この1年から得られる教訓がひとつあるとすれば、それはこれです。あらゆる攻撃を止めようとしても、私たちは敵対者を上回ることはできません。しかし、測定可能な形でよりレジリエントになることで、彼らより長く持ちこたえることはできます。私が最近行った2026年の新興脅威に関する講演では、サイバー攻撃はこれまで以上に複雑で、執拗で、知能化し、そしてはるかに自動化されると主張しました。つまり、完全な予防の可能性は低下します。必然的に重心はレジリエンスへと移ります。打撃を受けても、その場で適応し、被害を最小限に抑えつつ迅速に立ち直る能力です。
レジリエンスは技術を購入すれば手に入るものではありません。組織の能力です。そして、それが真にホリスティックであるときにのみ機能します。明確で、実践されているガバナンス。想定ではなく検証された運用準備。検知と同じくらい復旧を念頭に設計されたテクノロジー。そして、自分の役割を理解し、プレッシャー下でも行動できる人々。
文化、コミュニケーション、説明責任は「柔らかい要素」ではありません。増幅装置です。
2026年のサイバーリスクを左右する4つの要因
攻撃者はすでに自動化を使って偵察をスケールさせ、高度に個別最適化された誘い文句を作り、侵害された環境内でより速く横展開しています。合成IDや、巧妙に偽造された音声・動画が、顧客とブランドの間、さらには同僚同士の間の信頼を損なうことが予想されます。
防御側では、AIが検知と対応を加速できますが、ガードレールのないツール導入は新たな露出を生みます。取締役会として問うべきは次の点です。重要なワークフローのどこにAIを組み込んでいるのか。モデルが触れるデータの来歴(プロベナンス)と完全性をどう担保するのか。境界だけでなく、AIを有効化したプロセスをレッドチームで検証しているか。そして、AI駆動のソーシャルエンジニアリングに大規模に対処できるよう、人材を訓練しているか。
第二に、サードパーティのエコシステムが攻撃対象領域を形成します。リスクは抽象的ではありません。給与プロバイダーの停止で給与支払いが止まる、物流パートナーの侵害で配送が滞る、SaaSの侵害で最重要資産が漏えいする、といった形で現れます。
ティア1およびティア2の重要依存関係を可視化してください。高リスクベンダーには継続的な統制モニタリングを確立します。ベンダーのアクセスは最小権限に制限し、積極的にセグメント化し、必要に応じて切り離して縮退運用できる「キルスイッチ」を確保してください。そして、契約終了計画は調達上の形式ではなく、レジリエンスの統制であることを忘れないでください。
第三は量子コンピューティングです。早すぎると言う人もいれば、遅すぎると言う人もいるでしょう。実務的な立場はこうです。暗号のアジリティは、いまやビジネス要件です。暗号をどこで、どのように使っているかを棚卸ししてください—アプリケーション、デバイス、証明書、鍵管理、保存データと転送中データ。最重要システムと、何年にもわたり機密性を維持しなければならない長期保管データを優先します。
顧客向けではない領域から耐量子暗号(PQC)のパイロットを開始し、適切な場合にはハイブリッド方式を採用してください。システムを作り直すことなくアルゴリズムを入れ替え、鍵をローテーションできる能力を構築します。
第四は地政学がもたらすリスクです。世界はより不安定になり、デジタルリスクは国境を尊重しません。紛争はサイバー空間へ波及し、データ主権の規制は厳格化し、重要コンポーネントが一夜にしてボトルネックになり得ます。
シナリオプランニングはワークショップではありません。実際の事象の「混沌とした中盤」を想定したリハーサルです。サイバー、法務、コミュニケーション、オペレーションを組み合わせた越境シナリオを実施してください。ある地域が1か月オフラインになった場合や、センシティブな法域のサプライヤーが突然利用不能になった場合でも、復旧の前提が成り立つかを問い直します。
取締役会のメッセージを実務へ落とし込む
まずオーナーシップを設定することから始めます。CIO、CISO、COO、CHRO、法務責任者(General Counsel)からなる部門横断のレジリエンス評議会を設置し、事業の優先事項をレジリエンスの成果へ翻訳する役割を担わせます。目標はシンプルです。インシデントが起きたとき—「もし」ではなく「いつ」—役割を議論するのではなく、実行することです。
- 重要なものを測定する。 検知までの時間、封じ込めまでの時間、復旧までの時間が指標(北極星)です。定めた時間枠内に主要な事業サービス上位5つを最低限の稼働レベルまで復旧できないなら、別の検知ツールを買う前にそこへ投資してください。隔離、バックアップの完全性、クリーンルーム復旧を前提に設計します。
- 4つの要因を織り交ぜた経営層テーブルトップ演習を実施する:AIを用いた恐喝未遂に、サードパーティの停止と越境規制のひねりを組み合わせます。支払う/支払わないの判断、誰が誰にいつ話すか、顧客と規制当局にとっての最低限のサービスとは何かを事前に決めます。不快にしてください。それが狙いです。
- アイデンティティとアクセスを引き締める。侵害の多くはいまなお認証情報に起因します。従業員とベンダーにフィッシング耐性のあるMFAを強制し、ジャストインタイム昇格を備えた特権アクセス管理を実装し、サードパーティのIDを中核ディレクトリから分離してください。
- 人材と文化に投資する。義務的なクリック学習より、短くストーリー性のある教育のほうが常に効果的です。管理職にチーム向けの話法(トーキングポイント)を提供してください。ミスやヒヤリハットの早期報告を称賛します。危機では、筋肉記憶と心理的安全性が勝ちます。
AIについては、いまガードレールを確立してください。あらゆるAIユースケースに対するデータ分類と来歴要件、財務統制に準じたモデルリスク管理、そしてAIを有効化した業務プロセスのレッドチーミングです。
量子については、暗号資産の棚卸しと、策定中の標準に整合したアルゴリズム・アジリティのロードマップを公開してください。
サードパーティについては、最重要サプライヤーに対して継続的アシュアランスへ移行し、契約で統制の検証権限と迅速な切断権限を確保してください。
最後に、インセンティブと透明性を設定します。レジリエンス指標を役員報酬に連動させてください。サイバーリスク定量化を用いて、取締役会が理解できる言語で、露出を財務的な用語で表現します。サイバー保険は、システミックリスクの免責やカタストロフ・トリガーを冷静に見据えて見直してください。
結びに
2026年にすべての攻撃を撃退することはできません。しかし、折れるのではなく、しなることを選ぶことはできます。レジリエンスが成熟するのは、スローガンであることをやめ、実践された能力になるときです—ガバナンス、オペレーション、テクノロジー、人が一体となって動く状態です。それができれば、来年は単に生き延びられるだけでなく、信頼が競争優位になる年になります。知能化し、執拗で、自動化された脅威の世界では、信頼こそが私たちの最も価値ある資産かもしれません。
翻訳元: https://www.securityweek.com/cyber-risk-trends-for-2026-building-resilience-not-just-defenses/
