—·
全てのコンテンツはAIによって生成されており、誤りが含まれる可能性があります。ご自身でご確認ください。
既知の脆弱性、ランサムウェアの手口、そして「セキュア・バイ・デザイン」の指針がいかにして実効性のある企業統治(ガバナンス)へと昇華されるのか。その実態を紐解きます。
トラブルの兆候が、正体不明の高度なエクスプロイトから始まることは稀です。多くの場合、それは攻撃者の間で既知となっている情報、つまり盗まれた認証情報や、インターネットに公開されたアクセス可能なサービス、あるいはすでに周知され、再利用可能な状態にある脆弱性が発端となります。最も厄介なのは、防御側が事態を把握したときには、攻撃者による「下調べ」がすでに完了しているという点です。
現実の脅威に耐えうる防御を設計するには、「何が既知なのか」「それがいかに武器化されるのか」「何を証明できるのか」を定義するフレームワークが必要です。特に「ゼロデイ」という言葉が、不確実性を覆い隠すための便利なラベルとして使われている現状では、その重要性が増しています。
公開される報道資料などでは、情報漏洩は突如として発生した惨劇のように描かれがちです。しかし実態としては、多くの侵入は予測可能な弱点から始まり、再現性のある手法によって拡大していきます。盗まれた認証情報、露出したインターネットサービス、そして攻撃者がすでにマッピング済みの未修正ソフトウェアなどがその典型です。防御側が「初期侵入」の瞬間をクリーンな状態で分析できることは滅多にありません。多くの場合、攻撃者がすでに目的を達成しつつある段階で、残されたログを追いかけることになります。
だからこそ、政府機関が「すでに武器化されている」と明示的に追跡している情報を起点にすることが有効です。米連邦サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「既知の悪用された脆弱性(KEV)」カタログを維持管理しています。これは単に脆弱性を公表するだけでなく、実際に野生(in the wild)で悪用されたものを特定するためのものです(https://www.cisa.gov/known-exploited-vulnerabilities-catalog)。これは単なるスローガンではなく、特定の欠陥に対する防御行動を促すための、継続的に更新されるデータセットです。
不都合な真実として、「ゼロデイ」という主張がタイムラインのズレを隠蔽している場合があります。世間一般で「ゼロデイ」と騒がれている攻撃を受けたとしても、組織内部の視点で見れば、それは「内部的な準備不足(ゼロ・レディネス)」と呼ぶべき状態であることも少なくありません。いずれにせよ、防御側の任務は同じです。検知までの時間を短縮し、攻撃者がアドリブを必要とする前に、悪用の可能性を最小限に抑えることです。
ここで調査上の問いとなるのは、KEVのような運用リストを、単なるコンプライアンス監査のためではなく、ランサムウェアの圧力に耐えうる「企業のセキュリティ戦略」にいかに変換するかという点です。国家政策、技術設計指針、そしてガバナンスのメカニズムは、そこで合流しなければなりません。
結論として: KEVを監査レベルの調査資料として扱い、曖昧な「パッチ管理」の物語ではなく、悪用の可能性と修復の処理能力を軸にセキュリティロードマップを構築してください。
CISAの拘束的運用指令(BOD)23-01は、サイバーセキュリティの指針を、強制力のある運用の期待値へと変換した最も明確な例の一つです。この指令はKEVカタログと連動した拘束力のある要件を確立し、活発に悪用されている脆弱性の迅速な緩和を組織に促しています(https://www.cisa.gov/news-events/directives/binding-operational-directive-23-01)。調査において重要な詳細は、その強制モデルにあります。リスクを理解するだけでは不十分であり、定義・維持された脆弱性セットに対して実効性を持たせなければならないのです。
この指令によるアプローチは、米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)とも整合しています。NIST CSF 2.0では、サイバーセキュリティを単なるチェックリストではなく、ガバナンス、リスク管理、およびコントロールの実行全体における「測定可能な成果」として位置づけています(https://www.nist.gov/publications/nist-cybersecurity-framework-csf-20)。また、NISTはフレームワークの各カテゴリーを実装の優先順位や報告言語へと翻訳するためのリソースも提供しています(https://www.nist.gov/cyberframework/resources-0)。KEVとBOD 23-01が悪用された脆弱性の「内容」を定義する一方で、CSFはガバナンスとコントロール実行の「方法」を提供しているのです。
