はじめに
「AIが脆弱性を見つける」
少し前までなら、まだ研究段階の話として受け止められていたかもしれません。
しかし最近では、実際のソフトウェアを対象に、AIを使って脆弱性を発見する取り組みが進み始めています。
Anthropicは、重要なソフトウェアの脆弱性を、AIを活用して発見・修正するための協調的な取り組み「Project Glasswing」において、Claude Mythos Previewを活用し、約50のパートナーとともに1万件超の高・重大度脆弱性を発見したと発表しました1。
Claude Mythos Previewは、コードを読み、脆弱性の可能性を検討し、実際に検証し、必要に応じて再現手順やPoCを含むレポートを作成するモデルです。これまで専門家が時間をかけて行っていた脆弱性調査の一部が、AIによって大きく加速し始めています。
同じような動きは、Anthropicだけではありません。
Google Project Zeroは、Google DeepMindとの協業によるAIエージェント「Big Sleep」が、SQLiteにおける実際に悪用可能な脆弱性を発見したと発表しています2。Microsoftも、AIを活用した脆弱性発見や緩和策の開発を進める中で、オンプレミスまたは自己ホスト型でMicrosoft製品を運用する顧客に対し、セキュリティ更新を最新に保つことが、AI時代のリスクに備えるうえで基本要件になると述べています3。
脆弱性は、これまでよりも速く、そして大量に見つかるようになっていくことが考えられます。
ただ、こうしたニュースを「AIでゼロデイが見つかる時代になった」という話だけで受け止めると、少し現場から遠くなってしまいます。
企業の現場でまず気になるのは、もっと足元の話です。
すでに見つかっていて、修正パッチも出ている脆弱性を、自社ではきちんと塞げているのでしょうか。
この記事では、AIによって脆弱性発見が加速する時代に、企業が改めて見直したいパッチ管理について考えます。
見つかった脆弱性を、塞げているか
AIによる脆弱性発見のニュースを見ると、ゼロデイや高度な攻撃に目が向きます。
もちろん未知の脆弱性に備えることは重要です。EDRや侵入検知、ログ監視、ゼロトラストといった対策も、これからさらに必要になっていくと考えられます。
ただ、実際の攻撃で使われるのは、未知の脆弱性ばかりではありません。すでに公表され、修正パッチも提供されている脆弱性が、企業環境の中に残り続けてしまっていないでしょうか。
こうした既知の脆弱性も、攻撃者にとっては十分な侵入口になります。未知の脆弱性を新たに探すより、すでに知られている脆弱性が放置された端末やサーバを探すほうが、効率的な場面もあるからです。
パッチ管理はOSだけ?
パッチ管理と聞くと、まずWindows Updateの月例パッチを思い浮かべる方は多いのではないでしょうか。
WSUSやIntuneを使ってMicrosoft製品の更新を管理し、サーバーについても適用日や再起動のタイミングを決めている。そうした運用を行っている企業も多くいらっしゃるかと思います。
ただ、実際の業務端末に入っているのはもちろんOSだけではありません。
ブラウザ、PDFリーダー、圧縮・解凍ソフト、Web会議ツール、チャットツール、開発ツール、業務アプリケーション。日々の業務で使われるサードパーティアプリにも、当然ながら脆弱性は存在します。
OSの更新は管理していても、サードパーティアプリまで同じ粒度で見えているとは限りません。
各アプリの自動更新に任せているものもあれば、利用者が自分で更新していたり、もしくは重要なアプリだけは確認していても、すべての端末で古いバージョンが残っていないかまでは追えていないかもしれません。
そういった状態では、パッチ管理をしているつもりでも、実際には「どの端末に、どのソフトウェアが、どのバージョンで残っているのか」が十分に見えていない可能性があります。
脆弱性情報を確認していても、自社環境に該当するソフトウェアがあるのか分からなければ、対応はそこで止まってしまいます。対象端末を洗い出せなければ、優先順位も付けにくくなります。パッチを適用したつもりでも、結果を確認できなければ、本当に塞げたのか判断できません。
パッチ管理は、更新プログラムを配布するだけの作業ではなく、まず自社の端末に何が入っているのかを把握するところから始まります。
ソフトウェアの入手経路も管理できているか
近年は、ブラウザ拡張機能の侵害や、正規の更新経路を悪用したサプライチェーン攻撃も問題になっています。
たとえばChrome拡張機能では、開発者アカウントの侵害や悪意ある更新配信により、正規の拡張機能を通じて情報窃取のリスクが生じた事例が報じられています。
「公式ストアにあるから大丈夫」「自動更新されているから安心」とは、必ずしも言い切れない状況へと変わってきています。
ブラウザ拡張機能は、一般的なパッチ管理ツールで直接管理する領域とは異なりますが、それでも、この話はサードパーティアプリの管理にもつながります。
業務端末には、PDF関連ツール、圧縮・解凍ソフト、Web会議ツール、チャットツール、開発補助ツールなど、さまざまなアプリケーションが入ります。必要になったタイミングで、利用者がそれぞれWebサイトからダウンロードしているケースもあるかと思います。
こうした運用では、どの端末に何が入っているのか、どのバージョンが使われているのか、脆弱な状態のまま残っていないかを把握しにくくなります。
