各国政府が2026年に向かう中で、ひとつ明確なことがある。サイバーセキュリティのリスクは、もはや単一の攻撃ベクトルや単一の敵対者だけでは定義できない。
その代わりに、公的部門のセキュリティアナリストは、政策判断、不均一な投資、急速な人工知能(AI)の採用、そして説明責任における恒常的な欠落によって増幅されている、長年続く脅威の収束によって来年が形作られると警告している(参照:米国はサイバー空間で攻勢に出るべきだと報告書が警告)。
Information Security Media Groupのインタビューで、サイバー政策およびセキュリティのリーダーたちは、来年の政府のリスク環境を形作る可能性が高い3つの力を挙げた。すなわち、連邦政府のサイバーセキュリティ能力の着実な低下、重要インフラおよび通信ネットワークに対する国家主体の脅威の激化、そして政府がAIを採用するスピードと、それを統治するスピードの遅さとの間で拡大するミスマッチである。
投資縮小、露出、そして連邦政府後退の複合的影響
Cyber Threat Allianceの社長兼CEOであるマイケル・ダニエルにとって、2026年に向けた最も重大なサイバーリスクは、新たなマルウェア株や斬新な攻撃手法ではなく、連邦政府がサイバーセキュリティを国家の中核的優先事項として後退させることによる累積的な影響である(参照:ホワイトハウス、サイバーリスクを州・地方機関へ移転)。
「2026年に増大するリスクは、連邦政府によるサイバーセキュリティへの投資縮小だ」とダニエルは述べた。「連邦レベルでの能力低下は、政府のあらゆるレベルでリスクを高める。」
ダニエルは、政府を狙う最も目立つサイバー脅威の多くは来年、根本的には変わらない可能性が高いと指摘した。ランサムウェアは地方自治体やK-12(幼稚園から高校まで)のシステムにとって主要リスクであり続け、個人データの窃取は州および連邦機関を引き続き悩ませ、スパイ活動は連邦ネットワークに対する恒常的な圧力であり続けるだろう。彼が警告したのは、変わり得るのは、そのリスクを誰が引き受けることを期待されるかだという点である。
ダニエルによれば、州および地方政府は、連邦機関から移管されつつある責務を短期的に担う準備ができていない。同時に、敵対者は米国の政策シグナルを注意深く見ており、国家安全保障戦略のような戦略文書でサイバーセキュリティがどのように扱われているかも含まれる。伝統的な同盟国との関係悪化は、情報共有や共同防衛の取り組みをさらに複雑にし、国境を越えたシステム全体のリスクを高める。
中国、AI、そして重要インフラにかかる戦略的圧力
戦略国際問題研究所(CSIS)の戦略技術プログラム副ディレクターであるローリン・ウィリアムズは、政府が直面する最も重大なサイバー脅威として中国を挙げた。とりわけ、AIが攻撃作戦により深く組み込まれていく中で、その重要性は増すという。
ウィリアムズは、Anthropicによる年末の報告に言及し、同社が中国の国家支援グループによって実施されたとする、初の「AIが指揮した」サイバースパイ活動キャンペーンを記録したと述べた。そこでは、コマンドの最大90%が自律的に実行されたという(参照:AIツールがサイバー攻撃の大半を実行、Anthropicが指摘)。専門家は以前から、中国が米国にとって最も深刻なサイバー脅威であると述べてきたが、ウィリアムズは、AIの統合が来年の転換点になる可能性があると付け加えた。
「2026年にはこれまで以上に、政府は産業界や地域の公益事業者と連携し、この急速に変化する国家主体の脅威に対してサイバー防御を強化することを優先する必要がある」とウィリアムズはISMGに語り、AIとデータセンターインフラの爆発的な成長が米国のエネルギー網に新たな脆弱性を持ち込み得ると警告した。エネルギー網は、敵対者がすでに戦略的に重要だと認識している領域である。
彼女によれば、AI主導のエネルギー需要をめぐる政策議論に、サイバーセキュリティを直接組み込まなければならない。現状では、多くの公的部門組織がサイバー環境を下流の検討事項として扱っているとアナリストは述べている。
