2026年にCISOが絶対に間違えられない8つのこと

サイバーセキュリティのリーダーは、組織を安全に保とうとする際に考慮すべきことが山ほどある。しかし、他よりも際立って重要なものもあれば、見落とされがちなものもある。

新しい年を迎えるにあたり、2026年にCISOが不足しないよう注意すべき点をいくつか挙げる。

AIエージェントの台頭を前に、アイデンティティ管理を甘く見る

AIエージェントの導入は、企業が自動化と効率性の恩恵を得ようとする中で急速に拡大している。Grand View Researchによれば、世界のAIエージェント市場規模は2024年に54億ドルと推定され、2030年までに503億1,000万ドルに達すると予測されている。

AIエージェントの利用拡大は企業にサイバーセキュリティ上の課題をもたらす。特にアイデンティティ管理の観点で顕著だ。想定される脅威には、なりすましや過剰権限の付与が含まれる。サイバー犯罪者は、 プロンプトインジェクション や 悪意ある指示 を通じてエージェントを悪用し、制御を回避してシステムやアプリケーションへ不正アクセスを得る可能性がある。

「アイデンティティ（AIエージェントを含む）を正しく整備できれば、誰が何をできるかを機械の速度で制御できる」と、コンサルティング企業PwCでサイバー／データ／テクノロジーリスクの副リーダーを務めるMorgan Adamskiは言う。

「攻撃者はますます“侵入する”のではなく“ログインする”ようになっており、AIエージェントは今やシステムやデータに実際の変更を加えている」とAdamskiは言う。「リーダーが見落としてはならないのは、すべての人間、ワークロード、エージェントを管理対象のアイデンティティとして扱い、それぞれに専用アカウントを用意し、フィッシング耐性のあるMFA［多要素認証］、必要最小限のアクセスを必要な期間だけ付与し、自動的に変更されるパスワード／キーを使い、権限の不審な変更や乗っ取られたセッションを監視することだ。」

企業は、日常のワークフローにAIエージェントのガバナンスを組み込む必要がある、

そうすれば、チームは制御を失うことなく迅速に動けるとAdamskiは言う。例えば、管理者にはハードウェアに裏付けられたMFAを必須にし、昇格権限はデフォルトで期限切れにし、新しいエージェントはそれぞれ独自のポリシーを持つアプリケーションとして登録する。

「AIエージェントとAIプラットフォームに対するアイデンティティおよびアクセス制御は、CISOにとって最重要の懸念領域の一つだ」と、グローバルなテクノロジー調査・アドバイザリー企業ISGのディレクターであるJason Stadingは言う。「現時点では、AIに関する権限やアクセス権は多くの領域でブラックボックスだ。今後数年で、この領域に特化した透明性と制御を高めるためのツールや手法が大きく推進されるだろう。」

ますます複雑化するサプライチェーンを軽視する

デジタルビジネスの拡大と、今日のグローバル市場におけるサプライチェーンの複雑化を背景に、サプライチェーンは企業にとってリスクが高まっている領域だ。

この領域は、製造、小売、物流セクターの企業にとって特に重要である。「2026年、複雑なサプライチェーンや製造環境におけるサイバーセキュリティを見落とすCISOは、壊滅的な結果を招くリスクがある」と、金属製品・部品の提供企業AMFTのCTOであるGreg Zeloは言う。

「現代の製造は、もはや単一の工場に閉じていない。相互接続されたサプライヤー、IoT［モノのインターネット］対応の機械、クラウド主導の生産システムが織り成す網の目だ」とZeloは言う。「この複雑さは攻撃対象領域を大きく広げ、一本の弱いリンクが全体のオペレーションを麻痺させ得る。」

最近の事例は、その重大性を浮き彫りにしているとZeloは言う。例えば2025年9月、Jaguar Land Roverはサプライチェーンのサイバー攻撃を受け、英国、スロバキア、インド、ブラジルにわたる生産が数週間停止し、推定25億ドルの損失が発生したという。「侵害は数百のサプライヤーに波及し、解雇や倒産を引き起こした」と彼は付け加える。「これは単なるITの失敗ではなく、グローバル製造がいかに深く相互依存しているかを露呈したオペレーション上の危機だった。」

攻撃者は、ロボット、組立ライン、品質検査を制御するオペレーショナルテクノロジー（OT）システムをますます標的にしている。生産を止めれば企業は迅速に身代金を支払わざるを得なくなるためだとZeloは言う。

