Visional
~過去最悪のペースで急増する脆弱性(CVE)と新たな脅威の実態、防衛の要となる「トリアージ」の重要性を解説~
株式会社アシュアード(本社:東京都渋谷区、代表取締役社長:大森 厚志)が運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下「yamory」)は、独自の脆弱性情報データベースをもとに、2026年上期の脆弱性セキュリティレポートを公開しました。
技術の進化によって脆弱性の検知速度は飛躍的に向上し、セキュリティ対策は新たな時代に突入しました。その一方で、水面下ではソフトウェアサプライチェーン攻撃がより高度化・複雑化しており、企業はかつてない「見えない脅威」への対応を迫られています。
※本調査を引用される際には、「株式会社アシュアード調べ」と必ずご記載ください。
【サマリー】
・過去最悪の発生ペースで急増:
2026年5月時点でのCVE登録件数は約27,900件を突破。前年同期比で約1.3倍、3年前の2023年同期比では2倍以上のペースで急増。
・構造的な背景と新たな脅威:
AI技術や自動解析ツールの普及による発見の高速化、サプライチェーンの複雑化に加え、CVEに掲載されないソフトウェア・サプライチェーン攻撃が高度化。
・「トリアージ(優先順位付け)」の必須化:
膨大な数の脆弱性すべてに対応することは事実上不可能となり、自社システムへの影響や悪用可能性に基づき、対応すべき脆弱性を絞り込む「トリアージ」が不可欠に。
CVE登録件数が過去最悪のペースで推移、年末には過去最多を更新する予測
「yamory」独自のリサーチによると、2026年5月末時点で、米国国立標準技術研究所(NIST)が運営する脆弱性データベース(NVD)に登録された脆弱性数(CVE)は、すでに約27,900件を突破しました。これは、過去最多を記録した2025年同期比(約20,800件)の約1.3倍、3年前の2023年同期比(約12,900件)では2倍以上の驚異的なペースであり、過去最悪の「脆弱性のインフレ」が起きています。
5月末までの増加ペースが今後も継続した場合、2026年12月には年間総数が60,000件を超える見込みであり、前年の実績を大幅に塗り替えることが予測されます。
「yamory」オートトリアージによる絞り込み
「yamory」では、独自で構築した脆弱性のデータベースを活用し、危険度レベルの算出と対応の優先度の自動判断ができるオートトリアージ機能(特許番号:6678798号)を提供しています。本機能により、特に対応が必要なリスクの高い脆弱性を可視化します。
例えば、2026年5月末時点で、NVDに公開されている「Critical」「High」の脆弱性12,106件のうち、即日対応が必要とされる「Immediate」レベルのリスクは、本機能により2,149件まで絞り込まれました。また、CISA KEVカタログ*1に掲載されている、既に悪用が観測されている脆弱性は105件でした。
すべての脆弱性に対応することは不可能であり、CISA KEVやPoC等の脅威情報を組み合わせることで実際にリスクの高い脆弱性に絞り込み、優先順位をつけて脆弱性対応を行う必要があります。
*1CISA KEVカタログ:CISA(アメリカ合衆国サイバーセキュリティ・インフラセキュリティー庁)が公開している「既知の悪用が観測された脆弱性」の一覧。
詳細:https://yamory.io/blog/cisa-kev/
「yamory」プロダクトオーナー 鈴木 康弘 コメント
2026年上期のCVE登録件数は、前年比を大きく上回る過去最多のペースで推移しています。この背景には、大きく分けて2つの構造的変化があると考えています。
1つ目は、「AIフロンティア」の拡大に伴うコードの絶対量増加と、脆弱性発見の高速化です。生成AI等のコーディング支援ツールの活用により、世界中で開発・デプロイされるソフトウェアの総量が爆発的に増えたことで、そこに混入する脆弱性の絶対数自体が底上げされています。さらに、高度な自動解析ツールの普及によって、これまで人間の目では見落とされいた複雑な欠陥が超高速で掘り起こされ、次々とCVEへ登録されるというスパイラルが生まれています。
2つ目は、ソフトウェア・サプライチェーンの複雑化です。モダンなサービス開発においてOSS(オープンソースソフトウェア)への依存度が年々高まったことで、システム全体に潜む脆弱性の総量が爆発的に増加しています。さらに、2026年3月に発生した「axios」パッケージの乗っ取り事案に代表されるように、従来のNVD監視だけでは検知できない「CVEに掲載されない脅威」も高度化・複雑化しています。
今回発表したレポートの通り、「yamory」の特許技術であるオートトリアージ機能を活用することで、今すぐ対応すべきリスクを約8%(2,149件)にまで絞り込むことができます。攻撃側の手法がAI等で高速化しているからこそ、守る側も人力やExcelでの管理を脱却し、自動化されたトリアージ基盤を導入することが、これからの時代の事業継続において不可欠であると考えます。
<調査概要>
・調査内容:2026年上半期の脆弱性動向調査
・対象期間:2023年1月1日~2026年5月31日
・調査対象:
‐ National Vulnerability Database(NVD)
