ユーザー組織 87% の本番環境に悪用可能な脆弱性:最優先事項に目を向けるためには?

Exploitable Vulnerabilities Present in 87% of Organizations

2026/02/28 InfoSecurity — ユーザー組織の 87% が、本番環境で少なくとも 1 つの悪用可能なソフトウェア脆弱性を抱えており、その影響は全サービスの 40% に及んでいることが、Datadog の新たなレポートにより明らかになった。可観測性とセキュリティの専門企業である Datadog は、数万規模のアプリケーションから取得したテレメトリ・データおよび追加データセットに基づく “State of DevSecOps Report” で、この調査結果を公表した。


脆弱性が最も多いのは Java サービス (59%) であり、それに続くのが .NET (47%)/Rust (40%) となっている。ただし、すべての CVE に優先的な対応が必要なわけではない。Datadog によると、脆弱性悪用の実行時とコンテキストをベースに深刻度スコアを調整した場合には、重大な依存関係脆弱性のうち High の状態を維持するのは 18% に過ぎないという。

この傾向は、.NET 環境で特に顕著であり、.NET 依存関係脆弱性の 98% はコンテキストを考慮すると格下げされるという。ここでいうコンテキストとは、本番環境に存在する脆弱性/影響を受けるサービスに対する活発な攻撃/エクスプロイトの利用と悪用の可能性の高さを指す。

Datadog の Head of Security Advocacy である Andrew Krug は、「ほとんどすべてに対して、”重大” というラベルが付けられると、実質的に何も重大ではなくなる。チームはノイズに埋もれる一方で、実際のリスクをもたらす脅威を見逃してしまう。コンテキストがなければ優先順位付けは困難となり、バーンアウト/対応遅延/リスク蓄積につながる。チームには、実際に対応が必要な事項に関する、より優れた可視性が必要である」と述べている。

早期の適用と十分な検証

このレポートは、ソフトウェア・ライフサイクルの両端に、セキュリティ・リスクが存在することも示している。ソフトウェア依存関係における、いまの更新遅延の中央値は 278日であり、前年より 63日増加した。依存関係において、Java (492日)/Ruby (357日) は深刻な状況である。このレポートが指摘するのは、古いバージョンほど脆弱性を多く抱える傾向にあるという点だ。サービス別では、2025年に公開されたライブラリの平均脆弱性数は 1.3件であり、2024年は 1.9件/2023年は 3.8件であった。

その一方で、依存関係を過度に迅速に更新することも、開発者を窮地に追い込む可能性がある。レポートによると、新しいライブラリの公開後 24 時間以内に、50% の組織が採用しているが、公開された GitHub Actions をコミット・ハッシュで特定バージョンに固定している組織は 4% にすぎない。それにより、ビルドとデプロイのパイプラインが、サードパーティ・コードの静かな変更にさらされ、無防備な状態となると Datadog は指摘する。

公開直後の悪意のライブラリ・バージョンを DevOps チームが使用したことで、s1ngularity や Shai-Hulud のようなサプライチェーン攻撃が拡散したともされている。このリスクを軽減するために、Datadog が推奨するのは、依存関係バージョンを完全長のコミット Secure Hash Algorithm (SHA) に固定することだ。

Andrew Krug が指摘するのは、現代のソフトウェア開発手法にセキュリティ対策が追いついていない点である。彼は、「DevSecOps チームは、遅すぎるか速すぎるかの間で板挟みとなっている。遅すぎれば既知の脆弱性を抱える古いソフトウェアが蓄積され、速すぎれば自動化により未検証コードが導入される。しかし、真の課題はスピードではなく明確性にある。環境が複雑化しているが、AI 支援のワークフローを用いれば、最優先事項に最初に注意を向けることが可能になる」と述べている。

Datadog のレポートによると、多くの組織が本番環境に脆弱性を抱えていますが、その原因は CVE の優先順位付けが難しいことにあります。脆弱性の数は膨大ですが、実際の実行環境や攻撃の状況といったコンテキストを考慮すると、本当に深刻なものは全体の 18% 程度に過ぎないとのことです。現場の技術者が情報のノイズに埋もれ、真のリスクを見失ってしまうことが、対応を遅らせる大きな要因です。また、ソフトウェアの更新が遅すぎて古い脆弱性が残る一方で、新しすぎるライブラリを検証せずに導入してしまい、サプライチェーン攻撃を招くという、速度と安全性のバランスの欠如も問題となっています。よろしければ、 Datadog での検索結果も、ご参照ください。