「財務損失にとどまらず、リスクは知的財産の窃取、規制上の罰則、国家安全保障上の懸念にまで及ぶ」とZeloは言う。「CISOにとって教訓は明白だ。従来の境界型防御は時代遅れである。複雑なサプライチェーンを守るには、ITとOT環境全体にわたるゼロトラスト・アーキテクチャ、ファームウェアやソフトウェア更新を含むサードパーティリスクの継続的監視、迅速なパッチ適用と重要システムを隔離するセグメンテーション、［そして］サプライヤーや請負業者を巻き込んだインシデント対応訓練が必要だ。」

高まる地政学的緊張を軽視する

CISOが外部・内部の脅威から組織を守ることに集中しすぎて、地政学的緊張から目を離してしまうのは想像に難くない。あるいは、自社のサイバーセキュリティ課題とは無関係だとして切り捨ててしまうかもしれない。いずれにせよ、それは大きな誤りだ。

「組織のサイバーレジリエンス計画にシステム的なシナリオを組み込むことは非常に重要だ」とISGのStadingは言う。「これには、ビジネスに影響し得る世界的な動向や地政学的摩擦も含めるべきだ。」

また、企業に対して、自社のビジネスや資産に影響し得る侵害指標を個別最適化して提供する、業界特化型の脅威インテリジェンスへの需要も高まっているとStadingは言う。「その一部は、悪意ある国家による高度で持続的な脅威の可能性に由来する。」

サイバーセキュリティと地政学の交差が進むのは現実だと、ITコンサルティング企業Northdoorの最高商務責任者であるAJ Thompsonは言う。

「国家主体によるサイバー攻撃は、重要インフラやグローバルなサプライチェーンを標的とする、より大きな紛争の一部だ」と彼は言う。「地政学インテリジェンスを脅威モデリングに取り込まないことは、影響の大きい国家支援型サイバー攻撃に対して組織を不釣り合いにさらすことになる。」

さらに、そうした事象に意図せず関与してしまうことも、深刻な規制上および評判上の影響をもたらし得るとThompsonは指摘する。

組織のクラウド利用に甘い姿勢で臨む

クラウドサービスの利用が増え続けるにつれ、クラウドに伴うセキュリティおよびプライバシーリスクも増大している。CISOがこの領域をおろそかにすれば、組織を攻撃にさらすリスクがある。

「これはクラウドサービスとAIツールの双方にとって重要で、両者はしばしば相互に影響し合っている」とStadingは言う。「役割と責任に紐づいた適切で現代的なセキュリティ意識向上とトレーニングが鍵であり、今や職場に蔓延しているAIツールや技術の利用も考慮に入れる必要がある。」

クラウド管理者やエンジニアに対して、適切なクラウドセキュリティの実践や手順に関するトレーニング／教育が不足していることが多いとStadingは言う。「ツールの導入と利用も、多くのクラウドチームが改善しようとしている重要領域だ」と彼は言う。「多くの組織はクラウド向けのセキュリティツールに投資しているが、十分に活用されていない。」

従来のセキュリティ境界はもはや存在しない。「特にマルチクラウドの採用が進む中では」とThompsonは言う。「反応的なクラウドセキュリティに頼る組織は、高度な脅威を見逃しがちだ。」

プロアクティブなクラウドセキュリティ態勢管理（CSPM）と明確なユーザー向けセキュリティガイドラインは、コストの高い侵害や運用停止を防ぐための重要なステップだとThompsonは言う。「複雑なクラウド環境における人的ミスのリスクを最小化するために、安全なユーザー実践は継続的に浸透させなければならない」と彼は言う。

増大するコンプライアンス負担を見落とす

金融サービスや医療など規制の厳しい業界では、グラム・リーチ・ブライリー法（GLBA）や医療保険の携行性と責任に関する法律（HIPAA）といったデータセキュリティ／プライバシー規制への準拠が長年求められてきた企業もある。

しかし近年では、ほぼあらゆる種類のビジネスが、世界各地で増え続けるデータプライバシー／保護法への準拠を求められている。これらの規制を見落としたり過小評価したりすれば、罰金などの影響につながり得る。

「規制の厳しい組織がコンプライアンス活動のために多くの追加負担を抱えるのは事実で、コンプライアンス疲れも珍しくない」とStadingは言う。「ここ数年でCISOの役割は、コンプライアンスに対する説明責任と責任をより多く担うよう進化してきた。CISOはコンプライアンスの取り組みを見落としたり過小評価したりする余裕は本当にない。」

