脆弱性の悪用が認証情報を上回る。パッチモデルは静かに機能不全に。
19年間にわたり、Verizon DBIRは「攻撃者の大半は認証情報の窃取によって侵入する」という不都合な事実を記録してきました。しかし、2026年版DBIRでは、この傾向が初めて逆転しました。脆弱性の悪用が、侵害の初期アクセス経路として31%でトップとなり、認証情報の悪用は13%に低下しています。
アクションデータの詳細を見ても同様の傾向が見られます。アクションの種類レベルで、脆弱性の悪用は侵害の32%に登場し、前年の18%からほぼ倍増しています。Mandiant M-Trends 2026レポートもインシデント対応データからこれを裏付けており、侵入の32%が脆弱性の悪用、メールフィッシングはわずか6%にとどまっています。認証情報を中心とした防御策への投資は引き続き必要ですが、もはや支配的な脅威には合致していません。
5つの重要なポイント
1. 脆弱性の悪用が初期アクセス経路のトップに
2026年Verizon DBIRによると、侵害の31%で脆弱性の悪用が発生し、認証情報の悪用は13%に低下しました。DBIRの19年の歴史で、脆弱性の悪用が初めてトップとなりました。過去5年間で多くの企業が構築してきたMFA、フィッシング耐性認証、認証情報監視といった防御体制は、前時代には正しかったものの、現在の主要脅威には合致していません。
2. KEVの修正率が後退
2025年にCISA KEVリストの重大な脆弱性が完全に修正された割合は26%で、前年の38%から低下しました。完全解決までの中央値は32日から43日に増加。組織が直面する重大な脆弱性の数は中央値で前年より50%増加しています。分母の増加が修正能力を上回っており、これは実行力の問題ではなく構造的な問題です。パッチ適用を主なコントロールとするインシデント対応体制は、もはや正しい基盤で機能していません。
3. AIにより攻撃者のウィンドウが数時間に短縮
Synackの調査では、修正までの平均日数が63日から38日に短縮されましたが、それでも悪用のスピードには追いついていません。エクスプロイトのウィンドウは数時間にまで縮小。CrowdStrikeはAIを活用した攻撃者活動が前年比89%増、ゼロデイの増加が42%と報告しています。脆弱性公開から武器化までのギャップは、防御側の対応速度の向上を上回るペースで縮まっています。
4. NVDの情報精度が負荷で崩壊
Dragos 2026 OT/ICSレポートによると、2025年にCISAおよびNVDのCVEの15%でCVSSスコアが誤っており、そのうち64%が過小評価でした。公開アドバイザリの25%にはパッチや緩和策がありません。基盤となるスコアリングインフラが15%の確率で誤り、4分の1の脆弱性公開に修正策がない状況では、データガバナンスはCVEの把握だけに依存できません。
5. アーキテクチャ上の答えはデータ層ガバナンス
パッチが間に合わない、正しいCVSSスコアがない、修正策がない場合でも、データは守らなければなりません。ゼロトラストアクセス、FIPS 140-3暗号化、改ざん検知可能な監査ログはCVEの知識に依存しません。Kiteworks環境では、CVSS 10のLog4Shell脆弱性も、データ層の防御がアプリケーション層の脆弱性を補完したことで、実効CVSS 4に抑えられました。
組織のセキュリティを信じていますか。その証明はできますか?