もし脅威モデルが「脆弱性の緩和」だけに終始しているなら、共通の失敗パターンを見逃すことになります。修復作業が滞る原因は主に3つあります。資産把握の曖昧さ、変更管理における摩擦、そして攻撃条件下でテストされたことのない代替コントロール(補完的対策)です。拘束力のあるポリシーは、たとえ魔法のように問題を解決せずとも、組織にこれらの前提を乗り越えることを強います。対策の欠如が「高くつく」状況を作り出すのです。
結論として: KEVの要件を、責任者、測定可能な修復期限、および検証プロセスを備えたCSF準拠のコントロールシステムにマッピングしてください。調査担当者は、悪用された各欠陥について、修復記録または(パッチ適用が遅れる場合の)テスト済みの代替コントロールの証拠を提示できる必要があります。
ランサムウェアは劇的な事件として報じられがちですが、運用面では長いパイプライン(工程)のように機能します。攻撃者は通常、初期侵入、横展開、認証情報の奪取を経て、最終的な収益化のステップへと進みます。この連鎖は、防御側が検知可能な痕跡を残します。不審なリモートサービス、異常な認証パターン、クレデンシャルスタッフィングのような挙動、そして暗号化前に行われるデータのステージングなどです。
CISAのランサムウェア関連資料は、これが単なる暗号化の問題ではないことを強調しています。CISAが提供するファクトシートでは、ランサムウェアを攻撃ライフサイクルとして捉え、単なるインシデント対応のパフォーマンスではなく、予防と復旧計画に根ざした緩和策を推進しています(https://www.cisa.gov/stopransomware/fact-sheets-information)。調査担当者の役割は、ライフサイクルの各段階を個別の仮説として扱い、テレメトリ(遠隔測定データ)と照合して検証することです。
ベライゾンの「データ漏洩調査報告書(DBIR)」は、実際のインシデントで見られるアクションやタイムラインを含む侵入パターンのベースラインを理解する上で、継続的な指標となります。2025年版のDBIRはPDFとして公開されており、防御側が検知範囲の調整や対応計画の策定に使用する生の集計データを提供しています(https://www.verizon.com/business/resources/T16f/reports/2025-dbir-data-breach-investigations-report.pdf)。「何が間違っていたのか」を調査する際、共通の失敗パターンをベースラインのリスクとして扱うことで、誤った特定を避けることができます。
センセーショナルな見出しに振り回される防御策では、静かに進行する中間段階を見逃してしまいます。多くのランサムウェア侵入では、破壊的なステップに進む前に、権限昇格やシステムのマッピングに時間を費やします。初期の兆候は、時間軸に沿って関連付けない限り、日常的なIT業務の挙動に見えることがあります。そのため、検知はアラート単位ではなく、相関分析を優先しなければなりません。
結論として: ランサムウェア対策をライフサイクル全体のコントロールとして構築してください。脆弱性緩和(KEV)の徹底、露出したサービスの制限、認証パスの要塞化、そして暗号化前の初期兆候に対するインシデント準備態勢のテストを実施しましょう。
「ゼロデイ」エクスプロイトは、分析が最も困難になる領域です。真のゼロデイとは、防御側が信頼できるパッチを手にする前に悪用されることを意味します。しかし、多くの企業調査において、そのラベル自体よりも重要なのは、侵害から実害が出るまでの「運用の窓」であり、コントロールによってその窓をいかに短縮できたかを「測定」できるかどうかです。
内部的な問いは、「十分に早く検知できたか」で終わるべきではありません。むしろ「エクスプロイト特有の挙動を中断させるまでの、経験的に観察された時間はどのくらいか」であるべきです。実務上、これはインシデントや環境間で比較可能な一連の指標となります。
・Time-to-fidelity(確信に至るまでの時間): 生のテレメトリを、実行可能なインシデント仮説(例:「単なる認証の異常」ではなく「認証情報の悪用+異常な管理ツールの使用」)に変換するまでにかかる時間。 ・Time-to-containment(封じ込めまでの時間): アカウントの無効化、アクセストークンの失効、サービスの隔離、ネットワークセグメンテーションの強制など、運用のリスクを抑えつつ封じ込めのアクションをいかに迅速に実行できるか。 ・Time-to-eradication evidence(根絶証明までの時間): 単にシステムが「正常に戻った」だけでなく、持続性の排除と悪用パスの遮断をいかに迅速に証明できるか。
