「90日ルール」の終焉が映す脆弱性市場の時間戦争——AIが変えるセキュリティ開示の経済合理性
セキュリティ業界には長年、ひとつの「紳士協定」が存在してきた。脆弱性を発見した研究者は、ソフトウェアベンダーに90日間の修正猶予を与え、期限内に対応されなければ詳細を公開する——Google Project Zeroが確立したこの「90日間開示ポリシー」は、透明性と実用性のバランスを取る業界標準として機能してきた。しかし2026年5月、セキュリティ研究者ヒマスヌ・アナンド氏の指摘により、このルールが根本から揺らいでいる事実が浮き彫りになった。理由は明確だ——AIが、脆弱性発見から攻撃手法開発までの時間を劇的に短縮し、90日という「猶予期間」そのものを無意味化しつつあるのだ。
「発見→公開→攻撃」の時間軸が崩壊した
90日ルールが前提としていたのは、「脆弱性情報が公開されても、攻撃者が実際に悪用可能なエクスプロイト(攻撃コード)を開発するまでには一定の時間がかかる」という暗黙の了解だった。この時間差が、ユーザーに修正パッチを適用する猶予を生んでいた。しかしAIの登場により、この前提が崩れつつある。
最新の大規模言語モデル(LLM)は、公開された脆弱性情報を読み込み、数時間から数日でエクスプロイトコードの骨格を自動生成できる。さらにAIによる自動ファジングツールは、類似の脆弱性を既存コードから探し出し、攻撃手法を横展開する能力を持つ。かつて専門的なスキルと数週間を要した作業が、今では「プロンプト入力」と「実行ボタン」で完結する時代なのだ。
この変化は、脆弱性開示の「タイムトゥマーケット」を根本から変えた。90日間という期間は、もはや「修正を完了させる余裕」ではなく、「攻撃者に無防備な期間を提供する猶予」に変質しつつある。
ソフトウェアの複雑化が追い打ちをかける
問題はAIだけではない。現代のソフトウェアエコシステムそのものが、90日での修正を困難にしている。マイクロサービスアーキテクチャ、コンテナ化、サードパーティライブラリの多層的な依存関係——ひとつの脆弱性を修正するには、複数のチーム、複数の組織、複数のタイムゾーンを横断した調整が必要だ。
とりわけ深刻なのは「サプライチェーン脆弱性」だ。OSS(オープンソースソフトウェア)ライブラリの脆弱性が発見された場合、それを利用する数千のアプリケーションすべてが影響を受ける。しかし各ベンダーの対応速度はバラバラで、90日以内にエコシステム全体を修正することは事実上不可能に近い。
一方で攻撃者側は、AIを使って「影響を受けるすべてのソフトウェア」を自動検索し、優先順位をつけて攻撃できる。防御側と攻撃側の非対称性が、かつてないほど拡大しているのだ。
「開示タイミング」から「開示粒度」へのパラダイムシフト
では、90日ルールに代わる新たな枠組みとは何か。アナンド氏を含む複数の研究者が提唱するのは、「固定期間」から「リスクベース開示」への移行だ。これは脆弱性の深刻度、悪用難易度、影響範囲、AI自動化の可能性などを多角的に評価し、ケースバイケースで開示戦略を調整するアプローチである。
重要なのは、「何を公開するか」の粒度管理だ。完全な技術詳細を公開する前段階として、「脆弱性の存在」「影響を受けるバージョン」「暫定的な回避策」といった情報を段階的に開示する手法が注目されている。これにより、ベンダーに修正の時間的余裕を与えつつ、ユーザーには防御手段を提供できる。
同時に、AI自体を防御側の武器として活用する動きも加速している。自動パッチ生成ツール、AIによる脆弱性優先順位付け、機械学習を使った異常検知——攻撃の高速化に対抗するには、防御もまた自動化しなければならない。
「時間」から「信頼」へ——セキュリティ開示の新基準
90日ルールの本質は、実は「時間的猶予」ではなく「信頼の可視化」だった。研究者とベンダーが相互に誠実に行動するという前提のもと、透明性を担保する仕組みだったのだ。AI時代においても、この信頼の構造は維持されねばならない。
今後求められるのは、脆弱性エコシステム全体での情報共有プラットフォームの構築だろう。CVSS(共通脆弱性評価システム)のような標準化された評価基準に加え、「AI悪用容易性スコア」や「サプライチェーン影響度指標」といった新たなメトリクスが必要になる。そして何より、ベンダー・研究者・セキュリティコミュニティが、リアルタイムで脅威情報を共有できる信頼ネットワークの構築が急務だ。
90日間という数字に縛られる時代は終わった。これからのセキュリティ開示は、固定されたルールではなく、状況に応じて柔軟に進化する「生きた協定」として再設計される必要がある。AIが変えたのは単なる開発速度ではない——セキュリティにおける「時間の価値」そのものなのだ。
コメントを送信