あなたのセキュリティ課題が武器に変わる：2025年エクスポージャーマネジメントレポートが示す機密コンテンツへの影響

すべてのCISOが不安になるべき事実があります。

3年前から「いつかパッチを当てよう」と思っていた脆弱性、攻撃者はAI支援型コーディングツールのおかげで、1時間足らずで悪用方法を見つけ出しました。あなたの未対応リストが、彼らの「買い物リスト」になっているのです。

Intruderの2025年エクスポージャーマネジメントインデックスは、3,000社以上の中小企業を分析し、希望と警鐘が入り混じる現状を浮き彫りにしています。確かに、重大な脆弱性の修正は加速しており、2024年の75%から89%が30日以内に対応されています。しかし、ここで衝撃的なのは、高深刻度の脆弱性が前年比19%増加しており、攻撃者が「バックカタログ」となった古いCVEの悪用がこれまで以上に容易になっていることです。

財務書類、医療記録、顧客データ、知的財産など、機密性の高いコンテンツを扱う組織にとって、この変化は存続リスクそのものです。攻撃者が最も価値のあるデータを守るインターネット公開システムを狙うと、たった1つの未対応「高」脆弱性が、通常業務と侵害通知レターの分かれ道となり得ます。

このデータが、セキュリティプログラム、コンプライアンス義務、そして最も重要なコンテンツ保護能力に何を意味するのか、詳しく見ていきましょう。

深刻度の変化：「高」が新たなクリティカルである理由

2025年レポートの見出しは明快です。重大脆弱性は横ばいですが、高深刻度の問題が急増。1組織あたりの高深刻度脆弱性の平均件数は281件から334件へと19%増加し、エコシステム全体の高CVEも34%増加しています。

なぜ「高」に注目すべきか？

深刻度評価は出発点であり、ゴールではありません。インターネット公開のファイル転送システムや顧客ポータル、IDプロバイダーにおける「高」脆弱性は、単なる発見事項ではなく、最も機密性の高いデータに向けられた「装填済みの武器」です。分類システムは「どれほど悪くなり得るか」を示しますが、エクスポージャーと影響は「実際に悪用された場合どれほど深刻か」を示します。

現代の侵害の典型例を考えてみてください。多くは高度なゼロデイから始まるのではなく、既知の脆弱性が狙われます。たとえば、ドキュメントリポジトリを守るVPNゲートウェイ、コラボレーション基盤を守るファイアウォール、顧客ファイルへのアクセスを制御するIDプロバイダーなどです。これらのシステムは利便性のために意図的に公開されていますが、脆弱な状態では被害が一気に拡大し、壊滅的な結果を招きます。

セキュアなファイル共有やコミュニケーション基盤を利用する組織にとって、これは特に大きなプレッシャーポイントです。セキュリティアプライアンスや境界インフラは、単にネットワークを守るだけでなく、ビジネスの「王冠の宝石」を守っています。これらのシステムに未対応の高深刻度脆弱性があることは、攻撃者への「招待状」となります。

AI駆動の悪用工場：古い問題が再び新たな脅威に

ここからが本当に不安なポイントです。攻撃者は1年、2年、3年前の脆弱性を積極的に悪用し始めています。その理由は、AI支援型コーディングにより、信頼性の高い悪用コードの作成ハードルが劇的に下がったためです。かつては熟練リサーチャーが数週間かけていた作業が、今や中程度のスキルを持つ攻撃者でも数時間で可能になっています。

データもこれを裏付けています。2025年の「今年の脆弱性」は、境界や広く普及したインフラの「ベストヒット集」のようです：

ToolShell：土曜朝の悪夢

Microsoft SharePoint CVE-2025-53770は、現代の「パーフェクトストーム」の典型例です。Active Directoryと連携することが多いシステムで、未認証のリモートコード実行が可能となり、しかも土曜日に詳細が公開されるという状況。多くのチームが時間外対応できないタイミングで、パッチ公開が遅れ、数日単位の悪用可能なウィンドウが生まれました。