特にグローバル企業のCISOは最新動向を把握しておく必要がある。「英国と欧州におけるサイバーセキュリティの規制環境は急速に厳格化している」とNorthdoorのThompsonは言う。「GDPR［一般データ保護規則］やDORA［デジタル・オペレーショナル・レジリエンス法］ のような枠組みは、文書化された統制だけでなく、実証的に検証可能なサイバーセキュリティの有効性を組織に求める新たな基準を打ち立てている。」

規制当局は、サイバーセキュリティとオペレーショナル・レジリエンスが、コンプライアンスのチェックボックスとして扱われるのではなく、ビジネスプロセスのあらゆる層に深く組み込まれているという強固な証拠を求めるだろうとThompsonは言う。

「同様に重要なのが、規制当局が組織に対して責任を問う傾向を強めているサードパーティリスクの管理だ」とThompsonは言う。「サプライチェーンがより複雑かつ分散化するにつれ、外部プロバイダー由来の脆弱性は深刻なコンプライアンスおよびセキュリティ上の負債となる。こうした規制上の期待をセキュリティ戦略に先回りして統合できなければ、多額の金銭的制裁だけでなく、運用の混乱や長期的な評判被害を招くリスクがある。」

AIチャットボットと、それが生み出す法的リスクを過小評価する

AIチャットボットはデータプライバシーにとって新たなリスクだと、サイバーセキュリティ保険プロバイダーCoalitionの主任研究員Daniel Woodsは言う。Coalitionが約200件のプライバシー関連請求を分析し、5,000の企業ウェブサイトをスキャンしたところ、請求の5%がチャットボット技術を標的にしていたという。

「これらの請求は、こうしたAIツールが存在するはるか以前に制定された州の盗聴法の下で、顧客との会話を違法に傍受したと主張していた」とWoodsは言う。「チャットボット関連の請求はすべて同じテンプレートに従っており、チャットの冒頭メッセージで会話が録音されていることを開示すべきだったと述べていた。」

請求は、数十年前のフロリダ州通信保安法への違反を主張していたとWoodsは言う。ウェブサイトの約5%がチャットボット技術を導入しており、これはチャットボットに焦点を当てたウェブプライバシー請求の割合と同じだと彼は指摘する。

「チャットボットの利用はIT業界と金融業界で特に一般的で、それぞれの業界のサイトの9%と6%がチャットボットを使用していた」とWoodsは付け加える。これらのチャットボットの利用は今後増加する可能性が高く、それに伴い将来の請求も増える可能性があると彼は主張する。

「チャットボットを誤るリスクは、これらのシステムがプロンプトインジェクションのような手口で容易に操作され、顧客データが漏えいした事例が何十回も記録されていることだ」とWoodsは言う。

クラウドのセキュリティ確保を怠る

今や、ほぼすべての企業が少なくとも一部の業務を支えるためにクラウドサービスに依存している。これらのサービスのセキュリティをおろそかにするのは、トラブルを招くようなものだ。

「クラウドとSaaSは拡大し続ける。だからこそ、アイデンティティ、暗号化、ログ、外向き通信（egress）のガードレールを備えた“ゴールデン”ランディングゾーンを事前に整備し、ポリシー・アズ・コードを用いて準拠構成がデフォルトになるようにするべきだ」とPwCのAdamskiは言う。

CISOは、資産を継続的に棚卸しし、設定ミスを見つけ、異常な振る舞いにフラグを立て、妥当な範囲で自動修復するためのツールを活用する必要があるとAdamskiは付け加える。

「あらゆる場所から飛び込んでくるアラートの火消しをしているだけでは、マルチクラウドの無秩序な拡大やアイデンティティ中心の攻撃に追いつけない」とAdamskiは言う。自動化とAIでセキュリティオペレーションセンターを近代化し、ノイズを減らし、クラウドサービス全体のシグナルを相関させるべきだ。

人的要因を忘れる

多くのサイバーセキュリティツールやサービスが整備されていると、サイバーセキュリティの人間面をつい忘れてしまうことがある。それが、さまざまな問題の引き金になり得る。

「私の経験では、セキュリティ侵害の直接的な原因はたいてい人的ミスだ」と、法律事務所CM Lawのテクノロジー／サイバーセキュリティ担当パートナーであるBeth Fulkersonは言う。「たいてい誰かが詐欺に引っかかり、悪意あるコードへの扉を開いてしまう。」

メッセージに反応したり文書を開いたりしたくなるのは人間の性であり、それがユーザーをトラブルに巻き込む。「第一の解決策はテクノロジーを増やすことではなく、従業員が自分の端末へのアクセス要求や情報要求に対して抵抗し、確認できるようになるためのトレーニングを増やすことだ」とFulkersonは言う。