10億件のCISA KEV修復記録の分析が明らかにしたヒューマン・スケールのセキュリティの限界

著者Qualys 脅威リサーチユニットシニアマネージャー Saeed Abbasi 氏

Time-to-Exploitがマイナス7日となり、自律的なAIエージェントが脅威を加速させている現在、データはもはや段階的な改善をサポートしません。防御のアーキテクチャを変える必要がある。

リーダーが知るべきこと

CISAのKnown Exploited Vulnerabilitiesの過去4年間の分析によると、チームが6.5倍のチケットをクローズしたにもかかわらず、7日目になっても未解決の重要な脆弱性は56%から63%に悪化している。人員配置では解決できない。

我々の調査で追跡された52の武器化された脆弱性のうち、88%は悪用されるよりもパッチが適用されるのが遅かった。

問題はスピードではない。運用モデルそのものに問題があるのだ。

CVEの数ではなく、累積的な露出こそが、セキュリティチームが測定すべき真のリスク指標なのだ。ダッシュボードはパッチを実装するためのスプリントに報いるが、侵害はその尻尾を突く。代わりに、AIを搭載した攻撃者が人間の防御者と対峙する過渡期は、業界で最も危険な時期である。

それに対応するため、防御側は自律的なクローズド・ループのリスク・オペレーションを実施しなければならない。

Table of contents

壊れた物理学
改善とリスクを先取りする
マニュアル税とリスクマス
ギャップが拡大する理由
セキュリティチームがリスクギャップを埋める方法

壊れた物理学

Qualys Threat Research Unitの新しいリサーチでは、1万社に及ぶ組織から4年間で10億件以上のCISA KEVの修復記録を分析し、業界が長い間疑っていたものの、規模を拡大して証明したことはなかったことを定量化している。企業のセキュリティを支える運用モデルは崩壊している。

2022年以降、脆弱性の数は6.5倍に増加している。Google M-Trends 2026によると、平均Time-to-Exploitはマイナス7日にまで崩壊している。言い換えれば、敵はパッチが存在する前に最も深刻な脆弱性を武器化している。つまり、敵はパッチが存在する前に最も深刻な脆弱性を武器にしているのだ。7日経過した時点でも未解決の重大な脆弱性の割合は、56％から63％に上昇している。

しかし、これは努力不足のためではない。組織がクローズした脆弱性イベントの数は、基準時よりも年間4億件も増えている。チームは懸命に働いているが、肝心なところで成果を上げることができない。私たちの研究者は、これを「人間の限界」と呼んでいる。どんなに人員を配置しても、プロセスを成熟させても、構造的な限界は克服できない。制約は努力ではない。モデルそのものなのだ。

悪用のタイムラインを完全に追跡した52の有名な兵器化された脆弱性のうち、88パーセントは悪用されるよりも修復されるのが遅かった。一例として、Spring4Shellは公開の2日前に悪用されたが、平均的な企業は修復に266日を要した。

同様に、Cisco IOS XEの欠陥は1カ月早く悪用されましたが、平均修復期間は263日でした。

攻撃者の優位性は日単位で測定された。防御側の対応は数日単位だった。これはインテリジェンスの失敗ではない。作戦化の失敗である。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

改善とリスクを先取りする

リスク・オペレーション、AI、大規模な修復管理に関する未来を理解するために、ROCON EMEA（リスク・オペレーション・センター・カンファレンス）にお越しください。

同業者の方々と一緒に、自動化された修復について学びましょう。

今すぐ登録

マニュアル税とリスクマス

このレポートでは、「手動税」、つまり人間のプロセスでは到達できないロングテールの資産が、数週間から数カ月にわたってエクスポージャーの足を引っ張るという乗数効果を特定しています。Spring4Shellの場合、平均的な修復は中央値の5.4倍でした。

中央値は管理可能なストーリーを示す。平均値は真実を物語っている。Cisco IOS XEでは、中央値でさえ232日であるのに対し、エンドポイントの中央値は常に14日以下である。最良の結果が8ヶ月である場合、Manual Taxはもはや乗数ではない。それはベースラインである。