今すぐ読む
修正の課題:26%が後退
2025年にCISA KEVリストの重大な脆弱性が完全に修正された割合は26%で、前年の38%から低下しました。完全解決までの中央値は32日から43日に増加。組織が直面する重大な脆弱性の数は中央値で前年より50%増加していますが、これは一因に過ぎません。Synack 2026 State of Vulnerabilities Reportは、11,000件超の悪用可能な脆弱性を分析。公開CVEは48,244件(前年比20%増)、修正までの平均日数は63日から38日に短縮されましたが、新たな脆弱性の発見と武器化のペースがそれを上回っています。
CrowdStrike 2026 Global Threat Reportは、攻撃者側の加速を指摘。ゼロデイ悪用が42%増加、AIによる攻撃活動が前年比89%増、eCrimeグループがインターネットに公開されたエンタープライズシステム(MFT、ITSM、ERPなど)でゼロデイを体系的に武器化していることを記録しています。攻撃者の加速、防御側の改善がギャップを埋めきれていないという一貫したパターンが見られます。
NVD崩壊:CVSSスコアが誤っている、または欠落している場合
パッチベースの防御モデルは、脆弱性が迅速にスコア付けされ、CVSSスコアが正確で、公開と同時に緩和策が発表されるという静かな前提に依存しています。Dragos 2026 OT/ICS Cybersecurity Year in Reviewは、この前提がもはや成り立たないことを示しています。2025年にCISAおよびNVDのCVEの15%でCVSSスコアが誤っており、そのうち64%は過小評価。公開アドバイザリの25%にはパッチや緩和策がありません。NVDの情報補完だけで最大2年かかるケースもあります。
構造的な影響として、CVSSに基づく脆弱性管理ツールは15%の確率で誤ったデータを優先し、しかもリスクを過小評価する傾向があります。4分の1の脆弱性にはパッチ適用が選択肢になりません。NVDデータに基づく優先順位付けは常にバックログを抱えた状態です。だからこそ、データ分類やデータ層ガバナンスはCVEの知識に依存せず、保護が公開より先行する必要があります。
アーキテクチャ上の示唆:パッチ適用は必要だが十分ではない
2026年DBIR、Synack、Mandiant、CrowdStrike、Dragosのデータを総合すると、パッチ管理が失敗したのではなく、パッチ管理だけでは本来担うべき防御の役割を果たせなくなっていることが明らかです。防御側の対応ウィンドウは今や「数時間」、通常のパッチサイクルは「数日〜数週間」、脆弱性データは信頼性が低下し、公開された問題の一定割合には修正策がありません。
アーキテクチャ上の結論は、パッチが遅れても、正しいCVSSスコアがなくても、あるいはパッチが提供されなくても、防御が維持されなければならないということです。Kiteworksの実例では、2021年12月のCVSS 10のLog4Shell脆弱性も、強化された仮想アプライアンス、組み込みWAF、シングルテナント分離、FIPS 140-3暗号化、改ざん検知可能な監査ログによって、データ層の露出がアプリケーション層のごく一部に抑えられました。パッチは後から適用されましたが、データはそれを待つ必要がありませんでした。
違いを生む5つのアーキテクチャ特性があります。組み込みファイアウォール、WAF、侵入検知を備えた強化仮想アプライアンスにより、パッチ適用中も防御が維持されます。FIPS 140-3認証の二重暗号化(ファイルレベル+ディスクレベル、鍵は別管理)で、アプリケーション層の脆弱性がデータ層の情報流出に直結しません。シングルテナント分離でクロステナントの被害拡大を防止。改ざん検知可能な監査ログをリアルタイムでSIEMに記録し、スロットリングやログ欠落なし。さらに、すべてのリクエストに属性ベースアクセス制御を適用したデータ層でのゼロトラストアクセス強制により、境界突破がデータ層まで波及しません。
コンプライアンスの基盤:FedRAMP、FIPS 140-3、CMMC、そしてハードニング基準
2026年DBIRが記録する、インターネットに公開されたエンタープライズシステムの体系的な武器化は、商用基準を超えたハードニング認証の必要性を示しています。Kiteworks 2025 Data Forms Reportによれば、政府関係者の75%がクラウドサービスにFedRAMPを、69%がFIPS 140-3認証暗号を要求しています。これらの要件は、同じ攻撃者に直面してきた実務経験に基づいて策定されており、DBIRが記録するような商用システムへの攻撃増加にも対応しています。
