はじめに:2025年のエクスポージャー管理の現状
2025年、AIの進化は攻撃者が脆弱性を悪用するのを容易にし、シャドーIT、サプライチェーンのリスク、拡大するクラウドインフラなど、さまざまな要因により企業の攻撃対象領域は拡大しています。これらの課題に直面する中、防御側はどの程度対応できているのでしょうか? Intruderの「2025年エクスポージャー管理インデックス」は、3,000以上の中小企業(従業員1~2,000人)のデータを分析し、脅威環境の変化と、企業規模、業界、地域による脆弱性対応の違いを明らかにしています。
主要な調査結果:3つのトレンド
本レポートでは、2025年のエクスポージャー管理を形成する3つの主要なトレンドが浮き彫りになりました。これらの洞察は、激化する脅威の状況の中でセキュリティを維持するための重要な示唆を提供します。
トレンド1:深刻度の高い脆弱性が20%増加
組織が特定した重要度の高い脆弱性の平均数は、前年と比較してほぼ横ばいでした。しかし、深刻度の高い問題の数は前年比で約20%増加しています。これは、セキュリティおよびエンジニアリングチームがより多くの深刻な問題に対処していることを意味します。多くの場合、これに対応する人員や予算の増加はなく、すでに逼迫しているチームへのプレッシャーが増大しています。
生成AIは、攻撃者が新しいエクスプロイトをより簡単に作成できるようにすることで、この増加に一役買っています。攻撃者はまた、未パッチのまま残っている古い脆弱性を悪用する機会も見ています。Intruderの製品担当副社長であるアンディ・ホーネゴールド氏は、「CVEや脆弱性のバックカタログが、より頻繁に武器化されているのを目にしています」とコメントしています。
トレンド2:重要度の高い脆弱性の89%が30日以内に修正
良いニュースとして、チームは重要度の高い問題をより迅速に修正しています。2025年には、解決された重要度の高い脆弱性の89%が30日以内に修正されました。これは2024年の75%からの大幅な改善です。
この進展は、今年ヘッドラインを飾った医療、小売、自動車業界での高プロファイルなインシデントと関連している可能性が高いです。これらのインシデントは、IT部門を超えて遅延のコストを可視化し、経営幹部や取締役会がより迅速な行動を要求するようになりました。この改善は、セキュリティプロセスが成熟し、より良いツールと明確な所有権が効果を発揮していることを示唆しています。
トレンド3:中小企業は依然として修正が速いが、その差は縮小
企業規模も脆弱性の修正速度に影響を与えます。2024年には、小規模企業(従業員50人未満)が重要度の高い問題を平均約20日で解決したのに対し、中規模組織は平均38日とほぼ2倍の時間を要しました。2025年には、両グループともに大幅に改善し、重要度の高い脆弱性の修正期間はそれぞれ14日と17日に短縮され、その差はさらに縮まりました。
この違いは複雑さに起因します。大規模で古いシステムは、レガシーシステム、特注の統合、より多様な環境が混在していることがよくあります。パッチの適用には追加のテストと調整が必要であり、承認やチケット発行のプロセスがさらなる遅延を引き起こす可能性があります。セキュリティチームは脆弱性を迅速に検出できるかもしれませんが、パッチ適用は通常、インフラ、DevOps、または製品エンジニアリングチームに依存しており、すべての引き継ぎが摩擦を生み、物事を遅らせます。小規模な組織は、システムが少なく、官僚主義も少ないため、より機敏に行動できます。企業が成長するにつれて、ボトルネックを減らし、修正がペースを維持できるようにプロセスとツールを導入することが課題となります。
まとめ:2025年の防御側の課題と適応
今年のデータは、防御側が適応しているものの、依然としてプレッシャーにさらされていることを示しています。本インデックスでは、ここで議論されたトレンドに加えて、ヨーロッパにおける規制の影響、セクターごとの修正時間の違い、攻撃者がAIを使用して古い脆弱性を武器化する方法についても探求しています。また、2025年の脅威環境を形成した最も注目すべき脆弱性も振り返っています。
詳細な分析と、組織がどのように対応しているかを確認するには、完全なレポートをダウンロードしてください。