何が起きたか
2026年6月1日にCloud Security Alliance(Miggo Securityが委託)により発表されたこの調査は912名のサイバーセキュリティリーダーを対象とし、本番前の脆弱性検出とランタイム保護の間の構造的ギャップを明らかにしている。主要な調査結果:本番環境の重大または高危険度の脆弱性を24時間以内に修復する組織はわずか9%で、74%は1~7日要している。4~7日の修復期間にある組織の中で97%は過去1年間に既知の脆弱性を含む侵害を報告している。本番環境にAI駆動コンポーネントを保有する組織は70%であるが、「82%がAIランタイム動作をリアルタイムで可視化できない」。本レポートは、フロンティアAIモデル(特にAnthropicのMythosを参照)が脆弱性開示から兵器化されたエクスプロイトまでのウィンドウを日単位から時間単位に短縮したため、ランタイム軽減層なしの従来のシフトレフト検出モデルでは不十分であると主張している。投資意図はシフトしており、回答者の42%は今後24カ月間でランタイムセキュリティ支出を増加させる計画である。
なぜ重要か
稼働中のAIコンポーネントを保有する組織の82%がリアルタイムランタイム可視性を持たないという知見は、単なるツーリングの問題ではなく取締役会レベルのガバナンスギャップであり、CISOはAIセキュリティ態勢を基本的なコントロールとしてランタイムオブザーバビリティを含むように再構成する必要がある。
必要な対応
CISOに対して本番環境のAIコンポーネントの30日間のインベントリタスクを与え、各コンポーネントに対するランタイム可視性および仮想パッチング機能が存在するかを評価する。4~7日のパッチコホート向けの97%の侵害率統計を使用して、次の四半期セキュリティレビューにおける修復SLA強化を優先順位付けする。