2026年、ASMは大きく進化し、クラウド管理の強化、AIの導入、ゼロトラストの標準化、そしてサプライチェーンリスクへの本格的な注目が集まります。
企業におけるサイバー攻撃対象領域は、ここ数年でその範囲と複雑さの両面で拡大し続けており、この拡大傾向は今後も止まる気配がありません。
この傾向には、以下のような複数の要因が挙げられます。
- IoTの普及により、ネットワークに接続されるデバイスが大幅に増加したこと
- APIや相互接続されたマイクロサービスの利用増加
- リモートワークへの移行により、自宅からのデバイスや接続を取り込む必要が生じたこと
- 制御不能に膨張するシャドーIT
- 分散型インフラ管理やクラウドサービスへの移行によって、ITエコシステム全体がより複雑かつ不透明になったこと
CSAによると、現在、企業の82%がハイブリッド環境を利用しています。さらに、約3分の2が2つ以上のクラウドプロバイダーを利用しており、攻撃対象領域はさらに複雑化しています。
AIの一般的な導入は、状況をさらに悪化させています。AIアシスタントやエージェントはサイバー犯罪者に新たな機会を与え、彼らも自らのAIツールを使って攻撃の規模を拡大しています。CSAの調査によると、半数以上の組織がAIを利用しており、そのうち約3分の1がすでにAI関連の侵害を経験しています。
このような攻撃対象領域の急速な拡大と、終わりの見えないサイバーインシデントの増加(Clutchの調査によれば、73%の企業がサイバーインシデントを経験し、過去1年では55%が被害に遭っています)は、攻撃対象領域管理(ASM)に対して全く新しいアプローチを求めています。もはや小さな調整だけでは不十分です。
2026年には、ASMが以下の点を重視する方向へシフトすると予測します。
- クラウド管理の集中化と、SASE(セキュアアクセスサービスエッジ)ソリューションの主流化
- 受動的な対策から能動的なリスク管理への転換
- ゼロトラストの必須化
- インテリジェントでエージェント型のAIツールによる攻撃対象領域の保護
- サードパーティおよびサプライチェーンリスクへの鋭い注目
1. クラウド管理は集中化される
これまでクラウド資産が完全に管理されていなかったとは言いませんが、その管理は分散的で一貫性に欠けていました。より多くの機密データや業務がクラウドへ移行するにつれ、その重要性は増しています。クラウド保護はかつてないほど重要です。
さらに、リモートワークやハイブリッドワークの増加により、従業員が自分のデバイス(BYOD)を持ち込み、セキュリティが不十分なネットワークからクラウドシステムにアクセスするケースが増え、より強力なクラウド防御が求められています。これには、SD-WANネットワーキング、ファイアウォール・アズ・ア・サービス、セキュアウェブゲートウェイ、クラウドアクセスセキュリティブローカーによる可視化と制御、強力なデータ損失防止策、従来のID・アクセス管理、ゼロトラスト、企業ポリシーの強制などの導入が必要です。
これだけ多くの要素が絡む中、これら多面的な防御策を統合するソリューションの導入が急増すると予測します。現在の高度なSASE技術は、これらすべての手法をシームレスに統合し、複雑さを軽減し、俊敏性を高めるために一元化されたビューを提供します。これにより、2026年にはSASEが主流となるでしょう。
2. 能動的対応が主流となる
2026年に突入する今、サイバー脅威は多すぎ、深刻すぎ、そして速すぎて、受動的な対策ではもはや太刀打ちできません。すべての抜け穴を塞ぎ、攻撃対象領域全体を強化することは不可能です。新たな脆弱性は絶えず進化しており、特にサプライチェーンが長大化する中でその傾向は顕著です。今後は能動的な対策が不可欠です。
2026年に予測される能動的ASM対策は以下の通りです。
- 継続的かつ適応的、かつ自動化された資産インベントリ。組織は、エコシステム内の新たな資産を絶えずスキャンし、その範囲や脆弱性(内部・外部両方)をマッピングするソリューションを導入します。
- 状況を理解する経営層。AIツールを含む攻撃対象領域のすべてを監視・評価する必要性を理解するリーダーが求められます。
- 統合されたリアルタイム脅威インテリジェンス。リアルタイムの脅威情報がすべてのASMワークフローに組み込まれ、意思決定が攻撃者より一歩先を行くことを保証します。
