最近の脆弱性について（主観）

Posted at 2026-06-27

この記事について

この記事は、最近自分が「脆弱性」に対して感じたことを、供養がてら書き残したものです。

データや事実にも触れますが、ベースは一人のセキュリティ担当の主観です。技術解説というより、増え続ける脆弱性を眺めて思ったことのメモ、ポエムくらいの気持ちで読んでもらえれば。

自己について

その辺の企業にいる、どこにでもいるセキュリティ担当。
本当はフォレンジックや研究開発でもしながら、のんびり遊んで暮らしていたいだけの人間。
それがどういうわけか脆弱性管理ばかりを任され、来る日も来る日もCVEの山を眺める、退屈な毎日を送っている。（ITというのは人間にはまだ早く明治くらいがちょうどいいとかたまに考えている）

想定読者

セキュリティ業界に従事している方
「なんかすごいAIが出るらしいじゃん」と騒いでいる人（自分）
日々、脆弱性管理に追われている方

脆弱性とは

脆弱性とは悪である。こんなものがあるから、争いはなくならないんだ。

って、どこかのコーディネーターが言ってた。

製品、アプリ、通信規格、クラウドの設定。世の中のありとあらゆるものに脆弱性は潜んでいる。

しかもその大半は、人間の設定ミスや設計ミス、コードの書き間違いから生まれる。要は、ほとんどが人為的なものだ。

脆弱性って、人間の考慮不足が生んだ悲しい生き物なんだと思う。

最近の脆弱性数について

脆弱性の推移を見ると、その数は年々増え続けている。

まあ、増えるのは当たり前だ。あらゆるものがシステム化されて、数えきれない製品が出回っている今、人間が新しい物を作るたびに脆弱性も一緒に増えていく。

実際、CVEの公開件数は2016年に約6,500件だったのが、2024年には約40,800件、2025年には約49,900件まで膨れ上がっている。2020年比でだいたい260%増。

脆弱性が増えている経緯について

なんでここまで増えてるのか。自分としては、大きく二つの要因があると思っている。

もちろん他にもあるだろうけど、特に目立つのはこの二つだ。

AIの発展
OSSの多用

ここ一年で一気に騒がれるようになった、AIによるセキュリティ調査（脆弱性の自動発見）。

それと、システムの複雑化と、利便性重視で進んだOSSの多用。

増加要因は他にもあるだろうけど、際立ってるのはこの二つだと思う。

たとえばAnthropic（アンソロピック）のフロンティアモデル「Claude Mythos（クロード・ミュトス）」を使った脆弱性調査では、1,000を超えるOSSプロジェクトから数千件規模——報告によっては1万件超とも言われる——の深刻な脆弱性が一気に洗い出されたらしい。27年前から眠ってたOpenBSDの不具合とか、16年前のFFmpegのバグまで掘り起こされたっていうんだから、もう恐ろしい。

しかも、一般の人までAIを使って脆弱性を見つけられるようになって、そのハードルが一気に下がった。これもデカい。

人の手で作られて、人の目をすり抜けてきたものが、AIにどんどん暴かれていく。それが今の現実だ。

で、その脆弱性を量産してる土壌には、OSSを継ぎ接ぎして利便性を追い求めた結果、複雑になりすぎたシステムやアプリの姿がよく見える。

グラフにすると、2015年あたりから右肩上がりに増えてるのがはっきり分かる。

さらに見ると、2026年はまだ半年しか経ってないのに、もう2025年の半分くらいの脆弱性が検出されてる。このペースだと、今年もまた記録更新は間違いないだろう。

増えすぎた脆弱性の弊害

脆弱性が増えすぎた結果、採番機関や分析機関がパンクして、ついに今年の4月から運用体制そのものが変わってしまった。

具体的には、2026年4月にNIST（米国国立標準技術研究所）がNVD（国家脆弱性データベース）の運用方針を変えて、すべてのCVEに均一な分析（CVSSスコアや影響製品の付与）をやるのをやめた。これからはCISAのKEVカタログ掲載分みたいに、リスクの高いものを優先する「リスクベース・トリアージ」に切り替えたわけだ。

裏を返せば、それ以外の山ほどある脆弱性は、スコアも付かないまま放置されかねないってことだ。

じゃあ企業の立場としてはどうか。

そもそもどれから手をつければいいのか。公式なスコアすら付かない脆弱性が増えれば、優先順位を付けること自体が難しくなって、トリアージはどんどんしんどくなっていく。

でも、そんなこっちの苦労はお構いなしだ。

攻撃側はスキャンをかけて、山ほどある脆弱性データベースから都合のいいやつをAIに探させて、攻撃コードまで自動で書かせられる。

圧倒的に、攻撃側が優位な状況になっている。

パッチにしても、ベンダーが出すまでには結構時間がかかる。その間、防御側にできることは限られる。実際、2026年5月には金融庁と日本銀行が連名で、フロンティアAIの脅威に備えた短期的な対応を金融機関に緊急要請したくらいだ。それだけ切迫してるってことだ。

で、最近は情報の価値がどんどん上がってる。

情報を持ってるかどうか、たったそれだけで結末が変わってしまう時代だ。

戦争も企業間の競争も、突き詰めれば情報の奪い合いだ。

今や情報はお金より重要になりつつある。だからこそ、その入口になる脆弱性が、これだけ重い意味を持つんだろう。

この脆弱性まみれの世界の中で

じゃあ、こんな世界で我々に何ができるのか。

答えは拍子抜けするくらい単純だ。

資産管理、パッチ適用、教育。

結局、この地味なサイクルをひたすら回し続けるしかない。極端な話、それ以外にできることはないと言ってもいい。

もちろん、技術力があれば仮想パッチを当てたり、攻撃コードを解析して独自の防御策を打ったりと、選択肢は広がる。

でも、そういう手段はだいたいコストがかかるし、再現性も低くて、誰でも真似できるものじゃない。結局、王道の基本サイクルに勝る特効薬は、そう簡単には見つからないんだよな。

脆弱性の質について

「数が増えてるってことは、その分質も落ちてて、無視していいやつも多いんじゃないの？」

そう思う人もいるかもしれない。

残念ながら、そんなことはない。 普通に「やばい」脆弱性が次から次へとボロボロ出てきてる。

たとえばLinuxカーネルやミドルウェアの権限昇格（LPE）、認証不要でリモートコード実行ができるやつ。挙げ始めたらきりがない。量が増えたからって、質が落ちてるわけじゃ全然ないのだ。

まとめ

脆弱性は、人間がものを作り続ける限り、なくならない。むしろAIの進化とOSSの普及で、これからも増え続けていくだろう。

攻撃側がAIで加速していく以上、防御側もツールや体制をずっと見直し続けるしかない。NVDみたいな「唯一の正解」に頼り切る時代は、静かに終わりつつある。

それでも、我々にできることはそう変わらない。資産を把握して、パッチを当てて、人を育てる。

地味で、退屈で、終わりのないサイクル。

脆弱性っていう悲しい生き物と、これからも付き合っていくしかないんだろうな。——って、今日もまたCVEの山を眺めながら、ぼんやり思うのである。