サイバーセキュリティリーダーの2026年の決意

AIブームの熱狂が落ち着く中、CISOが2026年に注力すべきことは多い。チームの燃え尽きを防ぐといった継続的な課題から、AIの有効なビジネスケースの発掘、侵害が起きる前に兆候を捉えることへの注力、そして量子暗号が破られるという差し迫った懸念への備えまで、現在および将来の課題は幅広い。さまざまな業界のCISOが、2026年の最重要アジェンダを共有する。

1. 反応的なセキュリティよりレジリエンスを優先する

組織がクラウド基盤への依存をさらに強める中、レジリエンスとアーキテクチャ上の規律を重視することは、Fortitude ReのCISOであるElliott Franklinの決意の一部だ。「私たちのアプローチは、整然としたプロジェクト管理と意図的な設計に焦点を当てます」と彼は言う。

新たな取り組みはすべて、明確なアーキテクチャ計画と、エンドツーエンドの依存関係および潜在的な障害点の深い理解から始める。「障害や中断に反応するのではなく、熟慮されたエンジニアリング主導のアプローチを取ることで、システムの安定性、拡張性、信頼性を強化することを目指します」と彼は言う。「この基盤により、私たちの技術およびセキュリティ投資が耐久性と進化を前提に構築されていると分かった上で、事業は自信を持って前進できます。」

2. AIがアジェンダを支配する

Standard CharteredのグループCISOであるCezary Piekarskiは、自身のアジェンダがAIによって2つの意味で支配されると見ている。脅威ランドスケープの定義と、防御アーキテクチャの定義だ。

「攻撃を緩和するにはスピードが不可欠です。そのためAIとオーケストレーションツールを活用することで、検知を迅速に自動化し、インシデント対応を効率化できます」とPiekarskiは言う。「これにより潜伏時間が大幅に短縮され、復旧が加速します。脅威が拡大する前に封じ込められるのです。」

AI駆動のアプリケーションやシステムによって新たな攻撃面が生まれる中、Piekarskiの優先事項は、AIを悪用した脅威や戦術に対して環境を防御し、堅牢化することに向かう。「サイバースタック全体でAIの機会を活かし、銀行がAIを安全かつ安心に利用できるようにすることです。」

QiagenのCISOであるDaniel Schatzは、2026年を通じて人工知能が「AIを用いてセキュリティ制御と運用を改善すること、そしてAIを製品に安全に統合すること」という観点で中核テーマであり続けると見ている。

彼は、生成AIによって可能になる脅威の高度化と規模拡大が顕著に進むと予想している。

「これまで観測してきたのは、主に手作業で作られたAI支援型のキャンペーンですが、ほとんどの新興脅威で見られるのと同じパターンで、より自動化され工業化されたソーシャルエンジニアリング作戦へと進化していく可能性が高いです」とSchatzは言う。「生成AIが遍在化するにつれ、AIの攻撃面を理解し、管理し、保護するのに役立つ技術の重要性は急速に高まります。Web開発初期に見られた過ちを繰り返さないためにも、業界が最初から適切なセキュリティ制御を組み込むことが極めて重要です。」

3. 可視性と統制を実現する（特にAIにおいて）

FlexeraのCIO兼CISOであるConal Gallagher,の優先事項は、FlexeraのチームがAIツールやチャットボットを使う中で、生産性と知的財産の保護のバランスを取ることだ。「信頼できるエンタープライズグレードのAIソリューションを標準化すると同時に、未承認ツールからのデータ漏えいを防ぐための統制を整備しています。」

実務面では、SaaS管理およびディスカバリーツールを用いて、シャドーITや未承認のAI利用を把握する。ESGとセキュリティをめぐる顧客要件および規制要件が拡大し続ける中、コンプライアンスとレポーティングの自動化も重要になる。さらに、脅威インテリジェンスのフィードや脆弱性管理ソリューションは、Gallagherとチームが現場で起きていることを先回りする助けとなる。

「共通する糸は可視性と統制です。環境に何があるのか、それがどう使われているのか、そして状況が変わったときに迅速に対応できることを把握する必要があります」と彼はCSOに語る。

4. 人と非人間のアイデンティティを管理する

Schatzは、人のアイデンティティと非人間のアイデンティティの管理に注力している。効果的なアイデンティティ管理を可能にする技術は、今後も重要であり続けると彼は見ている。「人のアイデンティティは依然として保護が難しく、非人間のアイデンティティはエージェント型AIの登場により、ようやく規模が拡大し始めたところです」と彼は言う。

同様の計画で、Franklinも人と非人間の両方のアイデンティティにまたがる、アイデンティティおよび特権管理を優先している。

「重要なのは、サービスアカウント、API、自動化ツールを、ユーザーアカウントと同じ厳格さでガバナンスすることです」とFranklinは言う。「自動化が進むにつれ、これらのデジタルアイデンティティを効果的に管理することが、複雑な環境における信頼、追跡可能性、統制を維持する上で不可欠になります。」

目標は、生産性とコラボレーションを可能にしながら、組織全体のレジリエンスを強化することだ。

5. エージェント型AI製品にセキュリティを組み込む

高度な攻撃を緩和するため、エージェント型AI製品にセキュリティを直接組み込むことを優先する人もいる。「私たちは、AIリスクを単に止めようとする段階を超え、エージェント型ソリューションにセキュリティを直接設計として組み込み、チームにとって“安全にイノベーションする道”が最速の道になるようにしています」とQualtricsのCSOであるAssaf Kerenは言う。