SharePointでドキュメントコラボレーションや管理を行っている組織にとって、これは非常に深刻なリスクです。初動対応したチームは被害を防げましたが、数日遅れた場合、すでに攻撃者がリポジトリ内部に侵入している可能性がありました。

Palo Alto PAN-OS：「修正済み」が修正ではなかった場合

認証バイパス脆弱性（CVE-2025-0108）は、「セキュリティは決して完全に解決されない」ことを痛感させます。以前のバイパス後に追加された保護策が不完全で、攻撃者はApache、Nginx、PHPのリクエスト処理の違いを組み合わせて、管理プレーンの認証を回避しました。

ファイアウォール管理インターフェースで認証が破られると、被害範囲は即座に壊滅的となります。機密ファイル転送や通信をセキュリティアプライアンスで守る組織にとって、これは「最悪のシナリオ」です。データを守るはずのシステムが侵入口となってしまいます。

Apache mod_rewrite：普及率の高さが攻撃機会を生む

CVE-2024-38475は、広く導入されているコンポーネントが最も影響を及ぼしやすいことを証明しています。Apacheの膨大なインストール数により、アプリケーション層のバグがエクスプロイトキットに頻繁に組み込まれ、アップデートの遅れが被害拡大を招いています。

これら3つのケースに共通するのは、「インターネット公開」「ID周辺」「広範な普及」という特徴を持つインフラが、機密データを狙う攻撃者にとって最短ルートであるということです。

スピードのパラドックス：加速する修正、しかし追いつけない現実

ここで朗報もあります。組織は修正スピードを劇的に向上させています。北米では重大脆弱性の平均修正期間が37日から16日に短縮。欧州は1組織あたり重大脆弱性が北米より約100件少ない一方、高深刻度の課題は多め（423件 vs. 248件）です。

30日以内に89%の重大脆弱性を修正できているのは大きな成果です。プロセスの効率化、チームへの権限移譲、官僚的摩擦の排除により、現代の脅威に必要なスピードが実現できると証明されています。

しかし、ここにパラドックスがあります。修正スピードが上がっても、悪用可能な脆弱性の量と速度は増加し続けています。速く走ってもゴールが遠ざかる状態です。機密コンテンツを扱う組織では、常に「制御されたカオス」状態が続き、改善しても完全に追いつくことはできません。

メトリクスに隠れたコンプライアンスの金鉱

コンプライアンスやプライバシー責任者にとって、30日以内の修正基準は単なるセキュリティ指標ではなく、「統制の有効性を証明する監査可能な証拠」となります。

規制当局やエンタープライズ顧客は、約束ではなく証拠を求めています。彼らが求めるのは：

• 明確な所有者が定義された資産インベントリ
• 優先順位決定の根拠となる深刻度の説明
• ビジネス上の正当性が記録された変更承認
• 対応スピードを証明する修正タイムスタンプ
• リスク管理成熟度を示す例外対応

重大脆弱性の30日未満修正へのシフトは、監査人が検証可能な実践的かつ測定可能な目標を生み出します。これは理想論ではなく、データが大規模に達成可能であることを示しています。

GDPR、HIPAA、DORA、NIS2指令などの規制対象組織にとって、エクスポージャーマネジメントはセキュリティ運用とコンプライアンス証拠の間をつなぐ重要な架け橋です。発見・優先付け・修正されたすべての脆弱性は、処理の安全性、運用レジリエンス、インシデント対応能力に関する規制要件を直接サポートする証拠となります。

特に侵害通知リスクへの影響を考えてみてください。インターネット公開システムでの未認証RCEや認証バイパス、特にIDプロバイダーやファイル転送基盤、管理プレーンで発生した場合、個人データ漏洩の可能性が大幅に高まります。エクスポージャーマネジメントは技術的リスクを減らすだけでなく、通知要件発動や関連する規制・財務・評判コストの発生確率も低減します。

発見と修正のギャップ：善意が消える場所

レポートは、組織規模と修正スピードに関する不都合な真実を明らかにしています。2024年、従業員50人未満の企業は、51〜2,000人規模の組織よりも重大脆弱性の修正がほぼ2倍速（20日 vs. 38日）。2025年には14日対17日と差は縮小しましたが、依然として顕著です。

