Rapid7は、2026年のセキュリティ環境を分析した報告書を公表し、攻撃の兆候を捉えて対処する従来の「予測型セキュリティ（Predictive Security）」は、もはや有効性が低下しているとの認識を示した。脆弱性が公開直後から悪用される状況が常態化しており、攻撃の兆候を待つのではなく、攻撃が成立する前提条件をあらかじめ取り除く「先制防御（Preemptive Security）」への転換が必要だとしている。

同社は報告書で、脆弱性が実際に悪用されるタイミングは公開直後に集中していると指摘した。脆弱性の公開から数日で、攻撃者がそれを攻撃手法として取り込み、ベンダーがパッチを提供しても、防御側には適用のための十分な時間が残されていないという。Rapid7は、こうした状況を「予測可能な猶予期間の崩壊」と位置付けた。

この報告書を紹介したSecurityWeekによると、Rapid7のサイバーインテリジェンス部門バイスプレジデント、クリスティアン・ビク氏は「攻撃者の能力や意図が突然変わったわけではない」と説明した。その上で、「変わったのは、脆弱性を悪用可能な形にして実際の攻撃につなげるまでの速度だ」と述べた。

変化を促した要因として同氏が挙げたのが、IAB（Internet Access Brokers）だ。IABは侵入経路を売買する仲介者を指す。加えて、情報窃取型マルウェア（インフォスティーラー）が、IABの活動を効率化する主要な手段として存在感を強めていると分析した。

ランサムウェア被害も拡大している。ランサムウェアに関連する流出サイトへの投稿件数は、2024年の6034件から2025年には8835件へ増え、46.4％増加した。攻撃手法にも変化がみられ、ビク氏は、犯罪者がデータを窃取した後、ランサムウェアを展開せず、複数のフォーラムや公開サイトでデータの販売を試みるケースが増えていると説明した。

Rapid7は、こうした環境変化への対策として「先制防御」を提示した。攻撃発生のシグナルを待つのではなく、攻撃成功の条件そのものを事前に排除する考え方だ。同社はその出発点として、MFA（多要素認証）の適用、認証情報の更新・入れ替え、OAuthトークンの管理、暗号化、SaaSアプリ追加時の自動監査といった基本的な対策を挙げている。

Rapid7は、2026年のサイバーリスクを効果的に管理するには、先制防御への抜本的な発想転換が欠かせないと強調した。アラート件数に依存した反応型の脆弱性管理から脱し、情報に基づいて優先順位を付けながら先回りして対処する露出管理へ移行すべきだとしている。