ゼロデイの攻撃成立は9〜20時間、KEV登録は5日｜中小企業が今すぐ捨てるべきパッチ運用の前提

AnthropicのClaude Mythosがゼロデイ脆弱性を自律発見できる時代に、CVSSスコア単独でパッチ優先順位を決める従来運用はもう成立しない。攻撃側と防御側の時間スケールが構造的に非対称になった、というのが私の見立てである。出典は AI Times。

ニュースの要点

Claude Mythosが数千件のゼロデイ脆弱性を自律発見、CyberGymベンチで83.1%を記録
脆弱性公開から実際の悪用までの時間は最短9〜20時間
CISA KEV（既知の悪用脆弱性カタログ）登録までの中央値は5日 — 従来パッチサイクルが追いつかない
CVSS + EPSS + KEVの3層フィルター運用で、優先順位付け効率を18倍、カバー率85.6%まで改善可能と試算
53%の組織がAIエージェントの権限超過を経験、IETFが認証/認可標準を策定中

出典: Claude Mythos Reveals Enterprise Patching Too Slow As AI-Driven Exploits Shrink — AI Times

私の見解

この記事で一番重い数字はCyberGym 83.1%ではなく、「攻撃成立まで9〜20時間」対「KEV登録中央値5日」の構造的非対称だと私は読んでいる。攻撃側は時間単位、防御側は日単位。この差は、人手による優先順位付けやルールチューニングの改善では埋まらない種類の差である。

CVSSスコア単独で「Critical優先」と判断する運用は、当社が請けている中小〜中堅企業の現場でも今もデファクトだが、もう単独では成立しない。実務的な解は、KEVの更新を監視する自動化と、SBOMベースで「自社が使っているコンポーネントだけ」に絞り込む仕組みを先に入れることだ。「すべての脆弱性を追う」のではなく、「自分が影響を受けるものだけ即座に追う」運用へ切り替える。

そしてAIエージェント側の権限超過53%という数字も他人事ではない。私が今AIエージェント事業を進める中で痛感しているのは、エージェントを「動かす」より権限境界を設計して測るほうが本番運用の難所だ、ということである。

中小企業・開発実務への示唆

中小企業の発注側にとって意味するのは「ベンダーが守ってくれる前提を捨てる」必要がある、ということだ。SOC（セキュリティ運用センター）体制のない組織でも、最低限SBOMの整備とKEV監視の自動化はやるべき段階にきている。これはツール導入というより、「自社が何を使っているかを把握する」という棚卸しの問題で、開発会社に運用ごと丸投げしている組織ほど見えていない。

AIエージェントを業務に入れる場合も、「動くデモ」より「権限境界の設計」を先に決めるべきである。同じことを開発会社に発注する場合の見るべきポイントはAI開発会社の見分け方｜非専門家でも使える7つのチェックポイントで整理した。