ウィリアムズは、エネルギー省やサイバーセキュリティ・インフラセキュリティ庁(CISA)などの連邦機関に加え、州・地方政府も、AI成長の文脈で送電網セキュリティに特化した脅威情報共有フォーラムへの参加を深める必要があると述べ、急速に進化する脅威に先んじるには協働が不可欠だと付け加えた。
通信ネットワーク、ID露出、そして行動しないことの失敗
Electronic Privacy Information Centerの顧問弁護士であるクリストファー・フラスチェラにとって、2026年における最も憂慮すべきエスカレーションリスクは、通信ネットワークへの攻撃と、既知の脆弱性に対して連邦政府が実質的に対応できていないことにある。
フラスチェラは、連邦通信委員会(FCC)が、当局が米国史上最も重大なサイバー攻撃と説明していた事案への対応として今年初めに出した宣言的裁定を撤回する決定を下した点を挙げた。報道によれば、この事案に関与した脅威アクターは概ね封じ込められているものの、影響を受けたネットワークから完全には排除されていないという(参照:米通信事業者、中国ハッキングへの答えとしての規制を拒否)。
同時にフラスチェラは、CISAが、議員らが深刻に懸念すべき所見を含むと述べているネットワーク脆弱性に関する2022年の報告書の公表を拒んでいる点を指摘した。人員と予算の削減と相まって、専門家は、米国が全体的なサイバー防御態勢において後退した初めての年になると警告している。
「通信へのアクセスは、誰と話し、何を言ったかを露出させるだけでなく、現代ではワンタイムパスワードの通信を傍受し、機微なアカウントへのアクセスを解錠することにも等しい」とフラスチェラは述べた。こうしたアクセスは、より説得力のあるなりすまし攻撃も可能にし、詐欺や暗号資産詐欺を促進するために用いられるソーシャルメディアの乗っ取りも含まれる。
Salt Typhoonのようなキャンペーンで悪用された脆弱性に対する弱い対応に加え、サイバーセキュリティに対する超党派の持続的支援の欠如が、米国の通信インフラへのさらなる攻撃を新年に向けて助長する可能性が高いと、フラスチェラは警告した。
統治と説明責任を上回るAI導入
AIはしばしばサイバー犯罪の加速装置として描かれるが、ダニエルは、悪意ある行為者がこれまでのところ、多くの人が予想したほど速くAIを採用していないと注意を促した。彼は、この遅れが、2026年にAIを活用した攻撃が急増する余地を生み、とりわけソーシャルエンジニアリングで顕著になると付け加えた。
専門家によれば、フィッシングやディープフェイクによるなりすまし攻撃も検知が難しくなっている一方、防御ツールは後れを取っている。政府給付や決済システムを狙うサイバー起点の詐欺も増加が見込まれ、政府は緩和策への投資だけでなく、個人や小規模事業者が詐欺から回復するための支援にも投資する必要がある。
ウィリアムズは、政府と産業界が2026年にAIツールを迅速に展開する強い圧力に直面している一方で、基盤となる技術スタックのセキュリティ上の含意を十分に理解していないと指摘した。AIは効率を高め、異常検知を通じて防御を強化し得るが、脆弱性の発見、インシデント対応、そしてセキュリティ制御なしの拙速な展開が、新たな攻撃経路を生み出している。
フラスチェラも、AIガバナンスに対する連邦政府のアプローチを批判し、州レベルの保護を無効化しようとする取り組みが、実効的な説明責任の空白を残していると主張した。政府によるAI利用の透明性が限られているため、汚染された学習データ、プロンプトインジェクション、ユーザー訓練の不足に関連するリスクを含め、これらのシステムの安全性、正確性、完全性を評価することが難しいと彼は警告した。
翻訳元: https://www.databreachtoday.com/china-ai-federal-retreat-set-cyber-agenda-for-2026-a-30382