NISTの特別刊行物(SP)1308.2は、リスクに基づいた意思決定とコントロール実行の成熟度のためにシステムとプロセスを設計すべきであるという議論を裏付けています。これを単一目的の「ゼロデイ対応プレイブック」にしなくとも、NISTの枠組みは、不確実性を設計上の制約として扱い、改善に伴う成果を測定することを防御側に促しています(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1308.2pd.pdf)。
欧州サイバーセキュリティ機関(ENISA)の脅威ランドスケープ報告書も、脅威の傾向とリスクの進化を要約することで、別の実証的な視点を与えてくれます。ENISAは2024年版と2025年版の両方を公開しており、欧州の報告エコシステムにおいてリスクの全体像が時間の経過とともにどのように変化しているかを示しています(https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024 および https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025)。調査担当者にとって、これらの報告書は単なる「予測」ではなく、どの攻撃クラスが繰り返し現れているか、したがってシグネチャ(特徴)が不確実な場合にどの挙動をリハーサルすべきかを示す組織化されたシグナルなのです。
ガバナンスが失敗するのは、「未知」の脆弱性が要塞化の決定を遅らせる言い訳にされる時です。防御側は今日のすべてのエクスプロイトを知ることはできませんが、攻撃対象領域(アタックサーフェス)全体を縮小し、未知の脆弱性が使われた際の影響範囲を制限することは可能です。
この「検証」こそが、多くの「パッチを当てればいい」という戦略に欠けている中間要素です。セグメンテーション、特権アクセス管理、および検知の相関分析が、封じ込めまでの時間を「一貫して」短縮し、横展開を防いでいることを示せないのであれば、未知のエクスプロイトは理論上の脅威ではなく、運用の確率論の問題となります。
結論として: 測定可能な「中断」を念頭に、不確実性を前提とした設計を行ってください。一部の未知の脅威はパッチ適用を回避すると想定し、エクスプロイト主導の挙動に対するTime-to-fidelityとTime-to-containmentを定量化できるよう環境を整えましょう。セグメンテーションと特権アクセス管理に投資し、CVEの指紋(シグネチャ)ではなく、攻撃者のワークフローに反応する相関分析を用いて検知を検証してください。
脆弱性管理が「反応的」な層であるならば、「セキュア・バイ・デザイン(設計段階からの安全確保)」はアーキテクチャによる解毒剤です。CISAは、脆弱性の発生自体を抑制するためのリソースを提供しています(https://www.cisa.gov/resources-tools/resources/secure-by-design)。その目的は明快です。攻撃者に利用されるシステム的な弱点を減らすことにあります。
CISAの「Secure by Demand(需要側からのセキュリティ要求)」ガイドは、この前提を実際の調達や開発の圧力に結びつけることで運用化しています。つまり、組織がソフトウェアを購入または構築する際に何を求めるか、そしてその要求が本番環境に導入される製品のセキュリティ特性にいかに影響を与えるかを示しています(https://www.cisa.gov/sites/default/files/2024-08/SecureByDemandGuide_080624_508c.pdf)。
また、CISAはクロスサイトスクリプティング(XSS)脆弱性の排除に関する特定の「セキュア・バイ・デザイン・アラート」を発行しました。これは、設計原則がいかにウェブアプリケーションの具体的な失敗パターンに対応するかを示す好例です(https://www.cisa.gov/sites/default/files/2024-09/Secure%20by%20Design%20Alert_Eliminating%20Cross%20Site%20Scripting%20Vulnerabilities_508c.pdf)。XSSは、攻撃者が他のユーザーが閲覧するページにスクリプトを注入し、セッションの窃取やアカウントの乗っ取りを招く古典的な欠陥です。セキュア・バイ・デザインの実践は、注入の機会を未然に防ぎ、より安全なレンダリングを強制することを目指します。
これらの成果物は、証拠の基盤を変えるという意味で重要です。スキャナーが「深刻な」問題を報告するのを待つのではなく、設計時のコントロールを要求し、根本原因に対処するガバナンスを示すことができるようになります。これは、ソフトウェアのライフサイクルを通じて持続する弱点をランサムウェア集団や高度な侵入者が悪用する現代において、不可欠な要素となります。
結論として: セキュア・バイ・デザインを調達および開発のゲート(承認プロセス)に組み込んでください。調査担当者は、単なるパッチの適用状況だけでなく、設計上の要件を指摘し、それらの要件が時間の経過とともに脆弱性のクラスをいかに減少させたかを検証できるようにすべきです。
