2026年2月11日、セキュリティインシデント対応の国際組織FIRSTが公表した年次脆弱性予測レポートが、業界に衝撃を与えている。中央予測値は59,427件──2025年の49,183件を大きく上回り、CVEプログラム史上初めて年間5万件の壁を突破する見込みである。90%信頼区間の上限は117,673件に達し、現実的なシナリオでも7万〜10万件の脆弱性が開示される可能性がある。この数字が意味するのは、従来の「すべてにパッチを当てる」アプローチの終焉と、リスクベース優先順位付けへの不可逆的な転換である。

CVE件数の加速度的増加──2017年からの構造変化

CVEの年間登録件数は2017年の14,643件を起点として指数関数的に増加してきた。2017年以前と以降では明確な「構造的断層」が存在し、FIRSTの予測モデルもこの断層を統計的に織り込んでいる。

数字を追うと加速の輪郭が見える。2017年から2021年までの年平均成長率は8.4%だったが、2022年以降は25.3%に跳ね上がった。とりわけ2024年の40,308件(前年比+38.7%)は突出しており、2025年も49,183件(同+22.0%)と高水準を維持した。2017年から2025年までの8年間で実に236%の増加、年複利成長率(CAGR)は16.6%に達する。

この加速を駆動する要因は複合的である。第一に、CVE採番機関(CNA)が10年前の数十組織から2026年時点で300超に拡大し、脆弱性の報告チャネルが飛躍的に広がった。第二に、ソフトウェア自体の爆発的増加──オープンソースコンポーネントの普及、IoT・ICS/OTの接続性拡大──が攻撃面を拡張している。第三に、AIを活用した脆弱性発見ツール(Trend Microの「ÆSIR」等)が人手では不可能な速度で脆弱性を検出し始めている。

FIRSTの予測手法──非対称信頼区間が示すリスクの偏り

FIRSTの2026年予測は、単なる点推定ではなく確率分布として提示されている点が重要である。予測チームを率いるÉireann Leverett氏が開発した統計モデルは、NVDおよびMITREの過去データを基盤に、2017年の構造的断層を明示的に組み込んでいる。

注目すべきは信頼区間の非対称性である。中央値59,427件に対し、下限は30,012件だが上限は117,673件──上振れリスクが下振れリスクの約2倍の幅を持つ。この非対称性は「予測を超過する確率の方が高い」ことを意味しており、2025年の予測でも実績(49,183件)は中央値(45,505件)を上回り、信頼区間の上限近くに着地した。モデルの平均絶対パーセント誤差(MAPE)は7.48%と高い精度を示している。

さらに3年先の予測では不確実性が急拡大する。2027年は中央値51,018件(上限138,703件)、2028年は中央値53,289件(上限192,993件)と、最悪ケースでは年間19万件超の脆弱性が開示される世界線すら排除できない。

NVDの機能不全とCVEプログラムのガバナンス危機

脆弱性件数の爆発は、それを処理するインフラにも深刻な負荷をかけている。NISTが運営するNational Vulnerability Database(NVD)は2026年1月時点で2万件超の未分析CVEを抱えており、バックログは2025年10月から11%増加した。CVE提出件数が2024年に32%増加した一方、NVDの処理能力は増強前の水準に留まっている。商務省監察総監による監査も進行中であり、NVDの構造的な処理能力不足が公式に認識されつつある。

より根本的な問題は、CVEプログラム自体のガバナンスにある。2025年4月15日、MITREは米国政府がCVEプログラムの運営契約を更新しない意向であることをCVE理事会に通知した。翌16日の契約失効直前にCISAが11ヶ月の延長を実行したが、この延長は2026年3月に期限を迎える。MITREは400名超の人員削減も実施しており、プログラムの持続性への懸念は払拭されていない。

こうした危機への対応として、2025年4月16日にCVE理事会メンバーの有志がCVE Foundationを設立した。MITREが複数のミッションを抱えるのに対し、CVE Foundationは脆弱性識別に特化した非営利組織として、CVEプログラムの長期的な安定性と独立性を確保することを目指している。

リスクベース優先順位付けへの転換──SSVC・EPSS・KEVの三層防御

年間59,000件の脆弱性をすべて等しく扱うことは、いかなる組織にとっても不可能である。VulnCheckの2025年データによれば、実際に悪用が確認された脆弱性(KEV)は884件で、CVSS 7以上の脆弱性のうち実際に攻撃に使われたのはわずか2.3%に過ぎない。つまり、97.7%の「高危険度」脆弱性は野生環境では一度も悪用されていない。

この現実を踏まえ、業界はCVSSスコアだけに依存しない多層的な優先順位付けフレームワークへ移行しつつある。

SSVC(Stakeholder-Specific Vulnerability Categorization)はFIRSTが開発した手法で、脆弱性を「技術的重大性」ではなく「当該組織にとってのリスク」で評価する。サプライヤー、コーディネーター、デプロイヤーの3つの利害関係者ロールに応じた意思決定ツリーを提供し、CISAもこれを運用レベルで採用している。2025年のアップデートでは決定テーブル形式が導入され、より明確なマッピングが可能になった。

