脆弱性は、公表された瞬間から攻撃者の標的になる。 2026年5月下旬は、JPCERT/CCからの緊急性の高い注意喚起が立て続けに出た時期だった。なかには「すでに攻撃に悪用されている」と明記されたものもあり、もはや「いつか直す」では間に合わない局面に入っている。
それでも中小企業の現場では、担当者が兼任で手が回らない、どの機器に何が入っているか分からない、止められない業務システムがある、といった理由でパッチが後回しになりがちだ。本稿では、2026年5月の具体的な注意喚起を起点に、中小企業が現実的に回せる「資産棚卸し→深刻度トリアージ→パッチ適用」の運用の作り方を整理する。
2026年5月、何が起きていたか
2026年5月下旬は、影響範囲の広い製品の脆弱性が連続して公表された。代表的なものを時系列で挙げる。
| 公表日 | 製品・対象 | 内容 | 注意点 |
|---|---|---|---|
| 2026年5月21日 | トレンドマイクロ Apex One など複数製品 | 相対パストラバーサルの脆弱性 CVE-2026-34926 ほか | CVE-2026-34926 はすでに攻撃に悪用されており、早期のパッチ適用が推奨されている |
| 2026年5月22日 | Palo Alto Networks PAN-OS | 認証回避の脆弱性 CVE-2026-0265 | 境界に置かれるファイアウォール製品で、認証回避は影響が大きい |
注目すべきは、トレンドマイクロ製品の CVE-2026-34926 がすでに悪用されている という点だ。セキュリティ対策製品そのものに、悪用済みの脆弱性が見つかるケースもある。「守る側のツールだから安心」という前提は成り立たない。
また、これらが5月下旬に相次いだことにも意味がある。注意喚起を見落とすと、攻撃者が情報を武器化する時間を与えてしまう。公表後に対象機器の確認が遅れ、気づいたときには侵入されていた、という流れは避けたい。
EMERGENCY RESPONSE
この脆弱性、貴社システムは影響を受けますか?
影響範囲の一次評価を無料で実施。致命的脆弱性は24時間以内にアラートし、パッチ適用・恒久対応まで伴走します。
なぜ中小企業ほど「パッチ放置」が致命傷になるのか
大企業に比べ、中小企業は脆弱性対応の遅れがそのまま実害に直結しやすい。理由は構造的なものだ。
- 資産の全体像が見えていない:どのサーバ・機器・SaaSに何のソフトが入っているか一覧がなく、影響を受けるか判断できない。
- 担当者が兼任:情シスが他業務と掛け持ちで、注意喚起を追い切れない。
- 止められないシステムがある:基幹業務や工場設備は、再起動・更新の調整に時間がかかる。
- 境界機器が無防備:ファイアウォールやVPN、ルータが社外に露出しており、認証回避や境界の脆弱性は即座に侵入経路になる。
特に PAN-OS の認証回避(CVE-2026-0265)のような 境界製品の脆弱性は、放置が「外から鍵を開けられた状態」と同じになり得る。ファイアウォール、VPN、公開サーバなど外部に面する機器は、止めにくい事情があっても優先して影響確認を行う必要がある。
「悪用済み」と明記された脆弱性を放置することは、攻撃が来るかどうかではなく、いつ来るかの問題になる。
運用の前提:パッチは「思いつき」では回らない
パッチ運用がうまくいかない最大の原因は、注意喚起が出るたびに場当たりで動くからだ。「重大な脆弱性が出た」と聞いて慌てて調べ、対象機器を探し、業務調整に手間取り、結局先送りになる。
これを防ぐには、平時から次の3ステップを「決まった流れ」として持っておく。
- 資産棚卸し:守る対象を一覧化し、常に最新に保つ
- 深刻度トリアージ:出てきた脆弱性を、自社の状況に当てはめて優先度づけする
- パッチ適用:優先度に応じた期限内で適用し、記録する
順番に見ていく。
ステップ1:資産棚卸し(守る対象を見える化する)
対象が分からなければ、脆弱性が出ても自社に影響があるか判断できない。まずは資産台帳を整える。完璧を目指すより、最低限の項目で始めて運用しながら育てる。
台帳に持たせたい項目の例:
- 機器・サーバ・端末の名称と設置場所
- OS・ファームウェア・主要ソフトのバージョン
- 用途と業務上の重要度
- インターネットに露出しているか(境界機器か)
- 管理責任者と、更新可能な時間帯(メンテナンス窓)
