株式会社アシュアード(本社:東京都渋谷区、代表取締役社長:大森 厚志)が運営する、脆弱性管理クラウド「yamory(ヤモリー)」(https://yamory.io/ 以下「yamory」)は、独自の脆弱性情報データベースをもとに、2026年上期の脆弱性セキュリティレポートを公開しました。 技術の進化によって脆弱性の検知速度は飛躍的に向上し、セキュリティ対策は新たな時代に突入しました。その一方で、水面下ではソフトウェアサプライチェーン攻撃がより高度化・複雑化しており、企業はかつてない「見えない脅威」への対応を迫られています。 ※本調査を引用される際には、「株式会社アシュアード調べ」と必ずご記載ください。 【サマリー】 ・過去最悪の発生ペースで急増: 2026年5月時点でのCVE登録件数は約27,900件を突破。前年同期比で約1.3倍、3年前の2023年同期比では2倍以上のペースで急増。 ・構造的な背景と新たな脅威: AI技術や自動解析ツールの普及による発見の高速化、サプライチェーンの複雑化に加え、CVEに掲載されないソフトウェア・サプライチェーン攻撃が高度化。 ・「トリアージ(優先順位付け)」の必須化: 膨大な数の脆弱性すべてに対応することは事実上不可能となり、自社システムへの影響や悪用可能性に基づき、対応すべき脆弱性を絞り込む「トリアージ」が不可欠に。 CVE登録件数が過去最悪のペースで推移、年末には過去最多を更新する予測 「yamory」独自のリサーチによると、2026年5月末時点で、米国国立標準技術研究所(NIST)が運営する脆弱性データベース(NVD)に登録された脆弱性数(CVE)は、すでに約27,900件を突破しました。これは、過去最多を記録した2025年同期比(約20,800件)の約1.3倍、3年前の2023年同期比(約12,900件)では2倍以上の驚異的なペースであり、過去最悪の「脆弱性のインフレ」が起きています。 5月末までの増加ペースが今後も継続した場合、2026年12月には年間総数が60,000件を超える見込みであり、前年の実績を大幅に塗り替えることが予測されます。 「yamory」オートトリアージによる絞り込み 「yamory」では、独自で構築した脆弱性のデータベースを活用し、危険度レベルの算出と対応の優先度の自動判断ができるオートトリアージ機能(特許番号:6678798号)を提供しています。本機能により、特に対応が必要なリスクの高い脆弱性を可視化します。 例えば、2026年5月末時点で、NVDに公開されている「Critical」「High」の脆弱性12,106件のうち、即日対応が必要とされる「Immediate」レベルのリスクは、本機能により2,149件まで絞り込まれました。また、CISA KEVカタログ*1に掲載されている、既に悪用が観測されている脆弱性は105件でした。 すべての脆弱性に対応することは不可能であり、CISA KEVやPoC等の脅威情報を組み合わせることで実際にリスクの高い脆弱性に絞り込み、優先順位をつけて脆弱性対応を行う必要があります。 *1CISA KEVカタログ:CISA(アメリカ合衆国サイバーセキュリティ・インフラセキュリティー庁)が公開している「既知の悪用が観測された脆弱性」の一覧。 詳細:https://yamory.io/blog/cisa-kev/ 「yamory」プロダクトオーナー 鈴木 康弘 コメント 2026年上期のCVE登録件数は、前年比を大きく上回る過去最多のペースで推移しています。この背景には、大きく分けて2つの構造的変化があると考えています。 1つ目は、「AIフロンティア」の拡大に伴うコードの絶対量増加と、脆弱性発見の高速化です。生成AI等のコーディング支援ツールの活用により、世界中で開発・デプロイされるソフトウェアの総量が爆発的に増えたことで、そこに混入する脆弱性の絶対数自体が底上げされています。さらに、高度な自動解析ツールの普及によって、これまで人間の目では見落とされいた複雑な欠陥が超高速で掘り起こされ、次々とCVEへ登録されるというスパイラルが生まれています。 2つ目は、ソフトウェア・サプライチェーンの複雑化です。モダンなサービス開発においてOSS(オープンソースソフトウェア)への依存度が年々高まったことで、システム全体に潜む脆弱性の総量が爆発的に増加しています。さらに、2026年3月に発生した「axios」パッケージの乗っ取り事案に代表されるように、従来のNVD監視だけでは検知できない「CVEに掲載されない脅威」も高度化・複雑化しています。 今回発表したレポートの通り、「yamory」の特許技術であるオートトリアージ機能を活用することで、今すぐ対応