< ブログ一覧に戻る

脆弱性管理は人間のスケールの限界に達しつつある

清水 孝郎
脆弱性管理は人間のスケールの限界に達しつつある
執筆者
清水 孝郎
脆弱性管理は人間のスケールの限界に達しつつある
@
linkedin
脆弱性管理は人間のスケールの限界に達しつつある
Published:
June 10, 2026
この記事の内容
シスディグによるファルコフィード

Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。

さらに詳しく
Green background with a circular icon on the left and three bullet points listing: Automatically detect threats, Eliminate rule maintenance, Stay compliant, with three black and white cursor arrows pointing at the text.

本文の内容は、2026年6月10日に Sysdig Team が投稿したブログ (https://www.sysdig.com/blog/vulnerability-management-is-reaching-the-limits-of-human-scale) を元に日本語に翻訳・再構成した内容となっております。

弊社の2026年度版クラウドネイティブセキュリティおよび利用状況レポートは、セキュリティチームが脆弱性に真剣に取り組んでいることを裏付けており、悪用可能かつ使用中の脆弱性は前年比で75%減少しました。しかし同時に、懸念すべき傾向も明らかになりました。脆弱性は増え続けており、チームはその対応に追われています。

私たちは人間のスケールの限界に達しつつあるのでしょうか。もしそうだとすれば、セキュリティチームは追いつくために何ができるのでしょうか。

脆弱性の指数関数的な増加

MITRE Corporation は、報告された脆弱性をcve.orgで追跡しています。その傾向は恐ろしいもので、近年は指数関数的な増加を示しています。

ユーザーがこの課題に対処できるよう、弊社は2022年にRisk Spotlight を導入しました。このツールは、使用中であり、既存のエクスプロイトが存在し、かつ修正が提供されている脆弱性を特定する手助けをします。ユーザーの間でこの種の脆弱性が前年比75%減少したことは、Risk Spotlight がいかに効果的であるかを示しています。

この指標は、セキュリティツールがユーザーのニーズに合致したときに発揮する効果も浮き彫りにしています。

しかし、既知のエクスプロイトが存在しないものを含む使用中の脆弱性は、昨年以降5%で頭打ちになっています。

これは、チームが優先順位付けにおいて優れた成果を上げている一方で、脆弱性全体の指数関数的な増加への対応には苦慮していることを示しています。その結果、既知のエクスプロイトが存在しない使用中の脆弱性との間に大きなギャップが生じています。

今年新たに分かったのは、既知のエクスプロイトが存在しないことがもはやセキュリティを保証しないという点です。Sysdig 脅威リサーチチーム(TRT)と Project Glasswing がここ数週間で証明しているように、AI を使えばエクスプロイトはわずか数時間で作成・武器化できます。

AI が脆弱性に対する考え方を変えつつある

脆弱性の公開からエクスプロイトの武器化までの猶予が急速に縮まる中で、本番環境で稼働している脆弱性への対処はますます重要になっています。VulnCheck によると、以下のとおりです。

  • 2018年、攻撃者が脆弱性を武器化するにはおよそ1年を要していました。
  • 2023年には、わずか8日になりました。
  • 2025年末には、React2Shell公開からわずか数時間後に実環境で悪用されていました。
  • そして2026年初頭には、参考となる概念実証(PoC)が存在しないにもかかわらず、CVE-2026-39987 はわずか10時間未満で悪用されました。

そして今、AI がサイバーセキュリティ分野へと広がっている様子が見られます。一方では、Anthropic の Project Glasswing は、ソフトウェアの脆弱性を検出できる AI でありながら、一般公開するにはリスクが高すぎると判断されました。他方では、AI を悪用したクラウド侵入が8分で管理者アクセスに到達する様子も最近確認されています。

攻撃者が活動に AI を使い続けるにつれて、脆弱性の武器化はほぼリアルタイムに近づくと予想されます。このようなシナリオを踏まえると、活発に悪用されている脆弱性だけに注目するのはもはや十分ではなく、最後の防衛線としてのランタイムセキュリティの重要性が高まります。

自動化の次のステップ

緩やかではあるものの着実に、組織はステートフルな検知の価値を認識し、最新の脅威に対して自動レスポンスアクションへと移行してきました。弊社の2026年度版クラウドネイティブセキュリティおよび利用状況レポートによると、自動レスポンスの導入は急増しています。 

  • 70%を超える組織が、シグナルの品質を高めるために、91%の環境で挙動ベースの検知を利用しています。
  • 検知がトリガーされた際にプロセスを自動的に停止する組織が140%増加しました。

しかし、脆弱性の指数関数的な増加に対処し、5%の壁を突破するには、組織はツールにおけるパラダイムシフトを必要とします。AI は自動化における自然な次のステップであるだけでなく、経済的にも運用的にも妥当な選択肢になりつつあります。

私たちは、エージェント型AIによって駆動され、人間が定めたガードレールの中で実行される自律的な修正対応こそが、短縮し続けるエクスプロイトのタイムラインに組織が追随する方法だと考えています。

AI ガードレールの重要性

自社のインフラに対する権限を AI に与えると考えると、ぞっとするかもしれません。それは理解できることです。しかし、成功の鍵は細部に宿ります。

私たちは以前にも同じ状況を経験しています。数年前は、重要な領域でのタスクの自動化もまた賛否の分かれるテーマでした。では、当社のレポートで確認された自動応答の広範な普及を説明できるほど、あれ以来何が変わったのでしょうか。

ここ数年で、業界では静かな変革が起きてきました。エンジニアリングは自動化を最優先するように適応してきたのです。CI/CD、Infrastructure as Code、DevOps といった、かつては突飛に聞こえた手法も、今では当たり前のものになっています。同時に、ツール、ポリシー、プロセスも成熟し、自動化を安全な範囲内に保てるようになりました。

その結果、数年前には考えられなかったことですが、疑わしいプロセスは今では自動的に停止されるようになっています。

エージェント型AIを導入する組織が成功するには、同様の変革を経る必要があります。エージェントは子どもによく似ています。ガードレールがなければ、いずれ運用上のリスクをもたらします。こうしたガードレールこそが、エージェントの時代における人間の新たな焦点となります。具体的には、以下のとおりです。

  • 変更の上限を定義するポリシーを記述する。
  • 権限と特権の範囲を限定する。
  • 決定論的なロールバック。
  • エージェントの監査ログ、出力、説明可能性。
  • 環境のコンテキストを踏まえたリスクのしきい値。

人間がこうしたガードレールを統制し定義してはじめて、マシンスピードのセキュリティへと前進できるのです。

まとめ

サイバーセキュリティのエコシステムは、人間のスピードを上回る速さで動いています。サイバーセキュリティという終わりのないいたちごっこにおいて、一部の脆弱性だけに注目するのではもはや十分ではなく、エージェント型AIによるランタイム応答の自動化が要件になりつつあります。

組織がこのパラダイムの変化で成功を収めたいのであれば、自社のエージェントのガードレールを確実に制御できるよう、変革を経る必要があります。

より詳しい知見については、2026年度版クラウドネイティブセキュリティおよび利用状況レポートをご覧ください。

About the author

No items found.
featured resources

セキュリティの専門家と一緒に、クラウド防御の最適な方法を探索しよう

デモを申し込む