2025年、サイバー攻撃は「見えない脅威」へ進化！脆弱性管理クラウド「yamory」のレポートから学ぶ、企業の生き残り戦略

セキュリティ・プライバシー

2025.12.19

目次（content）

2025年、サイバー攻撃は「見えない脅威」へ進化！脆弱性管理クラウド「yamory」のレポートから学ぶ、企業の生き残り戦略
2025年セキュリティレポートが示す衝撃の事実
企業が直面する課題と「yamory」が提供する解決策
1. 脆弱性対応の「羅針盤」となるオートトリアージ機能
2. 資産の完全把握と即時パッチ適用という「原点回帰」
yamory導入のメリット・デメリット（予測）
1. メリット
2. デメリット（一般的な脆弱性管理ツールの考慮点）
まとめ：2026年に向けた企業のセキュリティ戦略
関連情報

2025年、サイバー攻撃は「見えない脅威」へ進化！脆弱性管理クラウド「yamory」のレポートから学ぶ、企業の生き残り戦略

現代ビジネスにおいて、サイバーセキュリティはもはや「IT部門だけの問題」ではありません。企業経営の根幹を揺るがしかねないリスクとして、全ての組織が真剣に向き合うべき課題となっています。しかし、「何から手をつければ良いのか」「限られたリソースでどこまで対策できるのか」と悩む担当者も少なくないでしょう。

株式会社アシュアードが運営する脆弱性管理クラウド「yamory（ヤモリー）」は、独自の脆弱性情報データベースに基づき、2025年のセキュリティレポートを公開しました。このレポートは、従来の常識が通用しない新たな脅威の実態を浮き彫りにし、企業が今すぐ取るべき対策のヒントを与えてくれます。

2025年セキュリティレポートが示す衝撃の事実

レポートのサマリーは、現在のサイバーセキュリティ環境が抱える深刻な問題を明確に示しています。

1. NVD登録件数の減少予測と「見えないリスク」の増大

米国国立標準技術研究所（NIST）が運営する公的脆弱性データベース（NVD）の登録件数が、2011年以来の減少傾向を示すと予測されています。一見するとリスクが減ったように思えますが、これは大きな誤解です。米国政府機関の予算・体制問題により、報告された脆弱性がNVDに登録・公開されるまでに大幅な遅延（バックログ）が発生しているのです。特に、脆弱性対策に不可欠な製品情報（CPE）などのメタデータ付与が追いついておらず、これでは「見えない脆弱性」による検知漏れのリスクが格段に高まります。

公的情報源だけに頼っていては、本当に対応すべき脆弱性を見過ごしてしまうかもしれません。これは、セキュリティ対応の外注費を増やしたり、対応の漏れからくるインシデントで大きなコストを払う可能性を示唆しています。

2. マリシャスパッケージが2年で約4倍に急増！サプライチェーン攻撃の高度化

yamoryの独自データベースによると、悪意のあるパッケージ（マリシャスパッケージ）の検知数は過去最多の6,849件を記録し、わずか2年で約4倍に急増しています。そのほとんどがWeb開発に不可欠なnpm（Node.js）エコシステムを標的としており、ソフトウェアサプライチェーン攻撃の脅威が現実のものとなっています。

特に注目すべきは、「Shai-Hulud（シャイ＝フルード）」ワームのように、感染したシステムを踏み台にして自動的に拡散・自己増殖を試みる「連鎖型」攻撃の出現です。これは、単一の脆弱性だけでなく、サプライチェーン全体の脆弱性を狙う高度な手口であり、特にスタートアップ企業にとっては、外部ライブラリの利用が多いことから、このリスクは決して他人事ではありません。開発の生産性を追求する一方で、使用するソフトウェアコンポーネントの安全性を確保することが、競争力強化の鍵となります。