‐ 「yamory」脆弱性データベース
‐ 「yamory」の脆弱性スキャンによって検知された脆弱性の統計情報
※本調査を引用される際には、「株式会社アシュアード調べ」と必ずご記載ください。
ウェビナー情報
2026年7月9日(木)に、「セキュリティレポート解説:2026年上期の脆弱性動向とフロンティアAI時代の脆弱性管理」ウェビナーを開催します。
本ウェビナーでは、急増する脆弱性の背景と最新の脅威動向を徹底解説します。さらに、自社システムへの影響度や悪用可能性に基づき、真に対応すべきリスクを見極める「トリアージ(優先順位付け)」への転換の重要性と、それを自動化し運用を効率化する脆弱性管理クラウド「yamory」の活用法をご紹介します。
<セミナー概要>
コンテンツ:
・2026年上期セキュリティレポートの解説
・脆弱性管理クラウドyamoryのご紹介
・Q&A
日時:2026年7月9日(木) 13:00~14:00
配信方法:Zoom(フォームよりご登録いただいたメールアドレス宛に、ご案内をお送りします)
参加費:無料
注意事項:
・1社複数人でご参加の場合、参加者ごとに登録してください。
・他の参加者および主催者への迷惑行為、発言等は一切禁止いたします。
・競合調査、人材勧誘等を目的としたご参加はお断りいたします。
お申し込みはこちら
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動検知し、管理・対策までを一気通貫で実現する国産クラウドサービスです。クラウド・オンプレミスの脆弱性管理、SBOM対応、EOL、OSSライセンスのリスクやクラウドの設定不備(CSPM)までセキュリティリスクを一元的に管理し、オールインワンでカバーします。
政府の「ISMAPクラウドサービスリスト」に登録され、高いセキュリティ水準で業界・規模を問わず多くの企業に採用されています。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。
URL:https://yamory.io/
X:https://twitter.com/yamory_sec
【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory(ヤモリー)」、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL:https://assured.inc
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/
例えば、2026年5月末時点で、NVDに公開されている「Critical」「High」の脆弱性12,106件のうち、即日対応が必要とされる「Immediate」レベルのリスクは、本機能により2,149件まで絞り込まれました。また、CISA KEVカタログ*1に掲載されている、既に悪用が観測されている脆弱性は105件でした。
すべての脆弱性に対応することは不可能であり、CISA KEVやPoC等の脅威情報を組み合わせることで実際にリスクの高い脆弱性に絞り込み、優先順位をつけて脆弱性対応を行う必要があります。
*1CISA KEVカタログ:CISA(アメリカ合衆国サイバーセキュリティ・インフラセキュリティー庁)が公開している「既知の悪用が観測された脆弱性」の一覧。
詳細:https://yamory.io/blog/cisa-kev/
「yamory」プロダクトオーナー 鈴木 康弘 コメント
2026年上期のCVE登録件数は、前年比を大きく上回る過去最多のペースで推移しています。この背景には、大きく分けて2つの構造的変化があると考えています。
1つ目は、「AIフロンティア」の拡大に伴うコードの絶対量増加と、脆弱性発見の高速化です。生成AI等のコーディング支援ツールの活用により、世界中で開発・デプロイされるソフトウェアの総量が爆発的に増えたことで、そこに混入する脆弱性の絶対数自体が底上げされています。さらに、高度な自動解析ツールの普及によって、これまで人間の目では見落とされいた複雑な欠陥が超高速で掘り起こされ、次々とCVEへ登録されるというスパイラルが生まれています。
2つ目は、ソフトウェア・サプライチェーンの複雑化です。モダンなサービス開発においてOSS(オープンソースソフトウェア)への依存度が年々高まったことで、システム全体に潜む脆弱性の総量が爆発的に増加しています。さらに、2026年3月に発生した「axios」パッケージの乗っ取り事案に代表されるように、従来のNVD監視だけでは検知できない「CVEに掲載されない脅威」も高度化・複雑化しています。
今回発表したレポートの通り、「yamory」の特許技術であるオートトリアージ機能を活用することで、今すぐ対応すべきリスクを約8%(2,149件)にまで絞り込むことができます。攻撃側の手法がAI等で高速化しているからこそ、守る側も人力やExcelでの管理を脱却し、自動化されたトリアージ基盤を導入することが、これからの時代の事業継続において不可欠であると考えます。
<調査概要>
・調査内容:2026年上半期の脆弱性動向調査
・対象期間:2023年1月1日~2026年5月31日
・調査対象:
‐ National Vulnerability Database(NVD)
