企業向けの自動アップデートサービス「Windows Autopatch（ウィンドウズオートパッチ：企業向け自動更新サービス）」に、新しく「CVE（Common Vulnerabilities and Exposures：共通脆弱性識別子）レポート」機能が追加されました。2025年12月8日付でPetri（ペトリ：IT系ニュースサイト）やMicrosoft公式ブログがこの機能追加を報じていて、Windowsの脆弱性管理をかなり楽にしてくれそうなアップデートです。(Petri IT Knowledgebase)

「どのCVEが、どの更新プログラムで、どの端末までちゃんと当たっているのか」を1つの画面で追えるようになった、というのが今回の一番大きなポイントです。

対象はWindows Autopatchを使っている企業・組織のIT管理者や情シス、セキュリティ担当の方たち。これまでExcelや別ツールとにらめっこしていた人ほど、「あ、これは使えるかも」と感じるはずの機能です。

今回の変更で何が起きたのかざっくり整理

まずはニュースとしての事実関係から整理しておきます。

2025年12月8日（米国時間）、MicrosoftはWindows Autopatchに「CVEレポート（Windowsの脆弱性一覧とパッチ状況を可視化する専用レポート）」を追加したと発表しました。(Petri IT Knowledgebase)

このレポートは、過去90日間にWindows品質更新プログラム（Windows quality updates：毎月配信されるセキュリティ更新など）が解消したCVEを一覧で表示し、

どのCVEがどれくらい深刻か（CVSS Base Score：CVSS基本スコア）
悪用されているかどうか（Exploitation status：悪用状況）
対応するKB（Knowledge Base：サポート技術情報）記事
どの端末がまだパッチ未適用なのか

といった情報を、Microsoft Intune admin center（マイクロソフト Intune 管理センター）からまとめて確認できるようにしたものです。(Petri IT Knowledgebase)

データはおおよそ2時間ごとに更新されるので、「昨日の状態」ではなく「ほぼリアルタイムの状態」を把握できるのも特徴とされています。(Microsoft Learn)

対象ユーザーと前提条件：誰が使える機能なのか

ここが気になる人も多いはずなので、先に整理しておきます。

このCVEレポート機能は、Windows Autopatchを利用している組織すべてが対象で、追加ライセンスは不要とされています。(Microsoft Learn)

Windows Autopatch自体を使うには、ざっくり次のような条件があります。(Microsoft Learn)

ライセンスとして、Microsoft 365 Business Premium（ビジネスプレミアム）、F3/E3/E5、またはA3/A5など
対象デバイスはWindows 10/11 Pro（プロフェッショナル）、Enterprise（エンタープライズ）、Education（エデュケーション）などのエディション
デバイスは企業所有で、Microsoft Intune（マイクロソフトインチューン）管理、Entra ID（エントラID：旧Azure AD）参加またはハイブリッド参加
BYOD（Bring Your Own Device：私物持ち込み端末）は基本NG

つまり、一般家庭のWindowsには関係なく、企業・学校などでMicrosoft 365とIntuneを使って端末を集中管理しているところ向けの新機能です。

なぜCVEレポートが重要なのか：これまでのギャップ

少し想像してみてください。セキュリティ担当の立場で、こんな悩みはなかったでしょうか。

「今月のPatch Tuesday（パッチチューズデー：毎月第二火曜の更新）でCVE-2025-XXXXが修正されたのは分かった。けれど、うちの1,000台あるPCのうち、実際に何台がまだ未パッチなのか、一目では分からない…」

これまで多くの組織では、「CVE情報」「Windows Updateの展開状況」「端末ごとのインベントリ」がバラバラのツールに散らばっていて、“最後の1マイル”の見える化がとても面倒でした。

CVEはセキュリティ情報ポータルやアドバイザリで確認
KB番号ごとの配信状況はWSUSや他のレポートで確認
端末ごとの状態はIntuneや別の資産管理ツールで確認

…と、ダッシュボードを何枚も行き来しながらExcelで突き合わせる、という運用をしていたチームも多いはずです。正直つかれますよね。

今回のCVEレポートは、そこを一気にまとめるアプローチです。

「CVEを起点」に、
「どのKBで直るのか」
「そのKBがどの端末に入っているのか／いないのか」

を、1つの画面でドリルダウンして追いかけられるようにしているのがポイントになります。(Petri IT Knowledgebase)

