆弱性が開示されましたが、357のみがリモートで悪用可能であり、野生で積極的に使用されていることが判明しました。これは、膨大なリソースが理論的な攻撃面に浪費されている一方で、本当に危険で積極的に悪用されている欠陥がインフラストラクチャ内で長すぎる間存続していることを示唆しています。
著者たちはこの裂け目は拡がるだけだと予測しています。サイバーセキュリティは歴史的には記念碑的な技術シフトへの対応として進化してきました。まずWindows時代に適応し、次にクラウドに適応しました。しかし、AIは出発を表しており、攻撃面だけでなく、攻撃者の本質を変えます。自律エージェントは古典的で人間に束縛された防御チームがタスクキューを処理できるよりも高速に、悪用を特定、検証、武器化することができるようになっています。
敵対者がAIを介して加速する一方で防御者が人間の速度に束縛されているため、最も危険な時代が今始まっています。このフェーズは業界の最も重要なリスク窓と見なされており、拡張された攻撃面、アイデンティティとアクセス権の増殖、および頑固に手動のままの修復ワークフローによって悪化しています。
これを考慮して、研究者たちは古典的な「スキャンとレポート」モデルを放棄することを主張しています。この方法論はCVEが少なかった時代に出現し、公開と悪用の間の間隔は安全のマージンを提供しました。その代わり、著者たちはRisk Operations Centerを促進しており、それは分析がロジックとして機能する継続的なリスク管理ループです。このモデルでは、システムは特定の環境内で欠陥の悪用可能性を自律的に検証し、脅威によって指定されたテンポで必要な対策を開始する必要があります。
これは人間の監督の完全な除外を意味しません。逆に、人間の役割を高める事を提案しています。スペシャリストは反復的な手動タスクに追いやられるべきではなく、代わりに体系的なルールを定義し、基本的なロジックを支配する必要があります。Qualysによると、最も成功した組織は、防御の重要なパスから人間のレイテンシーを排除する組織です。
レポートの最終的な結論は明確です:Time-to-Exploitは決してプラスの値に戻ることはなく、脆弱性の大洪水は止まらず、反応的防御モデルは数学的限界に達しています。問題はもはや古いフレームワークを段階的に加速できるかどうかではなく、人間の防御と自律的な攻撃の間のウィンドウが取り返しのつかないほど閉じる前に、組織が新しい防御アーキテクチャに移行する準備ができているかどうかです。