‐ 「yamory」脆弱性データベース
‐ 「yamory」の脆弱性スキャンによって検知された脆弱性の統計情報
※本調査を引用される際には、「株式会社アシュアード調べ」と必ずご記載ください。
ウェビナー情報
2026年7月9日(木)に、「セキュリティレポート解説:2026年上期の脆弱性動向とフロンティアAI時代の脆弱性管理」ウェビナーを開催します。
本ウェビナーでは、急増する脆弱性の背景と最新の脅威動向を徹底解説します。さらに、自社システムへの影響度や悪用可能性に基づき、真に対応すべきリスクを見極める「トリアージ(優先順位付け)」への転換の重要性と、それを自動化し運用を効率化する脆弱性管理クラウド「yamory」の活用法をご紹介します。
<セミナー概要>
コンテンツ:
・2026年上期セキュリティレポートの解説
・脆弱性管理クラウドyamoryのご紹介
・Q&A
日時:2026年7月9日(木) 13:00~14:00
配信方法:Zoom(フォームよりご登録いただいたメールアドレス宛に、ご案内をお送りします)
参加費:無料
注意事項:
・1社複数人でご参加の場合、参加者ごとに登録してください。
・他の参加者および主催者への迷惑行為、発言等は一切禁止いたします。
・競合調査、人材勧誘等を目的としたご参加はお断りいたします。
お申し込みはこちら
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動検知し、管理・対策までを一気通貫で実現する国産クラウドサービスです。クラウド・オンプレミスの脆弱性管理、SBOM対応、EOL、OSSライセンスのリスクやクラウドの設定不備(CSPM)までセキュリティリスクを一元的に管理し、オールインワンでカバーします。
政府の「ISMAPクラウドサービスリスト」に登録され、高いセキュリティ水準で業界・規模を問わず多くの企業に採用されています。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。
URL:https://yamory.io/
X:https://twitter.com/yamory_sec
【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory(ヤモリー)」、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL:https://assured.inc
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/
本ウェビナーでは、急増する脆弱性の背景と最新の脅威動向を徹底解説します。さらに、自社システムへの影響度や悪用可能性に基づき、真に対応すべきリスクを見極める「トリアージ(優先順位付け)」への転換の重要性と、それを自動化し運用を効率化する脆弱性管理クラウド「yamory」の活用法をご紹介します。
<セミナー概要>
コンテンツ:
・2026年上期セキュリティレポートの解説
・脆弱性管理クラウドyamoryのご紹介
・Q&A
日時:2026年7月9日(木) 13:00~14:00
配信方法:Zoom(フォームよりご登録いただいたメールアドレス宛に、ご案内をお送りします)
参加費:無料
注意事項:
・1社複数人でご参加の場合、参加者ごとに登録してください。
・他の参加者および主催者への迷惑行為、発言等は一切禁止いたします。
・競合調査、人材勧誘等を目的としたご参加はお断りいたします。
お申し込みはこちら
【脆弱性管理クラウド「yamory(ヤモリー)」について】
「yamory」は、ITシステムの脆弱性を自動検知し、管理・対策までを一気通貫で実現する国産クラウドサービスです。クラウド・オンプレミスの脆弱性管理、SBOM対応、EOL、OSSライセンスのリスクやクラウドの設定不備(CSPM)までセキュリティリスクを一元的に管理し、オールインワンでカバーします。
政府の「ISMAPクラウドサービスリスト」に登録され、高いセキュリティ水準で業界・規模を問わず多くの企業に採用されています。世界中でサイバー攻撃とその被害が拡大し、セキュリティリスクが経営課題となる中、複雑化するITシステムの網羅的な脆弱性対策を効率化し、誰もが世界標準の対策ができるセキュリティの羅針盤を目指します。
URL:https://yamory.io/
X:https://twitter.com/yamory_sec
【株式会社アシュアードについて】
「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory(ヤモリー)」、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。
URL:https://assured.inc
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、社内スカウトで人材流出を防ぐ「社内版ビズリーチ」、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
URL:https://www.visional.inc/
本記事はアフィリエイトプログラムによる収益を得ている場合があります