EPSS(Exploit Prediction Scoring System)は同じくFIRSTが開発した機械学習モデルで、各脆弱性が今後30日以内に悪用される確率を日次で推定する。CVSSが「悪用された場合の影響」を測定するのに対し、EPSSは「悪用される可能性」を予測する。2025年3月にリリースされたv4では予測精度がさらに向上した。

CISA KEVカタログは、実際に悪用が確認された脆弱性のキュレーションリストとして、連邦機関にはパッチ適用期限を義務付けるものである。2025年にCISAが追加したKEVは245件だが、VulnCheckはより広範なソース(118の報告元)から884件を特定しており、CISAの公式カタログを補完する役割を果たしている。

これら三つを組み合わせることで、「CVSS高スコアだが悪用されない脆弱性」への過剰投資を避け、「実際に攻撃に使われる脆弱性」に集中するリスクベースのアプローチが実現する。

CISAのVulnrichmentとADP──分散型エンリッチメントの胎動

NVDの処理能力不足を補う取り組みとして、CISAは2024年5月にVulnrichmentプログラムを開始した。これはCISAがAuthorized Data Publisher(ADP)として、CVEデータにSSVC判定、CWE分類、CVSSスコアを付加する仕組みである。GitHubリポジトリ(cisagov/vulnrichment)で公開され、透明性が確保されている。

しかし、Vulnrichmentにも課題はある。ADPから提供されるデータはNISTが効率的にインポート・拡充できるフォーマットになっておらず、新システムの開発が進行中だが具体的なタイムラインは示されていない。資金面でも、CISAのVulnrichmentプログラムは2026年3月までの予算しか確保されていない。

より大きな構造変革として、単一機関(NVD)への依存から、複数のADPによる分散型エンリッチメントへのパラダイムシフトが進行している。CISAは産業界および各国政府と連携し、脆弱性データエンリッチメントの連合メカニズム構築を計画している。これは、CVE件数が年間10万件に達する可能性のある世界において、中央集権型のNVDモデルが持続不可能であることの暗黙の承認でもある。

実務への示唆──2026年に組織が取るべき5つのアクション

FIRSTのCEO Chris Gibson氏は「脆弱性とサイバーセキュリティの問題を、一社で孤立して解決できる企業はない」と述べている。予測チームリーダーのLeverett氏も「すべてのCVEに反応するのをやめ、攻撃者が隙をつく前に限られたリソースをどこに集中させるか、戦略的な判断を下す時だ」と訴える。

具体的には、以下の5つのアクションが推奨される。

1. 処理能力の棚卸し:現行の脆弱性管理チームが年間59,000件(週1,142件)のCVEを処理できるか、人員・プロセス・ツールの観点で評価する。

2. CVSS偏重からの脱却:SSVC+EPSS+KEVの三層フレームワークを導入し、「実際に悪用される2.3%」に集中する。

3. シナリオプランニング:中央値(59,000件)だけでなく、上限シナリオ(10万件超)に対応できる体制を準備する。

4. 自動化への投資:脆弱性トリアージ、パッチ検証、構成変更のワークフローを自動化し、人的リソースを戦略的判断に振り向ける。

5. CVEプログラムのガバナンス動向の注視:2026年3月のMITRE契約期限、CVE Foundation への移行進捗、NVD監査結果を追跡し、組織の脆弱性情報取得経路の冗長化を検討する。

FAQ

FIRSTの2026年CVE予測の具体的な数値は?

中央予測値は59,427件、90%信頼区間は下限30,012件〜上限117,673件である。現実的なシナリオでは70,000〜100,000件の開示が見込まれる。

年間59,000件の脆弱性のうち、実際に攻撃に使われるのは何件か?

VulnCheckの2025年データによれば、悪用が確認された脆弱性は884件で、CVSS 7以上の脆弱性のうち実際に悪用されたのはわずか2.3%である。

NVDのバックログはどの程度深刻か?

2026年1月時点で20,000件超の未分析CVEが滞留しており、2025年10月から11%増加している。NISTの処理能力がCVE提出の増加に追いついていない状況である。

CVEプログラムの運営は今後どうなるのか?

MITREの契約は2026年3月に期限を迎える。2025年4月に設立されたCVE Foundationが非営利組織として運営を引き継ぐ計画だが、移行の詳細はまだ確定していない。

リスクベース優先順位付けとは何か?

CVSSスコアだけに頼らず、SSVC(組織固有のリスク評価)、EPSS(悪用確率予測)、KEV(実際の悪用実績)を組み合わせて、本当に対処すべき脆弱性に集中するアプローチである。

参考文献