新しいCVEレポートで見える情報

公式ドキュメントやPetriの記事などから、CVEレポートに含まれる主な情報を整理してみます。(Petri IT Knowledgebase)

CVEレポートは、「Windows OSに関するCVE」を対象に、過去90日間に対応した脆弱性と、そのパッチ適用状況を一覧できる“統合ビュー”として位置付けられています。(Petri IT Knowledgebase)

主な表示項目としては、次のようなものが挙げられています。

CVE ID（CVE識別子：例「CVE-2025-12345」）
CVSS Base Score（CVSS基本スコア：深刻度の数値）
Exploitation status（悪用状況：悪用確認済み／悪用可能など）
Release information & KB link（対応する更新プログラムとKB記事リンク）
Publication date（CVE公開日）
Affected devices count（影響を受けているデバイス数）
Missing updates devices list（必要な更新がまだ入っていないデバイスの一覧）

さらに、「特定のCVEだけをフィルタして、そのCVEに対してまだパッチが入っていない端末を一覧表示する」といった操作も可能とされています。データは約2時間ごとに更新され、CSVなどにエクスポートしてオフライン分析もできるとのことです。(Petri IT Knowledgebase)

Intuneからの入り方：CVEレポートを開く手順

実際に触ってみたい人向けに、公式ドキュメントをベースに手順を日本語で整理しておきます。(Microsoft Learn)

CVEレポートは、Microsoft Intune admin centerのレポートメニューからたどる形でアクセスします。

(1) ブラウザーでMicrosoft Intune admin center（Intune管理センター）にサインインします。

(2) 左側メニューから「Reports（レポート）」→「Windows Autopatch（ウィンドウズオートパッチ）」→「Windows quality updates（Windows品質更新プログラム）」の順に開きます。

(3) 上部のタブから「Reports（レポート）」タブを選択します。

(4) 一覧の中から「Common Vulnerabilities and Exposures (CVEs) report（共通脆弱性識別子レポート）」を選択します。

あとは、気になるCVEや深刻度でフィルタリングしつつ、「どの端末がまだ危険ゾーンにいるのか」をチェックしていく流れになります。最初はちょっとUIを追うのに迷うかもしれませんが、慣れると「CVEビュー起点のパッチ管理」としてかなり使いやすいはずです。

実運用ではどう使う？具体的なセキュリティ運用のイメージ

では、このCVEレポートをセキュリティ運用の中でどう活かすか。Microsoftの公式ブログやアナウンスでは、いくつかのユースケースが示されています。(TECHCOMMUNITY.MICROSOFT.COM)

代表的なのは「重大度の高いCVEを起点に、AutopatchとIntuneの機能を組み合わせて、更新の優先度付けと展開スピードを上げる」という使い方です。

たとえば、こんなフローが現実的です。

(1) CVEレポートで、CVSSスコアが高い、もしくは「悪用確認済み」のCVEだけにフィルタ

(2) そのCVEに紐づく更新プログラムで、まだパッチが入っていないデバイス数と一覧を確認

(3) Windows AutopatchのUpdate readiness（アップデート準備状況：プレビュー機能）で、問題なく更新を受け取れそうかをチェック

(4) クリティカルなものは、Intuneの「Expedited updates（迅速な更新）」やMicrosoft Graph（グラフAPI）を使って、特定の端末グループに前倒しで展開

(5) 必要に応じて、Security Copilot Vulnerability Remediation Agent（セキュリティコパイロット脆弱性修復エージェント：プレビュー機能）を併用して、より自動化された修復プランを検討

この一連の流れを「CVEレポート → 端末の特定 → 自動更新の加速」とつなげられるようにしたのが、今回のアップデートの狙いだと読み取れます。(TECHCOMMUNITY.MICROSOFT.COM)

コミュニティの反応：Xやフォーラムではどう語られている？

今回のCVEレポート追加については、公式発表だけでなく、X（旧Twitter）や技術フォーラムでもさっそく話題になっています。

日本のエンジニアからは「Intuneポータルからパッチが対応するCVEの情報を参照できるようになった」といったコメントが投稿されており、現場目線でも“待っていた機能”として受け止められている印象です。(X (formerly Twitter))

海外のWindows系フォーラムでも、「Windows AutopatchのCVEレポートで、脆弱性からパッチ、端末までを一気にたどれる“Unified vulnerability to patch view（脆弱性からパッチまでを一元的に見るビュー）”になった」といった解説が出ていました。(Windows Forum)

