脆弱性の件数は過去最高水準に達しています。2010年3月から2026年1月にかけて、CISAは689社のベンダーが提供する2783製品にまたがる12174件の脆弱性を対象とした3637件のICSアドバイザリを公開しました。 2025年だけでも508件のアドバイザリが発行され、CISAがアドバイザリ500件の大台を突破したのはこれが初めてとなった。これらのアドバイザリには2,155件のCVEが含まれており、1件あたりの平均脆弱数は4.2件であった。
深刻度も上昇傾向にあります。ICSに関するアドバイザリの平均CVSSスコアは、2024年に初めて8.0を超え、2025年を通じてその水準を維持しました。 昨年公開されたアドバイザリの82%が「高」または「重大」と評価されており、これは過去の全アドバイザリにおける75%から上昇しています。これらは、電力網、水処理施設、製造ライン、交通網を稼働させるシステムにおける、深刻かつ悪用可能な脆弱性です。
悪用が、パッチ適用が追いつかないほどの速さで発生している
2026年に最も懸念される傾向の一つは、脆弱性の公開から悪用までの期間が短縮されていることです。現在、攻撃者はCISAの勧告が公開されてから24時間以内に悪用を試みています。OT環境では、パッチ適用にはメンテナンスウィンドウの確保、ベンダーとの調整、そして綿密な運用計画が必要となるため、この状況は事実上不可能な競争を強いるものとなっています。
「できるだけ早くパッチを適用すべきだ」と結論付けるのが理にかなっているように思えるが、24時間365日稼働するように設計された重要なリアルタイム本番システムを扱う場合、現実はそうではない。
資産の可視化と具体的な行動が結びつくのが、エクスポージャー管理です
増え続ける脆弱性に対して効果的に対処するためには、セキュリティチームは脆弱性が発見された直後にそれを特定するだけでは不十分です。セキュリティチームは、脆弱性がどの程度悪用されるリスクがあるかを特定し、攻撃経路を把握し、攻撃者がその脆弱性を悪用するために実行する必要がある手順を理解することも極めて重要です。
リスクが特定されると、組織は許容範囲外のリスクを抱えることとなります。こうしたリスクには、規制、財務、評判、安全に関するリスクが含まれます。パッチ適用も一つの選択肢ですが、OT環境では必ずしも実行可能とは限りません。
ここで重要なのは、搾取は「機会」と「脆弱性」が重なった場所で発生するという点です。機会を取り除けば、リスクへの曝露は減少し、リスクを効果的に軽減することができます。脆弱性を持つ資産のリスクへの曝露レベルを把握し、その曝露を取り除くことは、パッチ適用とほぼ同等の効果をもたらします。こうした対策は、多くの場合、業務に支障をきたすことなく、また基盤となる産業プロセスに新たなリスクをもたらすことなく実施することが可能です。
MetaDefender Security™ がその課題をどのように解決するか
MetaDefender OT Security 、上述のような実情に対応するために特別にOT Security 。本ソリューションは、重要なOT/ICSネットワーク全体にわたって継続的な資産の検出を行います。OTネットワークの深部にあるデバイス、プロトコル、ファームウェアのバージョン、および通信パターンを特定します。
この資産のベースラインに基づき、MetaDefender OT Security 、ICS-CERTやCISAのアドバイザリで追跡されているものを含む既知の脆弱性を、お客様の環境内の特定のデバイスにOT Security 照合します。新しいアドバイザリが公開された際、組織は自組織が影響を受けているかどうか、また脆弱性がどこに存在しているかを迅速に特定できる必要があります。
物理および論理ネットワーク通信マップは、効果的な対応に必要な依存関係や脆弱性のマッピングを提供します。これには、追加のセキュリティ強化によって脆弱性の検出や防止が可能となるファイアウォール、ルーター、スイッチなどのデバイスの特定が含まれます。
パッチ適用は未修正の脆弱性を解決する最も確実な方法であるため、OPSWAT 必要に応じてパッチ適用を支援する信頼性の高いオフラインパッチ適用OPSWAT 提供しており、パッチ適用プロセスを効率化することで、パッチ適用期間を最小限に抑えています。
デモをご請求いただき、OPSWAT お客様の産業環境全体において、可視化、脆弱性インテリジェンス、脅威検知をどのようにOPSWAT をご確認ください。