なぜ小規模チームは速いのか？答えは単純です。引き継ぎが少なく、承認も少なく、過去のしがらみに縛られないからです。

セキュリティチームは脆弱性の発見・トリアージを効率的に行えます。最新のスキャンツールや脅威インテリジェンス、資産自動発見により検出は容易になりました。しかし、セキュリティチームは脆弱性を「修正」できません。実際に修正できるのはインフラエンジニア、DevOps、製品開発者です。発見から修正までの引き継ぎが増えるほど、摩擦や遅延、未対応のまま放置されるリスクが高まります。

業種別データもこの傾向をよく示しています：

• ソフトウェア企業は平均修正期間を24日から13日に短縮し、突出した成果を上げています。クラウド中心のワークフロー、自動デプロイ、迅速なロールバック機能が大きな強みです。
• 金融サービスは逆に2024年の14日から2025年は22日へと悪化。資産の複雑さ、厳格な変更管理、リスク回避文化が要因です。顧客の金融データを管理し規制監督を受ける中、運用上の混乱を避けるプレッシャーが、かえって重要な修正を遅らせることもあります。
• ヘルスケアサービスは修正期間が20日台前半で、インターネット公開の臨床システムや長時間停止できないコラボ基盤など、独自の課題に直面しています。
• プロフェッショナルサービスは29日から21日へと大きく改善。ただし、クライアント案件が急増した際にこのペースを維持するのは課題です。

どの業種でも機密コンテンツを扱う組織にとって、教訓は明確です。セキュリティチームとエンジニアリングチームの距離は、露出日数で測られます。引き継ぎを最小化し、官僚的摩擦を排除し、修正できる人に権限を与えましょう。

実際に効果を出す6つのアクション

診断はここまでにして、実際に効果がある対策を紹介します。30日未満で修正し、エクスポージャーを効果的に管理できている組織には共通点があります：

1. インターネット公開範囲を徹底的に縮小
   すべてのインターネット公開システムは潜在的な侵入口です。公開範囲を監査し、本当に必要かを問い、「必要かつ防御されている」基準を満たさないものは削除。セキュアなファイル共有を管理する組織は、認証・監視・防御されたシステムだけがインターネットに公開されていることを徹底しましょう。
2. トリアージプロセスの再評価
   重大脆弱性は引き続き最優先ですが、高深刻度の急増により、クリティカル対応が終わるまで無視できません。優先順位付けは以下の観点で：
   • 悪用可能性（実際に悪用コードが存在するか）
   • エクスポージャー（システムがインターネット公開か）
   • 被害範囲（侵害時の影響規模）
   • データの機密性（規制対象や高価値データを守っているか）

   ドキュメント管理システムの認証層における高深刻度脆弱性は、社内テストサーバーの重大脆弱性よりも緊急対応が必要です。

3. 30日未満SLAを経営層レベルで明文化
   30/60/90日修正目標を正式なポリシーにし、四半期ごとに取締役会でダッシュボードを確認。現時点でこれらの指標を測定・報告できない場合は、まず測定体制の整備が最優先。データが達成可能性を示しているので、義務化しましょう。
4. 発見と修正のギャップを埋める
   修正責任を、実際に対応できるチームに極力近づける。重要インフラやセキュリティアプライアンスでは、境界アドバイザリ用の緊急変更ウィンドウを事前承認。承認プロセスは文書化しつつ、迅速化を徹底。16日平均と37日平均の差は、承認ゲートの数に起因することが多いです。
5. ベンダーエコシステムも自社インフラ同様に扱う
   サードパーティリスク管理やシャドーITは、見えないところで攻撃対象領域を拡大します。資産発見はサプライヤー環境や「未承認だが利用中」のサービスも含めること。ベンダーとの契約SLAも自社基準（30/60/90日）を反映。ベンダーが機密データに関わるシステムを管理している場合、その修正スピード＝自社の修正スピードです。
6. 最初からコンプライアンスを設計に組み込む
   作業の過程で資産リスト、深刻度判断、タイムスタンプ、承認、例外理由などの証跡を記録。初日から規制フレームワークや顧客要件にマッピング。エクスポージャーマネジメントプログラムが監査証拠リポジトリも兼ねれば、次回の監査は「火消し」ではなく、単なるデータ抽出作業になります。