3. 大企業でランサムウェア被害が頻発。VPN機器の管理不全が浮き彫りに

2025年は、国内の著名な大企業や組織において、ランサムウェアによるシステム障害や業務停止が相次ぎました。ランサムウェアの主な感染経路としてVPN機器からの侵入が多く、VPN機器が組織ネットワークへの「主要な入り口」として狙われやすい状況にあることが明らかになっています。

驚くべきことに、従業員数1,000名以上の大手企業であっても、約半数がVPN機器のバージョン情報を正確に把握しておらず、約6割が脆弱性発覚時に該当機器を即時に特定できないという調査結果が出ています。これは、高度な攻撃手法が注目されがちですが、実際には「既知の脆弱性の放置」という基本的なセキュリティ対策の不徹底が被害を招いていることを示しています。基本的な資産管理と即時パッチ適用がいかに重要であるかを痛感させられます。

企業が直面する課題と「yamory」が提供する解決策

多くの企業が「全ての脆弱性に対応するのは不可能」という現実に直面しています。限られた人員と時間の中で、本当にリスクの高い脆弱性を見極め、優先順位を付けて対応することは、非常に困難な課題です。

脆弱性対応の「羅針盤」となるオートトリアージ機能

yamoryは、この課題に対し、独自に構築した脆弱性データベースと、危険度レベルを自動で算出し対応優先度を判断する「オートトリアージ機能」（特許番号：6678798号）を提供しています。この機能により、NVDで公開されている「High」「Critical」の脆弱性14,411件（CVE-2025）から、即日対応が必要とされる「Immediate」な脆弱性を2,370件にまで絞り込むことが可能になりました。

さらに、CISA（アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁）が公開する、実際に悪用が観測されている脆弱性一覧「CISA KEVカタログ」と組み合わせることで、本当に対応を急ぐべき脆弱性を特定できます。これにより、無駄なリソースを削減し、効率的な脆弱性管理を実現。結果として、セキュリティ対策の生産性向上やコスト削減に大きく貢献します。

CISA KEVカタログについて

資産の完全把握と即時パッチ適用という「原点回帰」

yamoryのプロダクトオーナーである鈴木康弘氏は、「情報の完全性を待つことではなく、『今、守るべきものは何か』を見極める力」の重要性を強調しています。そして、「資産の完全把握」と「即時パッチ適用」という基本動作の徹底が不可欠であると指摘します。

これらの基本的な対策を徹底することで、以下のようなメリットが期待できます。

生産性向上：本当に対応すべき脆弱性にリソースを集中できるため、無駄な作業が減り、チーム全体の生産性が向上します。
コスト削減：インシデント発生による損害や、過剰なセキュリティ対策費用を抑えることができます。また、外注費削減にも繋がります。
競争力強化：強固なセキュリティ体制は、顧客からの信頼を獲得し、ビジネスにおける競争優位性を確立します。

yamory導入のメリット・デメリット（予測）

脆弱性管理クラウド「yamory」のようなツール導入を検討する際、具体的なメリットとデメリットを知ることは非常に重要です。

メリット

効率的な脆弱性管理：オートトリアージ機能により、膨大な脆弱性の中から優先度の高いものに絞り込めるため、限られたリソースで効率的な対応が可能です。
対応コストの削減：手動での脆弱性調査や優先順位付けにかかる時間と労力を大幅に削減し、人件費や外注費の削減に貢献します。
セキュリティレベルの向上：最新の脅威情報に基づいた独自のデータベースとCISA KEVカタログとの連携により、見落としがちなリスクも検知し、組織全体のセキュリティレベルを高めます。
ソフトウェアサプライチェーンリスクの低減：マリシャスパッケージの検知と管理により、サプライチェーンを介した攻撃からの防御を強化します。
専門知識の補完：セキュリティ専門人材が不足している企業でも、ツールの支援により世界標準の脆弱性対策が実現できます。
競争力強化：顧客やパートナーからの信頼獲得に繋がり、ビジネスにおける競争優位性を確立します。