Microsoftが6月に史上最大のPatch Tuesdayアップデートをリリースし、人工知能(AI)とAnthropicのClaude Mythosモデルの影響をめぐる議論が続いていることを受け、米国の自律型パッチ管理とエンドポイント保護の専門家による新たな分析で、Action1は脆弱性の増大と構造変化が従来の企業戦略やパッチスケジュールを上回っていると警告した。
アクション 1 2026 年のソフトウェア脆弱性評価 このレポートでは、Claude Myth が登場するかなり前の 2025 年に、公開された脆弱性の総数が 2024 年と比較して 92% 増加し、重大な脆弱性と特権昇格 (EoP) の脆弱性の量が 2 倍になり、リモート コード実行 (RCE) の欠陥が 130% 近く増加したことが明らかになりました。
もっと簡単に言うと、Action1 は、企業を現実世界の侵害、サイバー攻撃、データ侵害、その他の形態の混乱に容易かつ簡単にさらす脆弱性の発生率が最も急速に増加していると述べています。
同社はこれを企業のセキュリティリーダーに対する「警告」だと説明し、人間のサイバーチームが修正するよりも早く新たに発見された欠陥を攻撃者が悪用し、場合によっては対応時間が数時間にまで短縮されるという脅威環境の広範な変化を指摘した。
「2025 年はサイバーセキュリティ運用における転換点となった」と、Action1 の脆弱性研究ディレクター、ジャック ビッサー氏は述べています。 「攻撃者は現在、人工知能と自動化を利用して、ほとんどの組織が対応できるよりも早く脆弱性の発見と悪用を加速させています。攻撃者がマシンの速度で動作している一方で、多くの組織は依然として人間のスケジュールに従ってパッチを適用しています。」
Action1 の CEO 兼共同創設者である Alex Wobeck 氏は、「脅威の状況はもはやただ大きくなっているだけではなく、より速く、より自動化され、検出が困難になっています。パッチの速度はもはや単なる IT 指標ではありません。今やビジネスの強さの尺度となっています。」と付け加えました。
脅威の状況はもはや規模が拡大しているだけでなく、より高速かつ自動化されており、検出が困難になっています。修理のスピードはもはや IT だけの尺度ではありません。今やそれはビジネスの回復力の尺度です
アレックス・ウーバック、第 1 幕
つまり、手動のパッチ適用プロセス、頻度の低いスキャン サイクル、またはメンテナンス時間の遅れに依存している組織は、現在、運用が遅れているとレポートは述べています。
ビジネス アプリケーション、ネットワーク インフラストラクチャ、オペレーティング システム、セキュリティ ツールなど、最も頻繁に攻撃されるターゲット全体の危険にさらされる期間を減らすことができる、継続的な脆弱性管理と修復ワークフローを導入する必要性が現在重要になっていると、Action1 は述べています。
「2025年の脅威環境の量とスピードを見れば、人によるスケジューリングと手動による導入に依然として依存しているプロセスでは追いつかないことが明らかだ。自動化は単に効率を向上させるだけではない。それは生き残るための要件である」と報告書の著者らは書いている。
脆弱性を特定して修正するための次のステップ
ここから全文をダウンロードできるレポートには、セキュリティ リーダーに対するいくつかの推奨事項が含まれています。
Action1は、当面の最初のステップとして、CISOとセキュリティリーダーはビジネスクリティカルなソフトウェアをどのくらいの速さでインストールするかを検討する必要があると述べた。ユーザーに混乱をもたらしたくないという考えから、ビジネス アプリケーションやその他のプラットフォームの修正を延期することは、現在では測定可能なビジネス リスクとなっています。修復は、財務、人事、営業チームの都合ではなく、脅威環境に合わせて行う必要があります。
それ以上に、最も緊急の優先事項は、特に教育機関や保健機関などの最も機密性の高いカテゴリーのデータを扱う組織や、公共事業や電力会社などの重要なサービスの運営者において、脆弱性管理を自動化する必要性です。
これらの組織では、メンテナンス期間を待たずに緊急のアップデートを自動的に展開する機能が標準モデルとして採用されるべきですが、それを超えて、パッチ テスト、検証、展開においても自動化を推進する必要があります。
最高情報セキュリティ責任者 (CISO) は、共通脆弱性評価システム (CVSS) の評価や既知のエクスプロイトなどの既知の指標を利用して、組織に対するリスクに基づいて脆弱性の優先順位を付ける必要があります。ここでは脅威インテリジェンスの統合が重要です。また、コア テストでは、ハードウェア層ごとの平均修復時間 (MTTR) の明確な指標を作成する必要があります。
しかし、それは、リスクの低い脆弱性が必ずしも後回しになるという意味ではありません。実際、報告書では、セキュリティリーダーは、複数の重大度の低い問題がより有害な攻撃に結合され、EoP や横方向の移動が可能になるチェーン攻撃を考慮して、脆弱性の優先順位付けモデルも更新する必要があると述べています。 Action1は、重大度の低い欠陥に対するサービスレベルアグリーメント(SLA)を再評価して、現在の修復スケジュールが依然として適切かどうかを確認する必要があると述べた。
