「努力では届かない」という不都合な真実

セキュリティチームは今、これまでにない速度でチケットをこなしている。2022年比で年間4億件以上多くの脆弱性対応イベントをクローズしており、チームとしての「仕事量」は確実に増えている。しかしそれでも、状況は悪化し続けている。

Qualysの脅威リサーチユニットが、10,000以上の組織から収集したCISA KEV(Known Exploited Vulnerabilities)の修正記録10億件超を4年間にわたって分析した結果が公開された。この研究が突きつけるのは、セキュリティ運用の根本的な構造問題だ。

何が起きているのか:数字が語る現実

Time-to-Exploitがマイナスに転じた

Google M-Trends 2026によると、重大な脆弱性が「悪用可能な状態」になるまでの平均時間(Time-to-Exploit)はマイナス7日にまで達している。つまり、パッチが存在する前に攻撃者がすでに武器化を完了しているケースが標準になりつつある。

今回追跡された52件の高プロファイル脆弱性のうち、88%は修正よりも先に悪用が始まっていた。半数については、パッチすら存在しない状態で武器化が完了していた。

修正に「季節単位」かかっている現場

代表的な事例をいくつか見てみよう:

  • Spring4Shell: 開示の2日前に悪用開始 → 平均修正日数は266日
  • Cisco IOS XE: 1ヶ月前に武器化 → 平均修正日数は263日

攻撃者の優位性は「日単位」で測られ、防御側の対応は「季節単位」で測られている。これは情報収集の失敗ではない。運用モデルそのものの失敗だ。

「ヒューマンシーリング」という構造的限界

研究者たちはこの現象を「ヒューマンシーリング(Human Ceiling)」と呼ぶ。人員を増やしてもプロセスを洗練させても越えられない構造的な上限のことだ。

ここで重要な概念として「マニュアルタックス(Manual Tax)」が挙げられている。人間のプロセスが届かない長尾の資産(ネットワーク機器、レガシーインフラ等)が、対応期間を週単位から月単位へと押し上げる「掛け算効果」のことだ。

さらに研究が提案するのが、CVE件数に代わる新指標「リスクマス(Risk Mass)」——脆弱性を抱えた資産数 × 暴露日数で測る累積リスクの概念だ。ダッシュボード上の「クローズ件数」は管理しやすい物語を語るが、ブリーチが狙うのは長尾の尾である。この視点の転換は、CISO・IT管理者が優先度の判断基準を根本から見直すきっかけになる。

実務への影響:日本のIT現場はどう向き合うべきか

日本のエンタープライズ環境は、この問題に対してよりシビアな立場に置かれている。

ネットワーク機器・インフラ系の放置問題は特に深刻だ。エンドポイントの修正中央値が14日以下である一方、Cisco IOS XEのような機器系では中央値でも232日かかっている。「触れない機器には触れない」という慣習がリスクマスを膨大に膨らませている。

明日から実践できるヒント:

  • KPIをCVEクローズ数からリスクマスへ転換する: 「何件直したか」ではなく「どれだけの資産が何日間さらされていたか」を追う。ダッシュボードを経営層に見せる指標も合わせて変える
  • ネットワーク機器・IoTに優先枠を作る: エンドポイント系は速い。遅いのはインフラ系だ。そこに人的リソースを集中投下するか、自動修正の仕組みを先に整える
  • 「ゼロデイ前提」の対応フローを設計する: パッチを待つワークフローは前提として崩れている。ネットワーク分離・アクセス制御など、パッチ以外の軽減策を素早く展開できる体制を持つ
  • Just-In-Time アクセスの整備: 常時アクセス権を持った特権アカウントは、脆弱性が悪用された際の爆発半径を最大化する。権限の最小化・Just-In-Time付与への移行は今すぐ始める

筆者の見解

セキュリティはあまり好きなジャンルではない。細かくなりすぎる議論が多く、木を見て森を見失う傾向がある。しかしこのデータは別格だ。技術的な興味を抑えられない。

この研究が明らかにしたのは、「もっと頑張れ」という話ではないということだ。人間がスプリントを続けても、構造的に勝てない戦い方をしている——これを10億件のデータで証明したことの意義は大きい。

とはいえ、「だから全部AIに任せよう」というのも単純すぎる。「禁止ではなく安全に使える仕組みを」というのが私の基本スタンスだが、セキュリティにも同じことが言える。自律型のリスク対応ループを作るにしても、設計する人間の判断と責任の所在は必ず残る。仕組みを作れる人間が少数いればいい、というのが私の考えだが、そのための設計力が今最も問われている。

インフラ系資産の修正に平均263日かかる状況を「気合でなんとかする」時代は終わった。運用モデルを変える以外に出口はない。この不都合な真実を経営層に伝えるためのデータとして、今回の研究は強力な武器になる。セキュリティ担当者にとっては、予算と体制の刷新を求める根拠として積極的に活用してほしい。

出典: この記事は Analysis of one billion CISA KEV remediation records exposes limits of human-scale security の内容をもとに、筆者の見解を加えて独自に執筆したものです。