Kiteworks DIB準備状況レポートによると、防衛産業基盤組織のうちCMMCレベル2への準備ができていると考えるのは46%にとどまり、57%がNIST 800-171ギャップ分析を未実施、62%が十分なガバナンス管理策を持っていません。DBIR以降の脅威環境では、CMMCレベルのハードニングはDIB以外にも有効であり、アクセス制御、監査、識別・認証、システム保護管理策こそがパッチモデルが機能しないときにデータを守る鍵となります。
今四半期にセキュリティリーダーが取るべき行動
まず、パッチベースの防御だけではもはや十分でないことを受け入れてください。パッチ適用の迅速化への継続的な投資は必要ですが、エクスプロイトウィンドウが数時間、修正率が低下する環境ではアーキテクチャ上の解決策にはなりません。
次に、規制対象または機密データを保持するすべてのシステムのデータ層ガバナンス体制を監査してください。テストすべき問いは「明日このシステムに重大な脆弱性が発見され、パッチが存在しない場合、データを守るのは何か?」です。「迅速にパッチを適用する」という答えではアーキテクチャ上の解決策になりません。
三番目に、機密データ交換プラットフォームの選定時には、ハードニング認証を優先してください。DBIRはMFT、ITSM、ERPの脆弱性が体系的に武器化されていることを記録しています。FedRAMP High、FIPS 140-3、CMMCレベル2基準で独立評価されたプラットフォームは、そうでないものよりも厳格なハードニングが実証されています。
四番目に、侵害前にフォレンジック記録を構築してください。DBIRは侵害から公開までの中央値が73日であると記録しています。すべてのデータ交換活動の改ざん検知可能なリアルタイム完全監査ログがフォレンジック記録の基盤です。断片的またはスロットリングされたログはフォレンジック要件を満たしません。
五番目に、断片化したデータ交換を単一のコントロールプレーンに統合してください。各ポイントソリューションは独自のパッチ適用対象と被害拡大リスクを持ちます。Kiteworksプライベートデータネットワークは、メール、ファイル共有、MFT、SFTP、Webフォーム、AI連携を一つの強化アーキテクチャに統合し、機密データを保持するインターネット公開型エンタープライズプラットフォームの数を増やすのではなく減らします。
脆弱性の悪用から機密データを守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください。
よくあるご質問
脆弱性の悪用が侵害の31%で初期アクセス経路のトップとなり、DBIR史上初めて認証情報の悪用(13%)を上回りました。KEVの修正率が26%に低下し、AIによる悪用の加速とあわせて、パッチ適用の迅速化だけではもはや十分でないことが明らかです。パッチが遅れた場合でも、監査証跡とゼロトラストアクセスによるデータ層ガバナンスが不可欠です。
必要ですが、もはや十分ではありません。KEVの修正中央値は43日に延び、エクスプロイトウィンドウは数時間に短縮されています。パッチ適用だけではバランスが取れません。データ層ガバナンス(強化アーキテクチャ、FIPS 140-3暗号化、改ざん検知可能な監査ログ)が、パッチ適用期間中もデータを守る必要があります。
DBIRはMFT、ITSM、ERPの脆弱性が体系的に武器化されていることを記録しています。アーキテクチャ上の対応策は、強化されたシングルテナントの多層防御インフラ(組み込みWAF/IDS、FIPS 140-3二重暗号化、改ざん検知可能な監査ログ)です。これにより、パッチ適用待ちの間もデータが保護されます。KiteworksはFedRAMP Moderate認証取得済み、FedRAMP High申請中で、この要件に合致します。
監査人はCVEの管理状況だけでなく、データ層での多層防御の文書化を求める傾向が強まっています。DBIRのKEV修正率26%という現実は、監査の焦点を「パッチが遅れたとき、データを守るのは何か?」に移しています。シングルテナント分離、FIPS 140-3暗号化、改ざん検知可能な監査ログ、ABACによるアクセス制御がアーキテクチャ上の答えです。
最低でもFedRAMP Moderate認証(最高機密ワークロードにはFedRAMP High申請中)、FIPS 140-3認証暗号モジュール、SOC2 Type II、ISO 27001/27017/27018、継続的な第三者ペネトレーションテストを要求してください。DBIRはインターネット公開型エンタープライズプラットフォームが主な標的であることを示しており、ハードニング認証が規制対象コンテンツを扱うプラットフォームの実質的な基準となっています。
追加リソース
- ブログ記事 国際共同研究における臨床試験データの保護方法
- ブログ記事 CLOUD法と英国データ保護:管轄権が重要な理由
- ブログ記事 ゼロトラストデータ保護:高度なセキュリティ実現のための導入戦略
- ブログ記事 データ保護バイデザイン:GDPRコントロールをMFTプログラムに組み込む方法
- ブログ記事 国境を越えたセキュアなファイル共有によるデータ侵害防止策