定量的な根拠を持つことは、物語(ストーリー)主導のナラティブに抗う助けとなります。ベライゾンのDBIRはそのようなアンカーの一つです。実際の事例に基づいた侵害パターンの証拠を集計し、詳細なPDFとして公開されています(https://www.verizon.com/business/resources/T16f/reports/2025-dbir-data-breach-investigations-report.pdf)。調査における実用的な価値は、声の大きいインシデントのテーマを追いかけるのではなく、どのコントロールが最大の運用的効果を生むかを優先順位付けできる点にあります。
一方、NIST CSF 2.0は測定を念頭に置いた構造を提供します。CSF 2.0は、組織の計画と評価をサポートするカテゴリーと成果を中心に設計されており、防御側がセキュリティを経営陣の吟味に耐えうる「管理言語」へと翻訳するのを支援します(https://www.nist.gov/publications/nist-cybersecurity-framework-csf-20)。また、NISTのリソースハブは実務的な実装をサポートしています(https://www.nist.gov/cyberframework/resources-0)。これらのリファレンスを組み合わせることで、チームはエビデンス(テレメトリ、修復記録、リスク受容文書)を意思決定に結びつけることができます。
ENISAの脅威ランドスケープ報告書は、時間軸に沿ったコンテキストを加えます。ENISAは2024年版と2025年版を個別に公開しているため、調査担当者は単一の年次報告に頼ることなく、脅威パターンが安定しているのか、あるいは変化しているのかを追跡できます(https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024 および https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025)。これは「1年間の防御」を目的としたセキュリティロードマップを設計する際に重要となります。
結論として: 修復のエビデンスをKEV/BODの期待値に、設計時のセキュア・バイ・デザインのエビデンスを調達と開発に、そして検知のエビデンスをライフサイクルの各段階に紐付ける「メトリクス・スタック」を構築してください。その上で、ENISAやDBIRを活用し、観察された脅威の挙動に合わせてコントロールの優先順位を調整し続けましょう。
本稿で取り上げた資料には、政府の指針や脅威レポートが含まれていますが、タイムスタンプや個別の結末を伴う特定の具体事例(ケーススタディ)は含まれていません。つまり、最も安全な調査アプローチは、事例を捏造するのではなく、ポリシーや技術的成果物を用いて「教訓」を文書化することです。
CISAの拘束的運用指令(BOD)23-01は、それ自体がケースメカニズムとして機能します。なぜなら、KEVの修復に紐付いた拘束力のある運用の期待値(指名されたカタログと強制の枠組み)を指定しているからです(https://www.cisa.gov/news-events/directives/binding-operational-directive-23-01)。その成果は、どのシステムがいつ、どのような検証を経て更新されたかという、修復とコンプライアンスの成果物として測定可能です。
CISAのセキュア・バイ・デザイン資料は、2つ目の教訓を提供します。XSSのような脆弱性クラスに対する設計時のコントロールは、事後のスキャンに任せるのではなく、必須要件として評価することが可能です。XSSの排除に関するCISAのアラートは、その脆弱性クラスが製品に混入するのを防ぐための指針に焦点を当てています(https://www.cisa.gov/sites/default/files/2024-09/Secure%20by%20Design%20Alert_Eliminating%20Cross%20Site%20Scripting%20Vulnerabilities_508c.pdf)。調査可能な成果は、ソフトウェアパイプラインが挙動を変えたかどうか、つまり、検出数の減少、早期の予防、そして悪用可能性の低減です。
もし特定の侵害事例やタイムラインが必要であれば、提供された検証済みのセット以外の追加ソースが必要になります。現在の制約下では、明確な運用目標を伴うガバナンスと設計上の介入こそが、最も「守りやすい事例」となります。
結論として: 拘束的指令やセキュア・バイ・デザインのアラートを内部の「ケースファイル」として扱い、ビフォー・アフターのエビデンス(悪用された脆弱性の修復タイムラインや、繰り返される設計上の欠陥の減少)を要求してください。
