background

JFrog 2026年版 ソフトウェアサプライチェーンセキュリティの現状

拡大するガバナンスのギャップ。
パッケージの増加。 悪意のあるモデルの増加。 1年前には存在しなかった攻撃対象領域がさらに増加。 そうした状況の中で、組織はアプリケーションセキュリティツール数をほぼ半減させています。 企業は、より少ないリソースでより多くを実現しながら、スリムで迅速、かつ統制の取れた組織へと進化していると考えています。 しかし、実際にそうでしょうか。
2026年版レポートでは、 JFrogセキュリティリサーチチームから得られた独自の脅威インテリジェンスの通年データに加え、 JFrog Platform8か国1,500名以上のセキュリティおよびDevOpsプロフェッショナルから得た回答を分析し、ソフトウェアサプライチェーンセキュリティの現在地と、想定以上の速さで広がるガバナンスギャップを明らかにします。

レポートをダウンロード

JFrog 2026年ソフトウェアサプライチェーンセキュリティレポートの調査結果:

0
M
2025年、新規パッケージがソフトウェアサプライチェーンに取り込まれた数は、前年比67%増となりました。
レビュー対象は何件でしたか?
0
2025年には新たな悪意のあるパッケージが発見されましたが、その年、検出ツールを導入していた企業はわずか40%に過ぎませんでした。
どのパッケージが首位となりましたか?
0
%
企業のうち、自社インフラストラクチャ上でAIモデルを実行している企業は、オープンソースモデル内の悪意のあるペイロードにさらされるリスクがあります。
その中には何が含まれていましたか?
0
%
監査担当者から質問を受けた際、1つのアプリケーションがコンプライアンスに準拠していることを証明するのに1週間以上かかる組織が多数存在します。
ギャップはどこに存在しますか?

描き直されるエコシステムマップ

トラフィック量で見ると、npmがMavenを抜き、最も利用されているエンタープライズ向けパッケージエコシステムとなりました。 一方、Hugging Faceでは新規モデル数が140万件を超え、年間の新規パッケージ追加数の規模でDocker Hubに匹敵する存在となっています。同時に、従来のパッケージガバナンスでは対応できるように設計されていない、まったく異なる種類のアーティファクトを扱っています。
詳細へ
2025
2024
src=
src=
src=
src=

すべての脆弱性が必ずしも見た目どおりとは限らない

CVEの開示総数は20%増加して48,000件を超え、数量ベースのトリアージは不可能になっています。 しかし、件数そのものは適切な指標ではありません。 JFrogが248件の注目度の高いCVEを調査したところ、実際に悪用可能なものはわずか11.9%であることが判明しました。 つまり、重要アラートの88%は単なるノイズであり、開発者の時間を浪費しているということです。
詳細へ
66.5% 21.7% 11.9%
248
CVEの該当性
該当性低
(該当性0%~20%)
該当性中
(該当性20%~80%)
該当性高
(該当性80%~100%)

インジェクションの脆弱性が3,110%増加。 AIコーディングアシスタントに感謝を。

クロスサイトスクリプティングのCVE件数はほぼ3倍に増加。 SQLインジェクションのCVEは1年で445%増加。 インジェクションの脆弱性は3,110%増加。 これらは数十年前から存在する脆弱性の種類であり、理解され、予防可能であり、AI支援開発によって生成される量が手動レビュープロセスをはるかに上回るため、急増しています。
詳細へ
2025
2024
XSS
SQLインジェクション
インジェクション

もっと詳しくご覧になりますか?

今年の調査結果を過去のレポートと比較することで、2026年の悪意のあるパッケージの増加から、ソフトウェアサプライチェーンチームが管理しなければならない新たなAIセキュリティリスクまで、状況がどのように変化したかを確認できます。
Software Supply ChainState of the Union 2024
革新から浸透に:ソフトウェアエコシステムに潜む危険から保護する
Download 2024’s Report
ソフトウェアサプライチェーン 現状調査 2025
拡大する脅威の状況はソフトウェアの整合性を危険にさらす
2025年版レポートをダウンロード

よくあるご質問

  • JFrog 2026年版ソフトウェアサプライチェーンセキュリティレポートとは何ですか?

    4年目を迎えたこの年次調査レポートでは、ソフトウェアサプライチェーンの脅威、オープンソースの脆弱性、CVEのトレンドなどを追跡しています。 これは、ソフトウェアサプライチェーンのセキュリティの現状、ガバナンスが機能していない箇所、そして攻撃者が次に狙う可能性が高い箇所を示すことを目的としています。

  • これは他のセキュリティレポートとどのように異なりますか?

    JFrog 2026年ソフトウェアサプライチェーンセキュリティレポートでは、3つの柱から成る手法を採用し、大規模に収集した専門家の知見を活用しています。 本レポートには、JFrogセキュリティリサーチチームによる独自の脅威調査、数千の実在する企業から直接収集され匿名化されたデータ、8か国1,500人超の専門家を対象に委託実施した調査が含まれています。

  • このレポートは誰を対象としていますか?

    CVEデータベースが示す内容だけでなく、実際のリスクがどこに蓄積しているのかを把握する必要がある、セキュリティエンジニア、DevOpsチームやプラットフォームチーム、業界のリーダー。 また、取締役会に投資の正当性を説明する必要がある人にも役立つように設計されています。データは、何を修正すべきかだけでなく、なぜそれが重要なのか、そして同業他社がそれに対してどのような対策を講じているのかを示します。

  • このレポートはソフトウェアサプライチェーンにおけるAIセキュリティリスクを取り上げていますか?

    はい。 組織がAIモデルを導入するにつれて、新たな攻撃ベクトルが生まれます。 社内インフラでAIを実行することの具体的な危険性(新たなセキュリティリスクを含む)について検証します。 ぜひ本レポートを読み、これらの新たな依存関係を効果的に統制し、今日のソフトウェアサプライチェーンチームが直面しているAIセキュリティリスクを管理する方法をご確認ください。

  • 2026年、悪意のあるパッケージは開発にどのような影響を与えていますか?

    攻撃者はレジストリに侵入する新たな手口を見つけており、その結果、高度な攻撃キャンペーンが増加しています。 当社の調査では、これらの脅威の急増と、それらが従来のセキュリティレイヤーをどのように回避するかに焦点を当てており、こうした進化する手法の主要な例としてnpmを取り上げています。 完全版レポートでは、現代の開発サイクルにおけるこれらの攻撃の規模と影響について詳しく説明しています。