DBIR 2026が示した決定的転換点――「初動は脆弱性悪用」へ、修正は遅れ、攻撃は速まる、です

今日の深掘りポイント

• データ侵害の初期アクセスは「脆弱性悪用」が最多に。DBIR 2026は31%と報じ、組織の修正速度が攻撃の自動化に追いつけていない現実を示しましたです。
• 修正にかかる中央値は43日で前年から34%悪化。KEV対応は26%にとどまり、露出資産の管理とSLAの現実化が至上命題になっていますです。
• 攻撃者側のAI活用により、脆弱性の発見・PoC生成・大規模スキャンが高速化。守る側はASM/CAASMでの継続的露出監査、EPSS/KEV連動の優先度付け、自動化された“仮想パッチ＋段階的本パッチ”の二段構えが要りますです。
• 「パッチを当てる」だけでは勝てません。変更に耐えうるアーキテクチャ（セグメンテーション、ゼロトラスト境界、爆発半径の縮小）と、検知・遅延・迂回の三拍子を同時に上げる統合運用が必須です。

はじめに

VerizonのData Breach Investigations Report（DBIR）は、世界的に参照される実態統計として、セキュリティ投資と運用の優先順位に直接影響を与える年次レポートです。2026年版は、初期アクセスの主役が「認証情報の悪用」から「脆弱性の悪用」へと重心移動したこと、そして修正の足の遅さが攻撃側の自動化とAI活用にのみ込まれていることを、はっきりと可視化しましたです。

本稿は、提供されたレポート要約に基づく深掘り分析です。一次情報としてのDBIR本文は参照前提で論点を整理し、現場が明日から優先順位を変えられるレベルの示唆に落とし込みますです。

深掘り詳細

事実整理（DBIR 2026が突きつけた数字）

• 初期アクセスにおける「脆弱性悪用」が全体の31%を占めたと報じられていますです。
• 修正（パッチ適用）にかかる中央値は43日で、前年対比34%の悪化が示されていますです。
• 既知の悪用脆弱性（CISA KEV）について、組織は平均で26%しか修正できていない状況が示唆されていますです。
• CVEは累計351,000件超、2026年には新規に21,500件超が予約とされ、母数の爆発が運用の飽和を招いていますです。
• 攻撃者側のAI活用が、発見から悪用までのリードタイム短縮に寄与しているとの示唆がなされていますです。

上記はいずれも、2026年版DBIRの要約情報からの引用です。一次資料の精読と併せて各組織の内部データと突き合わせることを推奨しますです。

インサイト（数字の背後で何が起きているか）

• 「速度の非対称性」が決定打になりつつあります。攻撃側はゼロデイ/ワンデイの武器化をAIで加速し、ボット化したスキャンとエクスプロイト・キットで広域かつ同時多発に叩きに来ます。一方、守る側は資産把握→影響分析→変更審査→適用→検証という人間中心のフローのままでは、構造的に追いつけませんです。
• 修正中央値43日の悪化は単なる“怠慢”ではなく、露出資産の種類の増加（アプライアンス、SaaS連携、クラウド管理プレーン、エッジ/OT機器）、変更影響範囲の拡大、そして「パッチの品質・互換性リスク」への経営的忌避が複合して生じていますです。
• KEV対応率26%は、SLAや変更承認プロセスが「攻撃者のリードタイム」を前提に組まれていないサインです。KEVかつ外部露出という条件が揃うものは、可用性よりも機密性・完全性の毀損コストが上回る場面が増え、SLAの再定義（72時間/7日/30日などのリスク層別）が現実的解となりますです。
• メトリクス全体として、このテーマは「確度が高く、即応が有効で、ただし明るい話ではない」という読み解きが妥当です。すなわち“やれば効果が出る”領域で、現場に裁量と自動化の余地を与える意思決定が成果を左右しますです。

日本の組織への含意（推測を含む）

• 日本の業務慣行（深夜・休日の変更抑制、稟議プロセスの段階化）が、攻撃側の週末・連休タイミング狙いと拮抗しづらい側面があります。ここは「緊急変更の標準化」と「仮想パッチの常設」を制度面で先に整えるのが近道です（仮説）です。
• ベンダーアプライアンス比率の高さや委託先に跨る責任分界が、修正遅延の隠れたボトルネックになりがちです。契約SLAにKEV対応の時間制約と検証エビデンスを組み込むことが、直接的な改善レバーになりますです。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った想定シナリオです（仮説を含みます）。

• シナリオ1：インターネット露出アプライアンスのゼロデイ/ワンデイ連鎖

  • Initial Access: Exploit Public-Facing Application（T1190）です。
  • Execution: Command and Scripting Interpreter（T1059）でのOSコマンド実行です。
  • Privilege Escalation: Exploitation for Privilege Escalation（T1068）です。
  • Defense Evasion: Impair Defenses（T1562）やMasquerading（T1036）です。
  • Discovery/Lateral: Network Service Discovery（T1046）、Exploitation of Remote Services（T1210）です。
  • Impact: Data Exfiltration（T1041）とRansomware/Encrypt or Corrupt（T1486）です。
  • インパクト: 顧客データ流出、業務停止、法規制報告、保険免責の争点化が想定されますです。

• シナリオ2：SaaS連携コネクタの既知悪用脆弱性からのID横展開

  • Initial Access: Exploit Public-Facing Application（T1190）→SaaSコネクタのRCEです。
  • Credential Access: Credentials from Web Browsers（T1555.003）やToken Theft（T1528）です。
  • Lateral Movement: Valid Accounts（T1078）でのID横展開です。
  • 影響: 多要素回避やOAuthトークン悪用を伴い、監査証跡の欠落から発見遅延が生じますです。

