迫り来る脆弱性の波がすべてを一変させる理由、そして取るべき対策とは

AI 主導の脆弱性発見、NIST による包括的エンリッチメント縮小、そして従来型管理の限界

2026 年 4 月に起きた 3 つの出来事は、総合すると、脆弱性管理の分野において 10 年以上ぶりとなる重大な変化を示しています。もし貴社が依然としてハイブリッドな手法 (スプレッドシートとスキャナーの併用、自動フィードに手動トリアージを重ねる運用、「楽観主義」を戦略とするアプローチなど) に依存しているのであれば、今回の変化には十分な注意が必要です。

脆弱性管理の新たな局面

4 月 7 日、Anthropic はフロンティア AI モデル Claude Mythos を基盤とするサイバーセキュリティ構想、Project Glasswing を発表しました。 その前提は、フロンティア AI が人間の研究者では到底及ばない速度と規模でソフトウェアのゼロデイ脆弱性を発見できる、というものです。Glasswing の連合には CrowdStrike、Palo Alto Networks、Cisco が参加しており、初期の成果からもその前提の信憑性が高いと言えます。

4 月 8 日には、セキュリティ研究で最も引用される識者として知られる Jeff Pollard 氏と Allie Mellen 氏を含む Forrester のアナリスト 5 名が、ブログ「Project Glasswing Shows That AI Will Break The Vulnerability Management Playbook」(Tenable 訳: Project Glasswing、AI によって脆弱性管理の定石が覆されたことを実証) にて見解を発表しました。Forrester によれば、「発見は加速する一方、資産台帳の実態は現実に追いつけていない」とのことです。その結論は率直なものでした。「セキュリティにおける制約要因は、もはや問題を発見する能力や知識ではない。敵対者に先んじて、問題を吸収し、優先順位を付け、行動に移す能力こそが問われている」

そして 4 月 15 日、アメリカ国立標準技術研究所 (NIST) は、多くの関係者が予見していた決定を発表しました。NIST は今後、Common Vulnerabilities and Exposures (CVE) のエンリッチメントを以下の 3 つの限定カテゴリにのみ実施します。それは、CISA の「悪用既知脆弱性 (KEV)」カタログに掲載されているもの、連邦政府のソフトウェアに影響を及ぼすもの、そして大統領令 14028 に基づく重要ソフトウェアに影響を及ぼすものです。

それ以外の、Forum of Incident Response and Security Teams (FIRST) が 2026 年に約 59,000 件と予測する CVE の大部分については、リストに掲載されるものの、NIST による実用的なメタデータは付与されません。その理由は、深刻度スコア・製品マッピング・脆弱性分類のために数千もの組織が依存してきた公共インフラである NVD (National Vulnerability Database、国家脆弱性データベース) が、もはや現状に追いつけなくなっているからです。

この事実をしっかり受け止めてください。Common Vulnerability Scoring System (CVSS) スコア、Common Platform Enumeration (CPE) マッピング、Common Weakness Enumeration (CWE) 分類のいずれも持たない CVE は、ほとんどの自動スキャン・優先順位付けツールにとって事実上「見えない」存在です。データベース上には存在していても、その深刻度、影響を受ける製品、欠陥の種別について何も教えてくれないのです。

積み重なり合う問題

この 3 つの進展は、互いに影響し合っています。

AI 主導の発見ツール (NIST は Anthropic の Claude Mythos と OpenAI の GPT-5.4-Cyber を名指し) は、CVE パイプラインを加速させています。 CVE 提出件数は、2026 年第 1 四半期では 2025 年第 1 四半期に比べ 33% 増え、2020 年から 2025 年の間で 263% も増加しています。NIST は 2025 年に過去最高となる 42,000 件の CVE をエンリッチメント処理しましたが、これは前年度比で 45% の増加でありながら、それでもなお需要を満たすには不十分でした。

CVE の報告件数が増加の一途をたどる一方で、それらを理解・評価するための公共インフラは縮小傾向にあります。防御側が把握すべき内容と、無償で入手可能なインテリジェンス基盤が示す情報との隔たりは、両方向から同時に広がっているのです。

従来型管理では不十分な理由

ハイブリッド型脆弱性管理プログラムを運用するセキュリティチームにとって、これは他人事ではありません。

優先順位付けのワークフローが「まず NVD で深刻度を確認する」から始まるのであれば、そこには構造的な欠陥があります。新たに報告される CVE の大半は、NIST による深刻度評価を伴わない状態で公開されるからです。 NVD の CVSS スコアを頼りにパッチ適用の優先順位を決めているなら、プロセスから見えなくなっているアタックサーフェスが着実に広がっていることになります。脆弱性を可視化するために依存してきたメタデータが、もはや提供されないためです。

手作業でトリアージしたり、勘に頼ってエスカレーションしたり、その日の受信トレイに届いたものへの場当たり的な対応をしたりと、チームがすでに手一杯であるなら、状況はさらに悪化するでしょう。2025 年に公開された 48,448 件の CVE は 2026 年には 59,000 件に増加すると予測されており、現実的なシナリオでは 70,000 件から 100,000 件に達する見込みです。しかも、これは単年度の急増ではありません。IRST の 3 年間の見通しでは、2028 年まで持続的な増加が続くとされています。

