SANS、AIガバナンスの遅れに警鐘 セキュリティチームの利用急増で

セキュリティチームによるAI導入が急速に進む一方で、導入率と信頼度の間のギャップが拡大していると、SANS Instituteが警告しています。

サイバーセキュリティ分野の研修・認定プロバイダーである同機関は、世界のサイバーセキュリティ・IT実務者536名とセキュリティリーダー57名にインタビューを行い、2026 SANS AI Survey Insightsと題するレポートをまとめました。

それによると、サイバーセキュリティ戦略にAIを積極的に活用している組織の割合は78%に達し、2025年の50%から大幅に増加しました。しかし同時に、脅威検知・対応において「重大な欠陥」があると回答した組織の割合も63%に上り、こちらも45%から増加しています。

統合における最大の障壁としては、これまで挙げられていた「AIを既存システムに組み込むこと」に代わり、「AIの判断に対する信頼性」(40%)がトップとなりました。

レポートの執筆者でSANS認定インストラクターのMatt Bromiley氏は、次のように述べています。「この2年間、セキュリティチームにAIとの向き合い方について尋ねてきましたが、両年とも率直な答えは『とにかく速く動き、進めながら手探りで対応している』というものでした。2026年に変わったのは、その答えの背後にある重みです」

AIガバナンスに関する関連記事: AIエージェントがNHI(非人間ID)を76%増加させ、ガバナンスの間隙が浮き彫りに

AIが最も効果的に活用されているのは、ネットワーク防御担当者による振る舞い検知(48%)とユーザー向けセキュリティ意識向上トレーニング(45%)の分野です。

一方で脅威アクターもAI技術の活用を加速させており、過去1年間にAIを悪用した攻撃を確認、または疑われる事案があったと回答した組織は78%に上りました。最も多かったインシデントの種類は、ディープフェイク、脆弱性の悪用、フィッシング、そしてAIモデルに対する敵対的攻撃でした。

こうした状況を背景に、SANSは組織の足かせとなりかねないガバナンスの間隙を指摘しています。調査対象となったセキュリティリーダーのうち、正式なプログラムを整備していると回答したのは半数(50%)にとどまりました。

また、5分の2以上(44%)がAIガバナンスポリシーの策定はまだ初期段階にあると回答しており、中には両方の状態にあると答えた組織もありました。

AIがセキュリティ人材のスキルアップに迫る圧力

SANS Instituteによれば、今後12カ月間はセキュリティチームがAI対応力のギャップを埋めるうえで重要な時期になるといいます。特に、AIによって研修要件が変化したと回答した組織は4分の3(73%)に達し、前年の51%から大きく増加しました。

Bromiley氏は次のように述べています。「ツールが見落とすものを察知できる人材がいなければ、このギャップは埋められません。今スキルアップに投資しているチームこそ、すでに導入したAIから最大限の成果を引き出せる立場にあります。なぜなら、それを運用する人材が、いつAIを信頼し、いつ自ら介入すべきかを判断できるからです」

レポートは、投資に関する以下の3点の計画を推奨しています。

  • 単にツールを増やすのではなく、「精度、再現率、継続的な比較検証」を含むAI検証基盤の構築
  • 機密データへのアクセスやAIによるデータ露出を、後回しにせず中核的な統制として扱うガバナンスの実運用化
  • 人材育成を中期的な採用目標としてではなく、喫緊の運用課題として扱うこと

翻訳元: https://www.infosecurity-magazine.com/news/sans-warns-of-ai-governance-gap/

ソース: infosecurity-magazine.com