_著者：Saeed Abbasi、Qualys、脅威リサーチユニット、シニアマネージャー_ **Time-to-Exploitがマイナス7日となり、自律型AIエージェントが脅威を加速させる中、データはもはや漸進的な改善を支持していません。防御のアーキテクチャは変化しなければなりません。** ## 脆弱性管理の厳しい現実 過去4年間のCISAの既知の悪用済み脆弱性（KEV）の分析は、憂慮すべき傾向を明らかにしています。Day 7時点でパッチが適用されていないクリティカルな脆弱性は、セキュリティチームによってクローズされたチケット数が6.5倍に増加したにもかかわらず、56%から63%に増加しました。これは、単に問題にリソースを投入するだけでは有効な解決策ではないことを示唆しています。 Qualysの調査で追跡された52の悪用された脆弱性のうち、驚くべき88%が、悪用された速度よりも遅くパッチが適用されていました。驚くべきことに、これらの半数は、パッチが存在する前に悪用されていました。 レポートによると、根本的な問題は、速度や努力の欠如ではなく、運用モデルそのものにあります。 ## 累積エクスポージャー：真のリスクメトリック レポートは、**CVE**カウントだけではリスクを測定するのに十分ではないことを強調しています。代わりに、セキュリティチームは、脆弱性がパッチされない期間を考慮する累積エクスポージャーに焦点を当てる必要があります。 **Qualys**は、「リスク質量」という概念を導入しました。これは、脆弱なアセットに露出日数を掛けたもので、**CVE**カウントがしばしば不明瞭にする累積エクスポージャーを捉えます。付随するメトリックである平均露出ウィンドウ（AWE）は、環境全体での悪用から修正までの全期間を測定します。 ## 「手動税」とその影響 この研究は、「手動税」を特定しました。これは、手動プロセスで見落とされがちなロングテールアセットが、露出時間を大幅に延長させる乗数効果です。例えば、**Spring4Shell**の平均修正時間は中央値の5.4倍であり、これらの到達困難なアセットの影響を示しています。 インフラストラクチャシステムの場合、状況はさらに深刻です。**Cisco IOS XE**の脆弱性のケースでは、中央値の修正時間でさえ驚異的な232日であり、複雑で広範な脆弱性に対処する上での手動プロセスの深刻な限界を浮き彫りにしています。 ## 広がるギャップ：AI搭載攻撃 vs. 人間による防御 レポートは、AI搭載攻撃の高度化が、攻撃者と防御者の間のギャップをさらに広げると警告しています。攻撃AIエージェントは、人間が担当する運用が対応できるよりもはるかに速く、攻撃を発見、悪用、実行できます。 AI搭載攻撃者が人間速度の防御者に直面する移行期間は、業界にとって最も危険なウィンドウを表します。これは、攻撃対象領域の拡大、アイデンティティのスプロール、手動による修正ワークフローなどの既存の構造的な脆弱性によってさらに悪化します。 ## リスクオペレーションセンターの台頭 これらの課題に対処するために、**Qualys**はエンドツーエンドのリスクオペレーションセンターの採用を提唱しています。このアプローチは、組み込みインテリジェンス、アクティブな脆弱性確認、および自律的なアクションを活用して、最新の脅威の速度に合わせた応答時間を短縮します。 目標は人間の判断を排除することではなく、それを向上させることです。実践者を戦術的な実行から、自律システムを指示するポリシーを管理することへと移行させます。リスクギャップを効果的に閉じている組織は、クリティカルパスから人間の遅延を取り除くことによってそれを実現しています。 ## リスクオペレーションセンターの主要コンポーネント： * **組み込みインテリジェンス：** 修正作業を優先し、ガイドするための機械可読な意思決定ロジック。 * **アクティブ確認：** 特定の環境で脆弱性が実際に悪用可能かどうかを確認します。 * **自律アクション：** 応答時間を短縮するために、修正タスクを自動化します。 ## 結論：自動化を受け入れるか、遅れを取るか **Qualys**は、急速に進化する脅威と短縮されるエクスプロイトタイムラインに直面して、反応的なスキャン＆レポートモデルはもはや十分ではないと強調しています。組織は、最新の攻撃から効果的に防御できる、自律的でクローズドループのリスク運用を構築するために、自動化とAIを採用する必要があります。 問題は、組織が、人間規模の防御と自律規模の攻撃の間のウィンドウが永久に閉じる前に、現在の脅威ランドスケープの数学に合わせたアーキテクチャを適応させるかどうかです。 **自動化とAIを使用して大規模な修正を管理する方法、および今すぐその違いを生み出す方法についての洞察を得るには、[Qualysにお問い合わせください](https://www.qualys.com/)。** _スポンサーおよび執筆：[Qualys](https://www.qualys.com/)。