一部は自動化、一部は手動トリアージ、スプレッドシートで全体をつなぎ合わせるというハイブリッドな手法で対処してきた組織は、限界点に差し掛かっています。件数の増加だけでも、大規模なシグナルの中から本当に重要な情報を抽出するインテリジェンス層を備えていない場合は、すぐに処理能力を超えてしまうでしょう。脆弱性の流入が加速し、公的なベースラインが縮小している今、「なんとかなる」という楽観主義は戦略になりえません。

本当に求められるのは対処力

Glasswing と GPT-5.5 の発表には、見出しでは見過ごされがちな重要な違いがあります。AI による脆弱性の発見は「インプット」です。コードの欠陥を見つける作業であり、それ自体は価値ある取り組みで、今後さらに加速していくでしょう。しかし、脆弱性を発見することはインテリジェンス上の課題の出発点にすぎず、終着点ではありません。

深夜に作業をしている防御担当者が知りたいのは、「このソフトウェアに欠陥があるか」ではありません。真に求められる問いは、「この欠陥は現在悪用されているのか」「誰によって悪用されているのか」「自社の業界が標的にされているのか」「自社の環境に露出したインスタンスはあるか」「現在の脅威の状況を踏まえたパッチ適用の SLA はどう設定すべきか」「今すぐ誰かを起こすべきか、それとも朝まで待てるか」といったことです。

どのコードスキャン AI ツールも、これらの問いに答えることはできません。Claude Mythos にも、GPT-5.5 にも、この先登場するモデルにも、それは期待できません。 これらの問いに答えるには、根本的に異なる種類のインテリジェンスが必要です。それは、脅威アクターの特定、キャンペーンの追跡、リアルタイムの悪用証拠、そして企業の実際の環境に関する深い知識に基づいたインテリジェンスです。

Tenable はまさにこのギャップを埋めるために、サイバーエクスポージャーインテリジェンス機能を構築してきました。Tenable のソリューションは、脆弱性を特定するにとどまりません。 何が、誰によって、お客様のどの資産に対して悪用されているのか、そして機会を逃す前に何をすべきかを提示します。

数値で読み解く、Tenable が脆弱性管理の空白を埋める方法

Tenable の Research Special Operations (RSO) チームとそのサイバーエクスポージャー基盤は、NIST によるエンリッチメントパイプラインとは独立して、長年にわたり運用されてきました。つい 1 か月前まで競争上の差別化要因だったこの独立性が、今や防御側の組織にとって運用上の必須条件となっています。

実際の運用における具体例を以下にご紹介します。

• NVD に依存しない優先順位付け。Tenable のエクスポージャーインテリジェンスは、1.7 兆件を超える実世界のセキュリティ検知結果を基に学習した機械学習によって実現されています。これは業界最大規模の独自脆弱性インテリジェンスデータレイクであり、毎日約 5,000 万台の資産をスキャンして、毎月 1,130 億件の新たな検知結果が追加されています。

  VPR は、重要な脆弱性を特定するために NIST の CVSS スコアを必要としません。リアルタイムの悪用テレメトリと、実際の環境から得られた実測データを活用しています。NVD が CVE の深刻度を示せなくなった場合でも、VPR は影響を受けません。そもそもそのパイプラインに依存していないからです。
   

• 政府の基準を超える悪用インテリジェンス。2026 年 4 月 27 日時点で、Tenable の RSO チームは実環境で悪用が確認された CVE として 1,924 件を特定しています。これは、同日時点で 1,568 件のエントリを有していた CISA の KEV カタログを上回る数です。NIST が残り 3 つのエンリッチメント優先事項の 1 つに指定したのは、まさにこの KEV です。

  Tenable が積極的に追跡している CVE のうち、355 件には KEV エントリがまったく存在しません。CISA KEV を行動判断のシグナルとして依存している組織にとって、これら 300 件超の CVE は政府からの早期警告シグナルが届かない脅威を意味します。その代わりにシグナルを発するのが、Tenable です。
   

• 政府の義務付けに一貫して先行する早期警告システム。 Tenable のリサーチチームと CISA KEV で重複するケースの 64% において、Tenable が先に「監視対象 (watch)」指定を確立しており、その中央値リードタイムは 7 日、平均リードタイムは 37 日です。最も顕著なケースでは、Tenable は CISA が KEV に追加する 286 日前に、悪用が確認された Citrix の脆弱性を警告していました。政府の義務付けを待たず Tenable のインテリジェンスに基づいて行動する組織にとって、これは最大 9 か月分の追加修復対応期間を意味します。
   

• どのスキャンツールも提供しない脅威アクターの属性情報。 2026 年 4 月 27 日時点で、Tenable のリサーチコーパスには 668 件の脅威アクタープロファイルが含まれています。内訳は APT グループ 562 件、ランサムウェアグループ 122 件で、特定の CVE と特定の脅威アクターを結び付ける 2,600 件以上の関連付けが文書化されています。 

