Verizon DBIR 2026 の主な調査結果: 脆弱性対策の遅れと悪用の加速が浮き彫りに

2026 Verizon Data Breach Investigations Report (DBIR、2026 年度データ漏洩/侵害調査報告書) によると、脆弱性エクスプロイトが急増し、最初の侵入経路の第 1 位となる一方、修正率は悪化しているという憂慮すべき傾向が明らかになりました。

キーポイント

1. 脆弱性の悪用が、データ漏洩の最初の侵入経路として急増しており、調査期間中のデータ漏洩の 31% を占めています。
2. セキュリティチームのパッチ適用作業はさらに遅れており、パッチ適用までの中央値は過去 1 年間で 11 日増加しています。
3. AI を搭載したツールによって脆弱性の発見と悪用がかつてない速度と規模で進む中、サイバーエクスポージャー管理は、アタックサーフェスの継続的評価、リスクの優先順位付け、セキュリティ弱点の自動修復を統合することで、組織が状況に遅れずに対処することを可能にします。

Verizon DBIR レポートとは?

Verizon が毎年発表する「Data Breach Investigations Report」(データ漏洩/侵害調査報告書、略称 DBIR) は、2008 年の初版以来、進化するサイバー脅威への深い洞察を組織に提供し続けてきました。Tenable Research が脆弱性の悪用および修正に関する傾向データを再度提供した 2026 年版では、調査結果から厳しい現実が浮き彫りになりました。前年と比較して、米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) が発表する Known Exploited Vulnerabilities (既知の悪用された脆弱性、略称 KEV) カタログに掲載される「パッチ適用必須」の脆弱性の数が大幅に増加しているのです。

脆弱性の公開から修正までのギャップの拡大は、今日のサイバーセキュリティにおいて最も深刻な課題の 1 つです。セキュリティチームは、脆弱性の増加とパッチ管理にかける時間の不足によって、すでに対応が困難な状況にあります。このような現実は、包括的なサイバーエクスポージャー管理の重要性を強く示しています。それは、AI を活用した戦略的な先制型セキュリティアプローチであり、アタックサーフェスを継続的に評価してリスクに優先順位を付け、セキュリティ上の弱点を自動修正を調整することで、組織のサイバーリスク低減を支援するものです。

Verizon DBIR 2026 の概要と分析

2026 Verizon DBIR では、「脆弱性の悪用」が初期侵入経路の首位であり、調査期間中のデータ侵害の 31% を占めていることが明らかになりました。さらに懸念されるのは、パッチ適用までの中央値が 32 日から 43 日へと、34% も増加したことです。今年の調査結果は、組織のパッチ適用率が後れを取り続ける一方で脆弱性の数が増大の一途をたどっているという、大変厳しい現実を突きつけています。

CVE の爆発的増加は続き、AI がその流れをさらに加速

脆弱性を取り巻く環境は依然として爆発的に拡大しており、CVE プログラムには現在 351,000 件以上の CVE が登録されています。さらに 2026 年だけですでに 21,500 件以上が予約済みです。過去最多を更新する勢いで脆弱性が氾濫する中、すでにリソースが逼迫しているセキュリティチームにとっては、極めて困難な状況が生じています。パッチ適用までの期間の中央値が延びる一方で、悪用までの期間は短縮しており、開示から修正までの競争において攻撃者が優位に立っています。

状況は劇的に悪化する可能性があります。 サイバーセキュリティコミュニティは、Anthropic の Claude Mythos のような、AI を搭載した脆弱性発見ツールに対する懸念を強めています。この種のツールは、コードベースのセキュリティ欠陥をかつてないスピードと規模で自動的に特定することができます。 このようなツールは防御側のセキュリティチームにとっても有益である一方、大きな転換点となる可能性もあります。AI によって、組織によるパッチ適用よりも先に脆弱性が発見できるようになれば、現在すでに膨大化しているパッチ適用の負担が完全に管理不能に陥るおそれがあるからです。

この AI による加速は、最悪のタイミングで起こったと言えるでしょう。 組織はすでに脆弱性対策に苦慮しており、Verizon DBIR では、組織が KEV 脆弱性への対策に成功しているのはわずか 26% に過ぎないことが判明しました。 この懸念に加えて、DBIR は 2025 年には CISA KEV 脆弱性のパッチ適用数が約 50% 増加し、セキュリティチームにさらなる負担をかけていると指摘しています。 

AI モデルによって新たに発見された脆弱性が CVE データベースを埋め尽くしたり、あるいはより深刻なケースとして、攻撃者がこうしたモデルを悪用して防御側の対応より先にゼロデイ脆弱性を発見・悪用したりするようになれば、現在の修復をめぐる危機は、従来のパッチ適用型防御モデルのシステム不全にまで発展する可能性があります。

サイバーエクスポージャー管理の重要性

脆弱性の悪用が初期侵入経路として最も多く見られるため、メディアでも大きく取り上げられています。しかし、これはサイバーエクスポージャー問題のほんの一部にすぎません。DBIR では、認証情報の悪用も重要な脅威ベクターとして特に取り上げられており、脆弱性が単独で存在するわけではないことが強調されています。盗まれた認証情報は、中程度の深刻度の脆弱性を重大な侵害経路へと変える可能性があります。また、設定の露出が、攻撃者に未パッチのシステムを悪用するためのアクセスを提供することもあります。