まずは「インベントリ(資産目録)の真実」から始めてください。どのソフトウェアバージョンや設定が存在するかを特定できなければ、KEVに基づく緩和策は推測の域を出ません。CISAのKEVカタログは、特定された脆弱性をインストール済みのコンポーネントにマッピングできて初めて価値を持ちます(https://www.cisa.gov/known-exploited-vulnerabilities-catalog)。
次に、KEVを強制力に結びつけます。BOD 23-01は運用の期待値を悪用された脆弱性に紐付けています。これは、担当者の交代やベンダーの言い訳に左右されない、監査可能な修復プログラムを意味します(https://www.cisa.gov/news-events/directives/binding-operational-directive-23-01)。運用上、各KEV項目について次の3つの成果物を示せるようにすべきです。(1)資産と脆弱性のマッピング記録、(2)責任者が明確な修復決定(修正または代替コントロール)、(3)単にチケットが存在するだけでなく、リスクが実際に軽減されたことを示す検証エビデンス。
そして、CSFの用語で測定を行います。NIST CSF 2.0は共通の構造を提供するため、調査結果を単なるエンジニアリングの事後分析に留めず、ガバナンスの成果やコントロールの改善へと翻訳できます(https://www.nist.gov/publications/nist-cybersecurity-framework-csf-20)。監査上のポイントは、単にコントロールが「実行された」かどうかではなく、コントロールによって測定されたリスク姿勢(修復の遅延、悪用されたクラスの再発率、コントロールの実効性)が変化したかどうかを示すことです。
セキュア・バイ・デザインを調達と開発に組み込みます。CISAの「Secure by Demand」ガイドは、需要側のシグナルがいかに製品のセキュリティ特性を形作るかに焦点を当てています(https://www.cisa.gov/sites/default/files/2024-08/SecureByDemandGuide_080624_508c.pdf)。これにより、単なる脆弱性スキャンの出力ではなく、設計要件、アーキテクチャレビュー、テスト結果という異なる種類のエビデンスが生まれます。監査性を高めるため、これらのエビデンスをリリースや調達の節目に関連付け、製品バージョン間で何が変わったかを実証できるようにしてください。
最後に、ランサムウェアへの備えをライフサイクルの現実に即したものにします。CISAのランサムウェア・ファクトシートは、暗号化の先を見据え、予防と対応計画へと繋げる思考をサポートします(https://www.cisa.gov/stopransomware/fact-sheets-information)。調査担当者は、侵害の初期段階をカバーするテレメトリの範囲や、想定ではなくテストされた復旧の準備態勢を確認すべきです。暗号化前の挙動(異常なリモートサービスの利用、認証情報の悪用パターン、特権探索、破壊前のステージング)の検知と封じ込めをリハーサルし、実害が出る前にパイプラインを中断できるかを記録してください。
結論として: 「何を持っているか」「何が悪用されているか」「何を修復すべきか」「成果をどう測定するか」「設計がいかに将来の悪用を減らすか」という5つの監査回答を通じて説明可能な、防御プログラムを構築してください。
サイバーセキュリティは主に技術調達の問題であるという誤解が根強く残っています。しかし、本稿で取り上げた資料が示しているのはその逆です。サイバーセキュリティとは、ポリシーとエンジニアリングにおける契約上の課題なのです。KEVとBOD 23-01はポリシーの側面を明示し、悪用された脆弱性は運用の行動を要求することを定めています(https://www.cisa.gov/news-events/directives/binding-operational-directive-23-01)。NIST CSF 2.0はガバナンス測定の足場を提供します(https://www.nist.gov/publications/nist-cybersecurity-framework-csf-20)。そしてCISAのセキュア・バイ・デザイン資料は、何が構築され、要求され、防止されるべきかというエンジニアリングの契約事項を扱っています(https://www.cisa.gov/resources-tools/resources/secure-by-design)。
攻撃者が物理的な世界を予測し行動できるようになった時、安全保障上の利害はさらに高まります。ただし、提供された資料セットには、AMI Labsやworld models(世界モデル)のガバナンスに関する具体的な証拠は含まれていません。AIシステムが物理環境を予測し行動することについての議論には、さらなる検証済みソースが必要となります。本稿では提供された範囲内に留まり、防御側が今日検証可能なメカニズム、すなわち悪用された脆弱性の修復、セキュア・バイ・デザインのコントロール、およびランサムウェアのライフサイクルへの備えに焦点を当てています。
