アラートからエクスポージャへ: 2025年版 DBIRが示すCISOの課題
セキュリティチームはアラートやCVE、理論的リスクの洪水に直面しています。しかし 2025 Verizon Data Breach and Investigations Report (DBIR) によると、脅威の状況が変化し、「何が脆弱なのかを知るだけでは不十分」という衝撃の事実が浮き彫りになっています。「実際にエクスプロイト可能なものにどうやってチームのリソースを集中させるか」がCISO (最高情報セキュリティ責任者) にとっての大きな課題です。
今年のDBIRでは、侵害の初期アクセス経路として脆弱性の悪用が用いられたケースが34% 増加 し、
5件のうち1件に上ることがわかりました。しかも既知の脆弱性だけではありません。攻撃者はエッジデバイスやVPNを標的としたゼロデイエクス攻撃 (ゼロデイエクスプロイト) によって従来のパッチ戦略を完全に迂回する方法を習得し始めています。
脆弱性が既知のものだったとしても、検出から修正までの間、企業や組織はリスクにさらされます。2024年の平均パッチ適用日数は32日で、さらに、重大なエッジ脆弱性の半分近くがパッチ適用されていません。
結論は明らかです。「実際にエクスプロイト可能なものが何か」を評価しなければ、目隠しをして空を飛んでいるようなものです。
脆弱性疲れから現実的なエクスプロイトまで
セキュリティチームは数千のCVE、終わりのないアラート、永遠に続くパッチスケジュールに圧倒されています。しかしDBIRによると、攻撃者が悪用するのは技術的に脆弱なもののごく一部に過ぎません。
以下の点に注目してください。
· エクスプロイトされた全アセットの22%がエッジデバイスとVPNだった。前年比8倍に増加した。
· スパイ関連の侵害が急増し、そのうち70%は脆弱性のエクスプロイトから始まった。
· 検出されていても、既知のエッジ脆弱性のうちパッチが適用されたのは54%だけだった。
これはツールの問題ではなく優先順位の問題です。攻撃者の動きが速いのに、防御する側の大半は「何が本当に重要か」をまだ見極められていません。
検出よりもエクスプロイト可能性のほうが重要な理由
ほとんどの企業や組織はサーフェスレベルのスキャンと過剰な脆弱性アラートに忙殺されています。しかし実際に何がエクスプロイト可能なのかを把握しなければ、何も見えない状態で進んでいるようなものだということをCISOは理解しています。
現状は以下のような様々な問題が発生しています。
· 終わりの見えないパッチ作業にもかかわらずリスク軽減効果がほとんどない
· 影響の大きいエクスポージャを完全に見過ごしている
· ツールが連携していないためワークフローが断片化
· レスポンスタイムの遅れと不適切な優先順位設定
たとえば2024年には重大性がhighとcriticalのアプリケーション/API脆弱性の平均修正時間は74.3日。つまり2か月以上もエクスポージャ状態が続いていたことを意味します。攻撃者がエクスプロイト、ピボット、機密情報の抽出を行うには十分な時間です。
脆弱性の検出だけでは不十分です。実際に何がエクスプロイト可能なのかを実証することが重要です。
検証第一のエクスポージャ管理アプローチ
2025年の今、脅威エクスポージャを低減するにはスキャニングだけでは不十分で、検証が不可欠です。セキュリティプログラムは、検出中心のワークフローから検証第一の戦略に移行しつつあり、CISOが実際のエクスポージャを把握して本当に重要な問題に専念できるようにします。
検証第一のエクスポージャ管理によってサイバーセキュリティ部門は以下が可能になります。
· 実践的なテストやエクスプロイトの証拠を使って、リスクを検出するだけでなく実証する。
· 論理的なCVEではなく実際の攻撃ベクターに基づきエクスポージャの優先順位を設定する。
· 誤検出とアラート疲れを軽減し、重要な部分にリソースを集中させる。
· 脆弱性を安全に、中断なく検証し、テストがビジネス継続性に影響を及ぼさないようにする。
これがULTRA REDのCTEM(Continuous Threat ExposureManagement)プラットフォームの要です。従来のスキャナーとは異なり、ULTRA REDは検出だけにとどまらず、あらゆる脅威を検証します。
誤検出率は1%未満、エクスプロイト可能性を実証する機能を搭載しているため、セキュリティチームは、差し迫った実際の脅威、必要なアクションをすぐに把握することができます。
アラートの管理ではなく、エクスポージャの軽減をスタート。
前出の2025版 DBIRの内容は単なる注意喚起ではありません。エクスポージャ戦略を考え直すことが不可欠なのです。もはやツールが何件脆弱性を検出できるかではなく、攻撃者が実際にエクスプロイト可能な脆弱性はどれかが重要なのです。
デモをご予約ください。ULTRA REDによるエクスポージャの確実な検証方法をご紹介いたします。