- 脅威の自動かつ即時の優先順位付け。脆弱性管理は、リスクの悪用可能性、重要度、業務への影響に基づいて優先順位を付け、最も深刻なものから対処し、見落としを防ぎます。
3. ゼロトラストは新たな意味を持つ
フィッシング攻撃は進化し続けています。2025年には、より巧妙なフィッシング、ビッシング(ビデオフィッシング)、QRフィッシングなど、さまざまなソーシャルエンジニアリング攻撃が登場しました。人的ミスは依然として最大のサイバーリスクであり、それを誘発する手法もますます巧妙になっています。例えばQRフィッシング攻撃では、63%のケースで機密データにアクセスできる従業員が入力ベクトルを開始しています。
AIによるディープフェイク技術の大幅な進歩により、音声やビデオ通話さえも信頼できなくなっています。例えば、ある企業の従業員はCEOを名乗る電話で多額の支払いを承認され、声も本人と認識しましたが、すべてAIによる偽造音声でした。カーディフ大学の2025年の研究では、ディープフェイク音声は音声認識システムを95~97%の精度で欺くことができ、人間も既知の声であっても本物と偽物を区別できるのはわずか17.5%に過ぎません。
この種の攻撃を完全に防ぐ方法はなく、唯一の現実的な防御策は従業員への継続的かつ反復的なトレーニングです。実際の行動変容を促すためのフィッシングシミュレーションの導入が、現場で急増すると予想されます。文脈が真正性の重要な手がかりとなります。
同時に、企業はアクセス制御や全ての人・デバイスに対するゼロトラスト、多要素認証をデフォルトで厳格に実施するようになります。一定額以上の支払いには社内コードワードや2名による確認が標準となるでしょう。
4. AIが重要な役割を担う
長い間、AIをサイバーセキュリティソリューションに統合することの是非が議論されてきました。しかし、現実の出来事が示す通り、AIはASMにとって問題の一部であると同時に、解決策の重要な一部でもあります。2026年には、攻撃対象領域管理におけるAI活用が当たり前になります。
これは、AIによるスキャンの自動化や疑わしいメール・フィッシング検知のアラートを超え、脅威を自律的に発見し、人間よりもはるかに迅速に対処するインテリジェントかつエージェント型のAIの導入を意味します。
例えば、複数の専門AIエージェントが協力して脅威を特定し、そのリスクレベルを分析し、関連する脆弱性をリアルタイムで修正することが可能となります。
別のシナリオでは、多数のAIエージェントがユーザーの行動を監視し、脅威インテリジェンスを共有し、動的に新たな脅威を認識・対応することで、未知のリスクにも一歩先んじて対処できるようになります。
5. リスク管理は企業の枠を超える
サードパーティやサプライチェーンリスクは新しい懸念ではありませんが、2026年には主役となります。現代の企業は、アプリ、ショートコード、API、ソフトウェアなど、重要なデジタルサービスを提供する長いデジタルサプライチェーンに依存しています。これらのサプライチェーンは不透明であり、チャットボット、配送トラッカー、決済ゲートウェイ、データベース取得などを支える見えないn次パートナーが含まれています。
たった一つの依存関係の侵害や見落とされた脆弱性が、攻撃者にサプライチェーンへのアクセスを許し、標的組織への横断的な侵入を可能にします。特に懸念されるのは、多くのデジタルパートナーが小規模企業であり、データマスキング技術を使って自社やユーザーのデータを守るリソースが不足している点です。
そのため、2026年には企業自身だけでなく、サプライチェーン全体をカバーする広範な攻撃対象領域のマッピングが進むでしょう。サードパーティ、フォースパーティ、n次パーティのリスクを含むリスク評価ソリューションが他を凌駕し、脅威環境の変化を常に反映する動的なサードパーティ評価ソリューションが選ばれるようになります。
2026年はASMにとって重要な年となる
攻撃対象領域が拡大し、攻撃自体もより迅速かつ賢くなる中、攻撃対象領域管理は攻撃者を凌駕し、先を読む必要があります。2026年は、ASMが硬直した殻を破り、俊敏で能動的、インテリジェントかつ先見的なものへと進化する年となるでしょう。これは新たなテクノロジーによって実現されます。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加希望はこちら
