課題
AIにより、脆弱性が悪用されるまでの期間は、数週間から数日へと恒久的に短縮されました。年間45,000件を超えるCVEが公開され、悪用までの期間の中央値がわずか5日となる中、断片化されたデータや一時点のレポートに基づく従来のパッチサイクルでは対応しきれません。しかも、これらはMythos以前の数字です。Project GlasswingやMythosのようなAI悪用フレームワークが大規模化するにつれ、CVEの量は劇的に増加し、悪用までの時間はさらに短縮されます。組織は、把握できていないものにパッチを適用することはできません。そして通常、資産の20~40%はCMDBから完全に欠落しています。さらに現在、NISTの構造的な方針転換がリスクを増幅しています。National Vulnerability Databaseは、今後数千件のCVEに対してCVSSスコアや深刻度分析による情報付加を行わなくなるため、NVDデータに依存するプログラムでは、把握されない死角が拡大していきます。[1][2]
ソリューション:Ivanti Neurons Platform上の自律型パッチ管理
自律型パッチ管理を備えたIvantiの自律型エンドポイント管理ソリューションは、AI主導のインテリジェンスと信頼できる記録システムとしてのNeuronsを組み合わせることで、発見から修復までのギャップを解消します。これにより、環境内のすべてのエンドポイントで、継続的かつ検証可能なパッチ適用コンプライアンスをマシン速度で実現します。
継続的な資産可視化
把握できていないものを修復することはできません。データからは、多くの組織が十分な可視性を持たないまま運用していることが明らかです。セキュリティリーダーの実に73%が、未知または管理対象外の資産に起因するセキュリティインシデントを経験しており[3]、Verizonの2025 Data Breach Investigations Reportによると、企業ログイン情報を持つ侵害されたデバイスの46%が非管理システムでした[4]。Neuronsは、管理対象、非管理、シャドーIT、クラウドワークロード、オフラインデバイスを含むエンドポイントの全インベントリを継続的に照合し、すべての資産とそのパッチ状態について単一の信頼できるビューを確立します。死角をなくし、推測を排除します。
VRRによるリスクベースの優先順位付け
すべての脆弱性が同じではありません。特にNISTがNVD内の数千件のCVEへの情報付加から離れつつある現在、CVSSだけでは全体像を示せなくなっています。一方で、CVEの50%以上について、公開から7日以内にダークウェブ上で実用可能なエクスプロイトが公開されています[5]。Ivantiの脆弱性リスク評価(Vulnerability Risk Rating:VRR)は、NVDの情報付加に依存せず、実世界の悪用可能性インテリジェンス、アクティブな脅威フィード、専門家によるペネトレーションテストの検証を使用して、お客様固有の環境に照らしてすべてのCVEをスコアリングします。チームは、今まさに実際に悪用可能な脆弱性に集中できます。
ゼロタッチのパッチ展開
企業における重大な脆弱性の平均修復時間は現在5か月を超えており[6]、業界のベストプラクティスとされる48時間以内に完了するパッチはわずか16%です[7]。悪用までの期間の中央値が5日であることを踏まえると、このギャップは看過できません。自律型パッチ適用は、手動介入なしでWindows、macOS、Linux、および1,000以上のサードパーティアプリケーション全体に実行されます。リングベースの段階的ロールアウト、デジタル従業員体験(DEX)を考慮したスケジューリング、設定可能なメンテナンスウィンドウにより、エンドユーザーを妨げることなく、安全かつ予測可能にパッチを展開できます。
継続的なコンプライアンスと自動修復
組織の半数以上は継続的な監視のプロセスを導入しておらず[3]、脆弱性を実際に修復できている組織は40%未満で、修復できた場合でも平均270日を要しています[5]。資産がコンプライアンス状態から逸脱した場合や予定された展開に失敗した場合、Neuronsが自動的に修復します。チケットの作成や人による引き継ぎは不要です。コンプライアンスは定期的な監査作業ではなく、継続的に徹底される状態になります。パッチにより問題が発生した場合も、組み込みのロールバックが運用を保護します。
クローズドループ検証
すべてのパッチ展開が検証されます。Neuronsは、実際のインストール状況と構成状態をリアルタイムで確認し、パッチ展開と同時に継続的なコンプライアンス証跡を生成し、ギャップがあれば即座に可視化します。監査対応はレビュー直前の駆け込み作業ではなく、継続的な状態になります。
取締役会向けレポート
セキュリティリーダーの89%は、すべての資産についてリスクの定量化を期待しています[8]。しかし、多くのプログラムはいまだに、生成された瞬間に古くなる一時点のレポートに依存しています。エクスポージャーベースのコンプライアンスレポートは、各更新についてリスクにさらされている時間を算出し、IT、セキュリティ、取締役会に、常に最新の体制を共有するビューを提供します。SLA追跡、ドリフト検出、展開履歴はオンデマンドで利用でき、手動レポートは不要です。
実証済みのお客様成果
|
お客様 |
成果 |
|---|---|
|
Chevron Federal Credit Union |
脆弱性エクスポージャーを70%削減 |
|
SCI |
年間約100万米ドルを削減 |
|
Agrex Brazil |
デバイス1台あたり月間展開パッチ数が7倍に増加 [11] |
アナリストによる評価
|
アナリスト企業 |
評価 |
|---|---|
|
Omdia |
Universe Leader — UEM、2025年第2四半期 |
|
IDC |
MarketScape Leader — 世界のUEM 2025/26 |
|
Gartner |
MQ Visionary — DEX Tools、2025年第2四半期 |
|
GigaOm |
Leader and Outperformer — UEM Radar Report 2025 |
出典
[1] NISTがCVEフレームワークを刷新、高影響の脆弱性に重点 (darkreading.com)
[2] NIST、過去最高のCVE増加に対応するためNVD運用を更新 (nist.gov)
[3] 新たな調査により、サイバーセキュリティインシデントの4分の3が…に起因することが判明 (prnewswire.com)
[4] 気づいていない脆弱性:2026年の管理対象外資産 Lanswe… (lansweeper.com)
[5] ActiveState:2025年版 脆弱性管理と修復の現状レポート (activestate.com)
[6] エンタープライズのパッチと修復ベンチマーク:貴社の組織はどのように… (blog.qualys.com)
[7] 迷路のスピードラン:大規模エン…における規制上のパッチ適用期限への対応 (project-theseus.nl)
[8] SANS 2025 ASM調査:攻撃対象領域管理に関する主な知見 | Netwrix (netwrix.com)
[9] NIST、NVDバックログでの敗北を認め、今後は最高リスクのCVEのみに情報付加… (helpnetsecurity.com)
[10] クラウドベースのパッチ管理ソフトウェアソリューション | Ivanti (ivanti.com)
[11] 自動パッチ管理ソフトウェアソリューション | Ivanti (ivanti.com)