また、ソフトウェアの入手経路が利用者任せになっていると、企業として許可していないアプリケーションや、信頼性を確認しきれないソフトウェアが端末に入り込む余地も生まれます。
サードパーティアプリのパッチ管理は、古いソフトウェアを新しくするだけの作業ではありません。企業端末に入るソフトウェアを把握し、許可されたものを管理し、必要な更新を確実に届けるための、ソフトウェア供給経路の統制でもあります。
脆弱性が増えるほど、手作業では追いつきにくくなる
AIによって脆弱性発見の速度が上がれば、セキュリティ担当者が確認しなければならない情報も増えていきます。
新しい脆弱性情報が公開されて、PoCが出るまでの時間が短くなり、さらには攻撃者側の検証も自動化されていきます。担当者は修正すべき対象を、短い時間で判断しなければなりません。
こうした状況では、手作業中心のパッチ管理を続けることが難しくなっていきます。
特に問題になるのは、「脆弱性情報は把握しているが、自社環境のどこに影響があるか分からない」という状態です。
ニュースやアラートは見ていて、CVE番号も知っているし、影響を受ける製品名も確認していても、対象端末の洗い出し、影響範囲の確認、パッチ配布、適用状況の確認までつながっていなければ、対応は途中で止まってしまいます。
脆弱性情報を知っていることと、実際に塞げていることは同じではありません。
Heimdalで、サードパーティアプリまで含めて管理する
Heimdalのパッチ・脆弱性管理 は、OSやサードパーティアプリのパッチ管理、ソフトウェア資産の可視化を支援するソリューションです。
管理者は、社内端末にインストールされているアプリケーションの情報を確認し、必要な更新をポリシーに基づいて配布できます。サードパーティアプリに対して、自動更新やスケジュール設定、管理者が承認したソフトウェアのインストール、アプリケーションのブロックリスト管理などを行うことができます。
アセットビュー機能を活用すれば、Heimdalエージェントがインストールされた端末上のサードパーティアプリを確認できます。管理対象としてHeimdalでパッチ配布できるアプリだけでなく、端末にインストールされているソフトウェアを把握することで、「そもそも何が入っているのか分からない」という状態を減らせます。
ここでのポイントは、アップデート作業の効率化だけではありません。利用者がそれぞれWebサイトからダウンロードし、各アプリの自動更新に任せる状態から、企業側で把握し、管理しながら更新できる状態へ近づけられることです。
Heimdalが対応するサードパーティアプリであれば、管理者のポリシーに基づいて配布・更新できます。ユーザーが任意のサイトからインストーラを探して取得する運用を減らし、企業として管理された経路でソフトウェアを届けやすくなります。
また、Heimdal パッチ・脆弱性管理で確認したアプリケーションに脆弱性情報が確認された場合は、CVE・CVSS情報を紐づけて表示してくれます。バージョン更新ができておらず、脆弱性が放置されてしまっているアプリケーション・端末の洗い出しをひと目で行うことができます。
そしてHeimdalを通じて端末に適用されるパッチは、Heimdal側で取得・検証されたものです。対応するサードパーティアプリであれば、管理者のポリシーに基づいて配布・更新できるため、利用者任せのダウンロードや更新に依存する運用を減らすことができます。
もちろん、すべてのソフトウェアリスクをHeimdalだけで解決できるわけではありません。ブラウザ拡張機能、SaaS連携、開発者向けツール、シャドーITなど、別途管理が必要な領域もあります。
それでも、OSと主要なサードパーティアプリを継続的に可視化し、管理された経路で更新できるようにすることは、企業の脆弱性管理における重要な土台です。
AI時代だからこそ、まず“既知の穴”を塞ぐ
パッチ管理は、単なる更新作業ではありません。
どの端末に、どのソフトウェアがあり、どの脆弱性が残っていて、いつ、どのように塞ぐのか。
その一連の流れを継続的に回すための運用です。
AIによって脆弱性が見つかりやすくなるほど、企業側には「見つかった後に、確実に塞ぐ力」が求められます。
未知の脅威への備えはもちろん重要ですが、その前に、
・すでに見つかっていて、パッチも提供されている既知の脆弱性を放置していないか
・OSだけでなく、サードパーティアプリまで含めて管理できているか
・端末に入るソフトウェアの入口と更新経路を、利用者任せにしていないか
・パッチ管理を「やっているつもり」で終わらせていないか
AIが脆弱性を見つける時代だからこそ、まずは自社の足元にある“既知の穴”を、きちんと塞げているか見直してみませんか。
本記事はここまでとなります。
最後までお読みいただきありがとうございました。
- Anthropic, “Project Glasswing: An initial update”, May 22, 2026. ↩︎
- Google Project Zero, “From Naptime to Big Sleep: Using Large Language Models To Catch Vulnerabilities In Real-World Code”, November 1, 2024. ↩︎
- Microsoft Security Blog, “AI-powered defense for an AI-accelerated threat landscape”, April 22, 2026. ↩︎