地域ごとの規制効果

データは、規制圧力の影響について興味深い傾向を示しています。欧州の組織は、北米より1社あたり重大脆弱性が約100件少ない水準に近づいています。DORA、NIS2、サイバーレジリエンス法の推進者は、規制フレームワークが行動変容を促す初期証拠と見るでしょう。

ただしレポートは慎重です。勝利宣言には早く、欧州も高深刻度の課題は多いまま。しかし、外部からの圧力（規制当局や要求水準の高い顧客）がセキュリティ改善を加速させる傾向は明らかです。

これらの実践を採用するのに義務は不要ですが、規制コンプライアンスや契約上のセキュリティ義務がある場合は、予算・人員・経営層の支援獲得のレバレッジとして活用しましょう。

AIのワイルドカード：高速なコード、高速な脆弱性

不都合な現実ですが、ソフトウェア開発を加速させるAI支援ツールは、脆弱なコードのリリースも加速させます。AIが開発者の出荷スピードを上げるなら、脆弱性の出荷も速くなるのです。

解決策はAI支援開発を禁止することではありません（それはもはや現実的ではありません）。AI生成コードも他のサプライチェーンコンポーネント同様に扱いましょう。ゲート付きレビュー、自動セキュリティスキャン、テスト要件を本番前に適用。脆弱性管理プログラムは、正規開発とセキュリティ課題の加速化の両方を考慮する必要があります。

今四半期にやるべき3つのアクション

3,000社超のデータから、最大効果を得るための重点ポイントを示します：

1. インターネット公開インフラを監査し、特に機密コンテンツを守る・アクセスを提供するシステムに注目。公開されている場合は、必要性・適切な認証・継続的な監視・最新のセキュリティ対策が必須。それ以外は追加防御層の背後に移すか、完全に削除しましょう。
2. トリアージを高深刻度脆弱性（特に古いCVEかつ実際の悪用コード有り）に再配分。バックカタログは「生きて」おり、攻撃者は3年前の脆弱性をあなたの修正ペースより速く再利用しています。レポートで強調された脆弱性クラス（未認証RCE、認証バイパス、広範インフラの脆弱性）ごとに具体的なプレイブックを作成し、実際に訓練しましょう。
3. 重大脆弱性の30日未満修正基準を制度化。ポリシー化し、運用で実践し、監査で証明。経営ダッシュボードや経営会議でKPIとして可視化。データは、規模や業種を問わずこの基準が達成可能であることを示しています。遅い対応に言い訳は通用しません。

結論：スピードも重要だが、フォーカスはさらに重要

2025年エクスポージャーマネジメントインデックスは、率直なメッセージを突きつけており、その明快さこそ価値です。リスクを最も効果的に管理している組織は、すべての脆弱性をパッチしようとはしていません。インターネット公開範囲を削減し、結果を左右する脆弱性を優先し、修正を可視化・検証可能にしています。

機密コンテンツを扱う組織では、リスクは特に高まります。ドキュメントや通信、データを守るインターネット公開システムはすべて潜在的な侵入口。認証バイパス、未対応RCE、古いCVEに新たな悪用コードが加わるたび、守るべきコンテンツへの直接的な脅威となります。

朗報は、修正スピードが向上していること。必要なツールも揃い、基準も達成可能。成功する組織と苦戦する組織の違いは、予算や人員ではなく、フォーカス、プロセスの規律、そして本当に重要なことを測定・報告する意志です。

セキュリティの未対応リストは、もはや単なる技術的負債ではありません。今や、攻撃者があなたの組織に向ける「武器」となっています。エクスポージャーマネジメントプログラムを改善するかどうかではなく、攻撃者が未対応リストを突破口にする前に改善できるかどうかが問われています。