特に「インターネットに露出しているか」は最優先で埋める。PAN-OS のような境界製品、VPN、ルータ、公開サーバは、脆弱性が出た瞬間に最優先対象になるためだ。SaaSやクラウド上の製品、開発環境も見落とされやすいので台帳に含める。
ステップ2:深刻度トリアージ(自社基準で優先度を決める)
脆弱性には CVSS などの共通指標があるが、数値だけで判断してはいけない。同じスコアでも、自社にとっての危険度は環境で変わる。 次の3点を掛け合わせて優先度を決める。
- 悪用の有無:「すでに悪用されている」と明記されたものは最優先(例:CVE-2026-34926)
- 露出度:その機器がインターネットに面しているか、内部だけか
- 業務影響:基幹・OTなど、侵害されたときの被害の大きさ
この3点で、「いつまでに直すか」を機械的に決められるようにしておくと、毎回の判断が速くなる。
ステップ3:パッチ適用(期限を決めて記録する)
トリアージで決めた優先度に、適用期限と手順を結びつける。下表は中小企業がそのまま土台にできる運用表の例である。実情に合わせて期限はチューニングしてよいが、「悪用済み」は最短で動く点は崩さない。
| 優先度 | 該当条件 | 適用目標 | 主な対応 |
|---|---|---|---|
| 緊急 | 悪用済み(例:CVE-2026-34926)または境界機器の認証回避(例:CVE-2026-0265) | 24〜72時間以内 | 即時パッチ。適用前は緩和策(アクセス制限・該当機能停止)を先行 |
| 高 | 露出あり、または業務影響大(境界・基幹・OT) | 1週間以内 | メンテナンス窓を前倒しで確保し適用。止めにくい機器は代替策と停止調整を並行 |
| 中 | 内部のみ・業務影響中(クライアント製品等) | 2〜4週間 | 通常のパッチサイクルに組み込み適用 |
| 低 | 内部のみ・影響小(開発環境・補助ツール等) | 定例更新で対応 | 月次のまとめ適用で処理 |
運用上のポイントは3つある。
- 緩和策を先に打つ:すぐにパッチを当てられない場合でも、該当機能の停止やアクセス制限で攻撃面を一時的に狭める。
- 記録を残す:いつ・何を・誰が適用したかを台帳に紐づける。サイバー保険やISMS、取引先からの問い合わせにそのまま使える。
- 連休前にスナップショットを取る:5月のような連休前は、露出機器の状態を点検し、緊急対応の連絡体制を確認しておく。
運用が回っているかを測るKPI
パッチ運用は「やったかどうか」ではなく「間に合っているか」で評価する。最低限見るべき指標を挙げる。
- 資産台帳のカバー率(把握できている機器の割合)
- インターネット露出機器の特定率
- 緊急脆弱性の適用完了までの平均時間
- 期限内に適用できた割合(緊急・高・中それぞれ)
- 注意喚起を受信してから初動までの時間
- 緩和策を適用できた割合
これらを月次で見ると、どこで詰まっているか(台帳が古い/調整に時間がかかる/そもそも気づくのが遅い)が可視化され、改善の打ち手が具体的になる。
よくある質問
Q. すべての脆弱性にすぐパッチを当てるのは無理です。どう絞ればよいですか。 A. 「悪用済みか」「インターネットに露出しているか」「業務影響が大きいか」の3点でトリアージするのが現実的だ。2026年5月の CVE-2026-34926 のように悪用が明記され、かつ露出した機器に関わるものから着手する。
Q. 業務を止められず、すぐにパッチを当てられません。 A. 適用までの間、該当機能の停止やアクセス制限といった緩和策で攻撃面を一時的に狭める。そのうえでメンテナンス窓を確保し、期限内の適用を計画する。何もしないことだけは避ける。
Q. 連休前に特に気をつけることは。 A. 連休前後は監視が手薄になり狙われやすい。露出機器の点検、最新の注意喚起の確認、緊急時の連絡体制の整備を、休暇に入る前に済ませておくとよい。
関連記事
- Adobe Acrobat 4月パッチとIPAの緊急対応 — 公表直後に動くべき脆弱性対応の実務
- Atermルーターの脆弱性と中小企業のネットワーク防御 — 境界機器の露出と更新の考え方
- サイバー攻撃 緊急相談チェックリスト — 被害が疑われるときの初動整理
脆弱性に振り回されない、回るパッチ運用を一緒に作りませんか
GXOでは、資産棚卸しから深刻度トリアージ基準づくり、パッチ運用ルールと記録の整備、緊急時の連絡体制まで、現状整理→要件定義→RFP→ベンダー比較→PoC→本番移行を一気通貫でご支援します。
※ 既存の機器・SaaSの棚卸しや、止めにくいシステムの更新計画づくりからご相談いただけます。