それでも、調査手法はそのまま応用可能です。AIシステムが物理的なプロセスに影響を与える可能性があるなら、セキュリティ上の課題は「挙動を制限し、安全性を検証し、監視がサイバーと運用の両方の結末を確実に捉えるようにすること」になります。これはモデルの問題である前に、ガバナンスの問題です。
サイバーセキュリティ・ガバナンスの実務的な教訓は、「統治された不確実性は、無秩序な不確実性に勝る」ということです。KEV/BODは具体的な悪用脆弱性セットを、セキュア・バイ・デザインは具体的な設計時の予防手段を与えてくれます。列挙できない未知の脅威に対しては、ガバナンスによって「いかに決定するか(リスクに基づき、CSFに準拠する)」「いかに動くか(封じ込めと要塞化)」「いかに証明するか(中断までのメトリクスとコントロールに紐付いたエビデンス)」を規定すべきです。ストレス下でエビデンスを提示できないプロセスはガバナンスではなく、ただの物語に過ぎません。
結論として: ガバナンスを一つのコントロールシステムとして運用してください。検証を伴うKEV修復を徹底し、開発・調達時のセキュア・バイ・デザインを義務付け、破壊に至る前のパイプライン段階でランサムウェアへの備えをテストしましょう。
今後数四半期において、最も現実的な予測は「新しい脅威が現れる」ことではなく、「組織は意図ではなくエビデンスに基づいて監査されるようになる」ということです。KEVとBOD 23-01が運用の期待値へと翻訳されている以上、企業はエンドツーエンドの修復証明や代替コントロールのテスト結果を示すよう、内部および外部からの圧力を受けることになるでしょう(https://www.cisa.gov/known-exploited-vulnerabilities-catalog, https://www.cisa.gov/news-events/directives/binding-operational-directive-23-01)。
また、CISAのセキュア・バイ・デザイン指針は、「後でスキャンすればいい」という姿勢が許容されなくなる第2の波を示唆しています。Secure by Demandや一連のアラートは、調達や開発のパイプラインがより早い段階でセキュリティの責任を負うことを求めています(https://www.cisa.gov/sites/default/files/2024-08/SecureByDemandGuide_080624_508c.pdf, https://www.cisa.gov/sites/default/files/2024-09/Secure%20by%20Design%20Alert_Eliminating%20Cross%20Site%20Scripting%20Vulnerabilities_508c.pdf)。
ENISAの脅威ランドスケープ報告書は、引き続きコントロールの優先順位とリスクのナラティブに情報を提供し、調査担当者にどの攻撃クラスが長年持続しているかという継続的なコンテキストを与え続けるでしょう(https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025, https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024)。そしてベライゾンのDBIRは、防御側が遭遇する可能性の高い侵害パターンの実証的なキャリブレーション・ソースであり続けます(https://www.verizon.com/business/resources/T16f/reports/2025-dbir-data-breach-investigations-report.pdf)。
ポリシー提言: CISOおよび企業のリスクリーダーは、拘束力のある期待値に対して脆弱性修復のエビデンスを追跡する「KEV-to-CSFコントロール・オフィス」を設置すべきです。同時に、アプリケーションセキュリティ責任者は、1開発サイクル以内にセキュア・バイ・デザインの要件を調達およびCI/CDのゲートに統合する必要があります(https://www.cisa.gov/news-events/directives/binding-operational-directive-23-01, https://www.nist.gov/publications/nist-cybersecurity-framework-csf-20, https://www.cisa.gov/resources-tools/resources/secure-by-design)。達成すべき測定可能なマイルストーンはシンプルです。既知の悪用された脆弱性クラスの再発を減らし、本番環境に到達する設計上の欠陥を最小化することです。
修復と予防をエビデンスで証明できないのであれば、それはサイバーセキュリティではなく、ただの「希望」に過ぎません。