KerenはAIを活用してセキュリティ能力を強化し、SOCのトリアージや統制テストといった内部機能を自動化・高速化していく。

6. セキュリティを信頼と結び付ける

Kerenにとって2026年は、セキュリティをバックオフィス機能にとどめず、目に見える信頼のシグナルにすることでもある。彼はセキュリティを、顧客との能動的で透明性の高いパートナーシップへと変革しようとしている。

「顧客は、組織がデータとAIをどう扱うかに基づいて購買判断をしています。セキュリティを単なるリスク低減ではなく、Go-to-Market上の優位性として扱うのです」と彼はCSOに語る。

これは、FedRAMP HighやAI向けのISO 42001の認証取得、セキュリティ実践の透明化、そしてセキュリティ態勢を価値提案の見える要素にすることを意味する。「堅牢なセキュリティと責任あるAI実践を信頼性高く示せる組織は、信頼に基づいて意思決定する顧客を獲得するでしょう。」

7. 量子対応計画を策定する

「量子コンピューティングは、現在の暗号方式を破る可能性があり、データセキュリティに影響を与え、新たな攻撃ベクトルを可能にすることで、重大なサイバーリスクをもたらします」とPiekarskiは言う。

この点を踏まえ、Piekarskiとチームは今後に向けて積極的に準備しており、それは量子の脅威を意味する。「2026年には、新たに出現する脅威の課題に対応し、関連リスクに対処するため、複数年にわたるレジリエント暗号の準備戦略を引き続き前進させます」と彼は言う。

ISC2のCISOであるJon Franceは、CISOに対し耐量子暗号への備えを促す。これには、自組織とシステムの見直しを行い、その後、ベンダーやパートナーに対して準備状況を確認することが含まれる。

「ロードマップには暗号資産の棚卸しが含まれ、そのうえで［ベンダーに］『量子について何をしているのか、ロードマップはどうなっているのか』と尋ねることになります。想定より早くサンセットしなければならないものも出てくるでしょうから、それを織り込んで計画する必要があります」と彼は言う。

8. システムだけでなく人を守る

2026年以降、ストレスやスキル変革がサイバー人材を恒久的に作り替える中で、セキュリティ戦略はツール、統制、コンプライアンスだけでなく、労働力のレジリエンスも考慮する必要がある。

燃え尽きが常に問題であり、AIがスキルと仕事を変え、経済状況が予算に圧力をかける中、CISOは技術と同じくらいチームのウェルビーイングにも目を向けなければならない。

「チームを活かしつつ、潰さない形でチームをケアすることが、私たちのアジェンダにあります」とFranceは言う。

9. 侵害を早期に発見する

クラウドシステムが拡大し、サプライチェーンがさらに伸びるにつれ、「完全な予防」という古い考え方は急速に薄れつつある。CISOは、セキュリティプログラムにおいて検知と対応を優先するよう、ますます強い圧力を受けるだろう。

「最強のセキュリティプログラムは、すべての侵害を止めるものではありません。最初に侵害を見つけるものです」と、TeamViewerのCISOであるJan Beeは言う。

Beeは、組織の周りに要塞を築くのではなく、CISOは可視性とスピードを重視する必要があると考えている。「エージェント型AIと超接続されたSaaSの時代では、そのスピードがすべてになります」とBeeは言う。「数秒でトラブルの兆候を捉えられる組織は、最も堅牢に防御されていても反応が遅い同業他社より先を行けます。」

10. 脅威カーブの先を行く

「組織はやや遅いペースで動きがちです。そのため、進展する脅威ランドスケープを先読みし、適切に先回りして備えることは、年末の予算策定サイクルを締めるにあたって不可欠です」とSchatzは言う。

彼のアジェンダには、WEF Cybersecurity Outlook、ENISA Threat Landscape、ISF Threat Horizonといった確立された情報源のレビューが含まれている。

「それは期待値の設定に役立ち、今後12〜36か月にわたるリスク統制をより現実的に計画できるようになります」と彼はCSOに語る。

11. コミュニケーションギャップを埋める

CISO、取締役会、ITリーダーは、セキュリティを単なる技術的対策ではなく事業上の優先事項として扱う、レジリエンスの共通言語で足並みをそろえなければならない。

Beeによれば、多くの取締役会はいまだにセキュリティをコンプライアンスやコストの問題として捉える一方で、CISOはリスクと継続性の観点で語る。「そのコミュニケーションギャップが、攻撃者が悪用できる盲点を生みます」と彼は言う。「サイバーリスクが事業リスクと切り離せなくなるにつれ、取締役会とCISOはより緊密に協働し、技術的脅威を、経営層が行動に移せる財務・評判・運用上の影響へと翻訳することを迫られるでしょう。」

CISOは、単なる報告ではなくストーリーテリングに注力すべきだ。「つまり、脅威インテリジェンスを事業成果に結び付け、明確で戦略的な言葉で示すことです。」

一方で取締役会は、サイバーレジリエンスを単なる予算項目ではなく競争優位として扱う必要がある。「セキュリティと戦略の文化的ギャップを埋められる企業こそが、回復が速くなり、インシデントが不可避に起きたときにも投資家の信頼をより強く喚起するでしょう」とBeeは言う。

12. 雰囲気ではなく成果を出す

「2026年は、実験よりも実行が重要になります」とGallagherは言う。

実務面では、セキュリティプログラム全体にわたり、透明性、ガバナンス、測定可能な成果を重視する規律あるアプローチを採用する。「あらゆる取り組みは、支出をROIと具体的なリスク低減に結び付けられるかどうかで測定します」と彼はCSOに語る。

特にAIの取り組みは、2025年の興奮と話題性が落ち着くにつれ、成果と有効なビジネスユースケースを示すことについて、実質的な精査を受ける可能性が高い。

「2026年は、AIをサイエンスプロジェクトではなく、ビジネスエンジンにする年だと感じます」と彼は言う。