• シナリオ3：サプライチェーン由来コンポーネントRCEの一斉悪用

  • Initial Access: Drive-by Compromise（T1189）または依存ライブラリを介したExploitation（T1190）です。
  • Persistence: Web Shell（T1505.003）設置です。
  • 影響: 広域なウェブ資産に跨る一斉侵入と、SEOポイズニング/カードスキミング等の二次被害が発生しうる想定です。

• シナリオ4（OT/エッジ）：VPN/ルータ脆弱性からの拠点乗っ取り

  • Initial Access: Exploit Public-Facing Application（T1190）です。
  • Lateral: Remote Services（T1021）でOTセグメントへ横移動です。
  • 影響: 生産ライン停止リスクと、復旧に伴う安全確認工数の肥大化が懸念されますです。

総じて、初動検知と封じ込めの成否は「境界の脆弱性管理」と「ID・トークンの即時無効化」と「横展開の早期遮断」に集約しますです。

セキュリティ担当者のアクション

“今日から動ける順”に整理します。

• いま（72時間以内）

  • インターネット露出資産の完全リストをCAASM/EASMでリフレッシュし、CISA KEVにヒットするものを最優先キューに昇格しますです。
  • WAF/IPS/リバプロでの仮想パッチ（シグネチャ適用、ルール強化、URI/メソッド制限）を即時適用しますです。
  • 攻撃面監視における「PoC公開フラグ」と「大規模スキャン観測」を意思決定トリガに組み込みます（手動でも良いので明文化）です。
  • 検知の即応手順（トークン失効、EDR隔離、管理プレーンの緊急MFA強制）をワンプレイに束ね、当番者が自走できるRunbook化をしますです。

• 7～14日

  • SLAをリスク層別に再設計しますです。
    • KEVかつ外部露出：72時間です。
    • KEVかつ内部/高横展開性：7日です。
    • 高EPSS（例：上位1～5%）かつビジネスクリティカル：7～14日です。
    • 以外：30/60日で段階化です。
  • 影響検証の標準化（カナリアテスト、ブルー/グリーン、リングデプロイ）を用意し、「適用が怖い」を減らしますです。
  • ベンダ・委託先との責任分界を再契約し、KEVのSLO（例：外部露出72時間）とエビデンス提出（適用ログ/スクリーンショット/脆弱性消失確認）を契約条件にしますです。

• 30～60日

  • 脆弱性優先度付けのスコアリングを多元化します（KEV + EPSS + 資産クリティカル度 + 露出状態 + 事業プロセス依存度）です。
  • 継続的露出管理（ASM/EASM）と構成資産管理（CAASM/CMDB）を統合し、“棚卸し→スキャン→是正→検証”の閉ループを自動化しますです。
  • 「仮想パッチ常設＋本パッチ段階適用」の二段構えを標準運用へ。仮想パッチの撤去判定基準（本パッチ完了率、負荷、誤検知）も決めますです。
  • 検知面では、ATT&CKのT1190/T1059/T1068/T1210等に対するユースケースを整備し、IIS/Apache/Nginx/各種アプライアンスの標準ログを「解析可能な形」でSIEMに通しますです。

• 90日～

  • 脆弱性バックログの「可視の借金化」（例：月次Burn-down、KEV未解消比率、インターネット露出未修正件数、MTTRパーセンタイル）を経営ダッシュボード化しますです。
  • 変更承認プロセスを“平時の厳格/有事の迅速”に二層化し、緊急変更の責任と権限を文書化しますです。
  • サプライチェーン/コンポーネント対応としてSBOMを資産台帳にひも付け、CVE→SBOM→影響資産の自動トレースを整えますです。

• ガバナンスと保険の観点

  • サイバー保険の引受条件は、KEV対応SLAや露出資産管理の実績を要求する方向に確度高く進むはずです（推測）です。年次更新の前に、SLAと実績レポートを揃えて交渉優位を確保しますです。
  • 規制・監督当局向けには、インシデントの有無に関わらず「KEV監視・是正の仕組み」と「SLA逸脱時の是正措置」を内部統制文書として整備しますです。

• 現場のKPI/OKR例

  • 外部露出×KEVの是正MTTR中央値：72時間以内です。
  • EPSS上位5%の是正完了率：7日以内90%以上です。
  • 露出資産インベントリの完全性（スキャン対象率）：98%以上です。
  • 仮想パッチから本パッチへの移行完了率：30日以内95%以上です。

最後に。数字が重いほど、処方箋はシンプルになります。「見える化」「優先度付け」「自動化」、この三つを攻撃者の時間軸に合わせて回せるかどうかが勝負どころです。今日の一手が、明日の“侵入の初動”を無効化しますです。

参考情報

• Verizon Data Breach Investigations Report（DBIR）公式ページ（一次資料への導線として）: https://www.verizon.com/business/resources/reports/dbir/ です。
• TenableによるDBIR 2026ハイライト解説（二次情報）: https://www.tenable.com/blog/key-findings-from-the-verizon-dbir-2026 です。
• CISA Known Exploited Vulnerabilities（KEV）カタログ: https://www.cisa.gov/known-exploited-vulnerabilities-catalog です。
• MITRE ATT&CK for Enterprise: https://attack.mitre.org/ です。
• FIRST Exploit Prediction Scoring System（EPSS）: https://www.first.org/epss/ です。