  例えば、2025 年 7 月に SharePoint のゼロデイ脆弱性が表面化した際、Tenable のインテリジェンスはその重大性を伝えるにとどまらず、Storm-2603 がこの脆弱性を通じて Warlock ランサムウェアを展開していること、Kimsuky が二次的な悪用を行っていること、そして今すぐ自社環境で探すべき侵害の痕跡 (IoC) が何かを具体的に示しました。これが、単なる深刻度スコアと「完成されたインテリジェンス」の違いです。
   

• アラートの氾濫を防ぐシグナルフィルター。 年間 59,000 件を超える CVE が存在する世界において、セキュリティチームが必要としない最たるものは、情報量を増やすだけのフィードです。Tenable のリサーチアナリストは 11,000 件以上の CVE を精査した上で、公式な監視対象 (watch) として指定したのはわずか 368 件、選択率にして 3.3% です。

  つまり、Tenable のチームがレビューした CVE の 96.7% は、評価・分類を経て、正式な監視は必要ないと判断されたことになります。 Tenable の規律は、何をエスカレートするかだけでなく、何を「心配する必要がない」と自信を持って伝えられるかにも表れています。これこそが、年間 59,000 件、あるいは 100,000 件の CVE に対応できるシグナル対ノイズ比です。
   

• AI アタックサーフェスそのものをスキャン。 AI 駆動型ツールが新たなエクスポージャーカテゴリを生み出す中、Tenable は AI および大規模言語モデル (LLM) に関連する脆弱性、設定ミス、セキュリティリスクを検出するために設計された 274 の AI ディスカバリープラグインを展開しています。過去 30 日間だけでも、これらのプラグインは 57 か国・7,300 社以上のお客様企業から 4 億 5,700 万件以上の検知結果を返しています。AI が脆弱性の発見を加速させる一方で、AI 自体も新たなエクスポージャー領域を生み出しています。Tenable は、その領域もすでにスキャン対象としています。

今すぐ取り組むべき理由

AI による脆弱性発見の加速、NIST の運用縮小、そして脆弱性件数の持続的な増加という 3 つの動きが重なり合うことで、「行動しないコスト」はかつてない速度で膨らんでいます。

多くの CVE を確実にエンリッチできなくなった公開ベースラインに依存した優先順位付けを続ける限り、見えないエクスポージャーが積み上がる一方です。二桁成長を続けるパイプラインを人間のアナリストが手動で評価するトリアージに依存し続ければ、対応の遅れは広がるばかりです。さらに、年間 2 万件の CVE を前提とした手法に依存したままのエクスポージャー管理プログラムは、もはやルールそのものが変わったゲームを戦っていることになります。

価値提案のあり方は大きく変わりました。「Tenable のような有料ソリューションには敵わないが、無料ツールもまだまだ使える」などと言っていられる時代ではありません。今や無料のインフラでは必要なインテリジェンスを得ることすらままならない状況なのです。 4 月 15 日に NIST が「未スケジュール」に移行した 29,000 件の CVE が再処理されることはありません。エンリッチメントのギャップは、設計上拡大し続けています。

これは絶望的な状況ではなく、「今後は運ではなく、エクスポージャーインテリジェンスに頼れ」という、むしろ明快なメッセージを表しています。

AI による脆弱性発見の加速は、長期的にはソフトウェアをより安全にします。見される欠陥が増えれば、修正される欠陥も増えるからです。これはエコシステムにとって確かなプラスです。Tenable のリサーチチームはすでに、AI を活用した分析ワークフローを統合しています。従来のアナリスト主導のキュレーションに加え、LLM がキュレーションした 12 万 6,000 件以上の脅威インテリジェンス記事を処理することで、パイプラインが加速する中でもインテリジェンスの品質と速度を維持しています。

加速スピードに後れを取らないためには、次の要素が求められます。

• 即時対応が必要な 3% と不要な 97% を選別できるインテリジェンス層
• 実際の環境における実際の悪用エビデンスに基づく優先順位付けエンジン (ペースに追いつけなくなったパイプライン由来の深刻度スコアでは不十分)
• 脆弱性が悪用される可能性を示すだけでなく、誰が悪用しているかを示す攻撃者情報
• 実際のアタックサーフェスに対する継続的な可視性 (AI の速度での開示サイクルは、静的インベントリを数日で凌駕)

この変化をうまく乗り越えるには、今のうちにインテリジェンス駆動型のサイバーエクスポージャー管理に投資しておく必要があります。「今のやり方で何とかなる」という楽観主義が機能する時代は、終わりに近づいています。脆弱性の件数は増え続け、公共インフラは縮小し、攻撃者は企業のトリアージプロセスの近代化を待ってはくれません。

インテリジェンス、プラットフォーム、そしてエビデンスベース。いずれも今すでに揃っています。問題に先んじ続けるために必要なのは、それらを活用する決断を下すことだけです。

加速する脆弱性発見の世界において重要なものに優先順位を付ける Tenable One Exposure Management Platform の詳細をご確認ください。