こうしたエクスポージャーの相互連関こそ、包括的なサイバーエクスポージャー管理を採用する組織が増え続けている理由です。今日の脅威環境において侵害リスクを減らすには、アイデンティティリスク、設定ミス、過剰な権限、脆弱な資産など、アタックサーフェス全体を把握し対処することが不可欠です。

AI を活用した脆弱性の発見が可能になった今、サイバーエクスポージャー管理はもはや絶対に欠かせない対策となっています。AI ツールによって脆弱性の特定が加速する中、組織は「より多くの脆弱性により速くパッチを適用する」という単純な発想から脱却しなければなりません。 重要なのは、自社固有の環境に照らして最も対処すべき脆弱性を見極め、優先的に修正することです。例えば、認証情報の露出がなく、強固なアクセス制御が施された隔離システムで新たに発見された脆弱性は、認証が脆弱なインターネット公開資産上に存在する古い CVE と比べて、リスクははるかに低いと言えます。 Tenable One サイバーエクスポージャー管理プラットフォームは、こうした重要な優先順位付けの判断に必要なコンテキストフレームワークと、AI によって加速された脆弱性発見の時代において修正プロセスを加速するためのエージェント型オーケストレーションエンジンの両方を提供します。

DBIR 報告期間データからの注目すべきインサイト

Tenable Research は、データの傾向を調査するために、CVE を製品カテゴリに分類し、未修復の資産の割合が最も大きいカテゴリを比較しました。この分析では、攻撃者に実際に悪用され、標的にされている既知の脆弱性である KEV CVE に焦点を当てています。

下図のとおり、開発ツールに影響する脆弱性が未修復アセット率で最も高く、次いで仮想化・ハイパーバイザーの脆弱性、リモート監視・管理 (RMM) の脆弱性が続きました。製品カテゴリによって修正プロセスはさまざまですが、ほぼすべてのカテゴリで未修復率が 50% を超えているという全体的な傾向は、多くの組織が脆弱性の修正に依然として苦慮していることを明白に示しています。

同様に、資産が未修正のまま残っていた平均日数を調査し、それを DBIR 報告期間中にそのカテゴリに影響を与えた CVE の数と比較しました。

Tenable によるデータ分析の結果は、Verizon DBIR で強調された厳しい現実を裏付けるものです。 組織は、既知の悪用された脆弱性のパッチ適用にこれまでより時間を要しており、その一方で、緊急の対応が求められる脆弱性の数は急増していることが明らかになりました。

DBIR の調査結果

2026 DBIR の調査結果は厳しい内容ですが、サイバーセキュリティの最前線に立つ人々にとっては驚くべきものではありません。このデータが裏付けているのは、多くのセキュリティチームが日々実感している現実、すなわちパッチ適用の負荷が組織の対応能力を上回るペースで拡大しているという事実です。脆弱性の悪用が最も一般的な初期侵入経路となり、パッチ適用までの期間の中央値が上昇を続ける中、攻撃者の速度と防御側の対応のギャップは一層広がっています。

組織は、脆弱性の有無だけを捉えるのではなく、自社環境におけるリスクの全体像を踏まえた「エクスポージャー中心」のアプローチを採用する必要があります。具体的には、次のような問いを常に意識することが重要になります。

• どの資産が外部に露出しているか?
• 誰がアクセスできるか?
• どの認証情報が侵害されているか?
• どのようなエクスポージャーの組み合わせが、最も危険な攻撃経路を生み出すか?

AI が人間のパッチ適用を上回る速さで脆弱性を発見している今、本当に重要なエクスポージャーを見極めることこそが、持続可能な唯一の前進策です。

Tenable Research のデータを加えた 2026 DBIR は、最新の脅威環境に関する貴重な洞察を提供しています。Tenable は、セキュリティ担当者の皆様に Verizon DBIR の全文をお読みいただき、最新の攻撃動向を把握したうえで、サイバーエクスポージャー管理戦略の策定に調査結果を活用されることを推奨します。本レポートで明らかにされた危機は、従来の脆弱性中心モデルからの脱却と、包括的かつ AI を活用したエクスポージャー管理への本質的な転換が求められていることを示しています。

影響を受けているシステムの特定

Tenable は、CISA の KEV カタログに対する包括的な検出カバレッジを提供しており、脆弱性の公開後は迅速に検出機能をデプロイします。 このカバレッジは多様なアセットカテゴリにわたるため、お客様の環境内で実際に悪用されている脆弱性に対する可視性を広く確保できます。KEV カタログに掲載されている CVE には、CVE ページにタグが付与されます。また、今後のプラグインについては、Plugins Pipeline ページでご確認いただけます。

詳細情報

• Verizon 2026 Data Breach Investigations Report (DBIR、2026 年度データ漏洩/侵害調査報告書)

最新のサイバー脅威に関する詳しい議論については、Tenable Connect 上の Tenable Research Special Operations（RSO）チームをご覧ください。

DX 時代のアタックサーフェスのためのサイバーエクスポージャー管理プラットフォーム、Tenable One についてはこちらをご覧ください。