脆弱性修正までの時短は必須?AI を悪用する脅威アクターに対抗するために – Cloud Security Alliance

Survey: Organizations Take Too Long to Fix Application Vulnerabilities

2026/06/11 SecurityBoulevard — グローバルな調査レポート “2026 State of Modern Application & AI Security” により、902 人の IT/Security 専門家のうち 80% が、過去 12 カ月の間にアプリケーション・セキュリティ・インシデントの影響を受けた組織に所属し、そのうち 36% が複数回のインシデント対応を経験していることが判明した。


アプリケーションに仮想パッチを適用するためのプラットフォームを提供している Miggo Security と、Cloud Security Alliance (CSA) が、共同で調査を実施した。35% の回答者が、本番環境における重大な脆弱性の特定に 4 ~ 7 日を要すると回答している一方で、39% は 1 ~ 3 日を要するとし、24 時間未満で達成できるのは 9% に留まっている。

Miggo Security の CEO である Daniel Shechter は、最先端の AI モデルが大量の脆弱性を発見し、それらが数時間で悪用可能となるのが現状だと述べている。それにより、既存の方式によるパッチの作成/テスト/適用のアプローチでは追いつかない。

これまでの IT チームが、適時にパッチを適用できなかった理由としては、リソース不足やパッチ適用を原因とするアプリケーション障害への懸念などがある。実際、今回の調査で挙げられた主な障壁には、アプリケーション機能や業務運用への影響リスク (47%)、脆弱性の重要性や悪用可能性に関する認識の不一致 (34%)、変更管理上の制約 (24%)、影響評価に必要な本番コンテキストの不足 (20%) などがある。

アプリケーション・セキュリティの責任を、ソフトウェア・エンジニアリング・チームへとシフトする取り組みは、インシデント件数の多さから見て、明らかに機能していないと Shechter は指摘する。AI 時代においては IT/Security チームが、アプリケーション開発チームの合意を待たずにリアルタイムで問題に対処する必要がある。

この調査において、回答者が求める最も有用な機能は、本番環境での悪用可能性を明確に示す証拠 (41%)、即時のコード変更なしでリスクを軽減または封じ込める能力 (37%)、影響を受けるコード・パスおよびデータ・フローの可視化 (33%)、既存ツールによる誤検知の削減 (18%) である。

その一方で、短期的に見ると、AI コーディング・ツールが生成するコードの増加により、アプリケーション・セキュリティの水準が悪化する可能性が高い。多くの AI モデルは、インターネット上から収集された不完全なコードを学習しており、その結果として、コードベースに混入する脆弱性の数が増加している。

将来的には、より高度な AI モデルが広まることで、脆弱性の総数が減少する可能性もある。しかし、今回の調査では、96% の回答者が、本番前の管理を回避する問題に対処した経験があると述べている。そのうち 46% は、デプロイ前に検出されなかった問題であり、45% は既知の問題を含んだ状態で出荷され、その後に問題化したと回答している。

既存アプリケーションにおける脆弱性と、新規コードの増加という技術的な負債が重なっている。当面の間、IT/Security チームは、本番環境で発見される脆弱性の急増に圧倒されることになる。

その結果、現時点で求められている上位 3 つの機能は、本番デプロイ前にリスクおよび脆弱性を特定する能力 (52%)、即時のコード変更なしでリスクを軽減または封じ込める能力 (26%)、既存ツールおよびプラットフォームとの統合強化 (22%) である。また、42% の回答者が、今後の 12 ~ 24 カ月において、ランタイム・セキュリティへの投資を増加させると回答している。

すべての人々にとって望ましいのは、現時点で発見されている脆弱性が、修正前に悪用されないことである。しかし、セキュリティ・チームにとって必要なことは、組織の運用能力に重大な影響を及ぼす可能性のある、最悪のシナリオに備えることだ。

訳者後書:アプリケーションの安全性を巡る環境の変化について、グローバルな調査結果をもとに解説する記事です。今回の問題の背景にあるのは、AI コーディング・ツールの普及により混入する大量の不完全なコードと脆弱性および、最先端の AI モデルにより高速化する脆弱性に対する攻撃です。この影響により、従来のパッチ作成やテストといった手法では対応が追いつかず、多くの組織がインシデントの被害に直面しています。これに対抗する対応策としては、開発チームによるコード修正を待つのではなく、即時のコード変更なしでリスクを軽減できる仮想パッチの活用や、本番環境で動的に脅威を封じ込めるランタイム・セキュリティへの投資を進めていくことが大切になると、この記事は指摘しています。