こうした声を眺めていると、

そもそもAutopatchをまだ試していない組織
すでにAutopatchを使っているが、「レポート機能はあまり触っていない」チーム

のあいだで、今後議論が増えていきそうです。

「既存のSIEM（セキュリティ情報イベント管理ツール）とどう住み分けるのか？」
「CVEレポートをどこまで“公式な唯一の数字”として扱うのか？」

このあたりは、コメント欄でもぜひ意見を交換したいところですね。

バージョン・エディション面の注意点

ここで一度、「どのWindowsが対象になるのか？」も整理しておきます。

CVEレポートはWindows Autopatchの一機能なので、基本的にはAutopatchがサポートするWindows 10/11のエディションとビルドが対象になります。(Microsoft Learn)

Microsoft Learnによると、Autopatchに登録可能なのは、おおむね次のエディションです。(Microsoft Learn)

Windows 11 Professional / Enterprise / Education / Pro for Workstations / IoT Enterprise
Windows 10 Professional / Enterprise / Education / Pro for Workstations / IoT Enterprise

また、GA（General Availability：一般提供）チャネルのビルドが対象で、LTSC（Long-Term Servicing Channel：長期サービスチャネル）については主に品質更新プログラムのみをAutopatchが扱う、という制限があります。

ライセンス側では、Microsoft 365 Business Premium、F3/E3/E5、A3/A5など、Autopatchに対応したサブスクリプションが必要で、Azure Active Directory Premium（現Entra ID Premium）やIntuneも前提条件になっている点は従来どおりです。(Nerdio)

コメント欄で議論したいポイント：あなたの環境だとどう使う？

ニュースとしての事実はだいたい押さえたので、ここからは「自分の現場だったらどう使うか」を考えるゾーンです。

いちばん盛り上がりそうなのは、「CVEレポートを、どこまで“公式な数字”として社内レポートに採用するか？」というポイントだと思います。

たとえば、次のような論点がコメント欄で出てきそうです。

「うちは既に別の脆弱性管理ツールを入れているけれど、WindowsだけはAutopatchのCVEレポートを一次情報にしてもいいのでは？」

「CVEごとに“何時間以内にパッチを適用するか”というSLA（Service Level Agreement：サービスレベル合意）を決めていて、その達成状況をこのレポートでトラッキングしたい」

「逆に、オンプレの古いWindowsやサーバーOSはAutopatchの外側に残るので、どこまでをCVEレポートのスコープと見なすかルール決めが必要だよね」

あるいは、もっと現場寄りの声として、

「情シス1人しかいない中小企業で、Autopatch＋CVEレポートをどこまで運用に乗せられるか」

「SOC（Security Operation Center：セキュリティ運用センター）側がこのレポートをどう取り込むか」

といった話題も出てくるかもしれません。

この記事を読んでいるあなたの環境では、

すでにAutopatchを使っているのか
これから導入を検討しているのか
あるいは「うちはまだWSUSオンリー」という状態なのか

そのあたりも含めて、ぜひコメント欄で状況を書き込んでもらえると、同じ悩みを持つ人同士で参考になるはずです。

まとめ：まずは1回CVEレポートを開いてみるところから

ここまでをざっくりまとめると、こんな感じになります。

Windows AutopatchのCVEレポートは、「CVE → KB → 端末」という3つの世界を1つの画面に束ねてくれる機能で、特にWindows中心の組織にとっては“最後の見える化”をかなり楽にしてくれる可能性があります。

2025年12月8日公開の新機能で、追加ライセンスは不要
Intune admin centerからアクセスでき、約2時間ごとにデータが更新
過去90日間のWindows関連CVEについて、深刻度・悪用状況・KB・端末ごとのパッチ有無を一望できる
AutopatchのUpdate readinessやExpedited updates、Security Copilot関連機能と組み合わせることで、より高速な脆弱性対応ワークフローを構築できる

もしあなたの組織ですでにAutopatchを使っているなら、今日のうちに一度Intuneのメニューから「Common Vulnerabilities and Exposures (CVEs) report」を開いてみると良いと思います。

そして、「実際に使ってみた感想」や「ここがまだ足りない」と感じた点があれば、ぜひコメント欄で共有してみてください。同じように悩んでいる管理者が、きっとどこかでそれを読んでいるはずなので。