平均値を見ることはもはや意思決定に役立たない。その代わり、リスクマス（脆弱な資産に暴露された日数をかけたもの）を見ることで、CVEカウントが累積暴露に関して曖昧にしているものを把握することができる。関連指標である平均被曝日数（AWE）は、兵器化から修復までの全期間を環境全体で測定する。

例として、Follinaは情報公開の30日前に兵器化され、55日目に平均クローズした。

しかし、AWEは85日間に及んだ。開示前の死角がその85日の36パーセントを占めたが、パッチのロングテールがさらに44パーセントを占めた。開示前とロングテールを合わせると80パーセントになる。計測されるスプリントは20パーセントにも満たない。

同時に、2025年に公開された48,172件の脆弱性のうち、リモートから悪用可能で、積極的に武器化されたのはわずか357件だった。組織は、本当に悪用可能なギャップが存在する一方で、理論的な暴露のために修復サイクルを費やしている。

ギャップが拡大する理由

サイバーセキュリティは長い間、WindowsのセキュリティはWindowsに、クラウドセキュリティはクラウドにと、技術の移り変わりから派生するものとして運用されてきた。一流の実務家や投資家は現在、AIがこのパターンを壊すと主張している。AIは単に防御のための新たな表面ではなく、敵そのものの根本的な変革なのだ。

攻撃的なエージェントはすでに、人間のスタッフが対応するよりも早く発見し、武器化し、実行することができる。修復のデータは、人間が今日のペースについていけないことを証明している。自律型AIは、このギャップを明日さらに加速させるだろう。

AIを搭載した攻撃者が人間のスピードで対応する防御者と対峙する移行期は、業界にとって最も危険な時期であり、短期的に支配的となる構造的な脆弱性（チームが管理できる範囲を超えた攻撃対象範囲の拡大、ポリシーを上回るアイデンティティの拡散、依然として手作業で実行される修復ワークフロー）によって、さらに深刻化する。

従来のスキャン・アンド・レポート・モデルは、CVEの量が少なく、エクスプロイトのタイムラインが長いことを想定して構築された。これに取って代わるのは、エンド・ツー・エンドのリスク・オペレーション・センターである。機械可読の意思決定ロジックとして届く組み込みインテリジェンス、脆弱性が特定の環境で実際に悪用可能かどうかを検証する能動的な確認、脅威が要求するタイムスケールに対応を圧縮する自律的な行動である。

目的は、人間の判断を排除することではなく、それを高めることであり、実務家を戦術的な実行から、自らの自律システムを指示するポリシーの管理へとシフトさせることである。

すでに物理的ギャップを克服している組織は、より大規模なチームで勝利しているわけではない。クリティカル・パスから人間のレイテンシーを取り除いたからである。

セキュリティチームがリスクギャップを埋める方法

スキャン・アンド・レポート・モデル（発見、スコアリング、チケット発行、手動ルーティング）は、少量のエクスプロイトと長いエクスプロイト・タイムラインのために構築された。

これに取って代わるのは、エンド・ツー・エンドのリスク・オペレーション・センターである。機械が読み取り可能な決定ロジックとして到着する組み込みインテリジェンス、脆弱性が特定の環境で実際に悪用可能かどうかを検証するアクティブな確認、脅威が要求するタイムスケールに対応を圧縮する自律的なアクションである。

その目的は、人間の判断を排除することではなく、それを高めることである。つまり、実務家を戦術的な実行から、自律システムを指示するポリシーの管理へとシフトさせることである。すでに物理学的ギャップを克服している組織は、大規模なチームで勝利しているわけではない。クリティカルパスから人間のレイテンシーを取り除いたからだ。

Time-to-Exploitがプラスの数字に戻ることはない。脆弱性の量も停滞することはない。リアクティブ・モデルは、数学的に厳しい天井を打ったのだ。

残る唯一の問題は、ヒューマン・スケールの防御と自律的スケールの攻撃との間の窓が永久に閉じられる前に、組織が数学に見合ったアーキテクチャを使用するかどうかである。

自動化とAIを活用して企業がどのように大規模な修復を管理しているか、また、今すぐその違いを生み出す方法については、クオリスにお問い合わせください。

クオリスがスポンサーとなり執筆しました。