CISOが掲げる2026年のサイバーセキュリティ優先事項トップ10

サイバーセキュリティの脅威は、より高度化し、より自動化され、より知能化しているうえ、検知も一段と難しくなっている。

同時に、CISOが防御を担うエンタープライズの攻撃対象領域は拡大し続けている。

それが2026年にセキュリティ責任者が直面する現実であり、この現実がCISOに来年に向けた優先順位の組み替えを迫っている。

AIを悪用した攻撃への備えと防御は、今年のCISOの最優先タスクの一つだ。同様に、自組織のAI導入を安全に運用すること、そしてセキュリティ運用におけるAI活用を前進させることも重要である。

こうした優先事項は、長年続く多くのセキュリティ施策に加え、今後1年のCISOアジェンダを左右する新たな懸念領域の上に積み重なるものだ。セキュリティリーダーは、これらの優先事項が組織防御の難易度が増し続けていることを反映していると語る。

中核的なセキュリティ業務をさらに強化

AIがセキュリティリーダーにとって最重要課題として浮上している一方で、Foundryの「Security Priorities Survey」によれば、CISOは依然として複数の中核的なセキュリティ業務に注力している。なかでもデータ保護の強化が最優先事項で、セキュリティ責任者の48%が挙げている。

Amit Levinstein氏は、CISOであると同時にCISOアドバイザーでもあり、自身の組織および顧客のセキュリティ部門にとって、データ保護が最優先事項であると明言する。

サイバーセキュリティ企業CYEでCISO兼プロフェッショナルサービス担当バイスプレジデントを務めるLevinstein氏は、データ保護が長年にわたり重要なセキュリティ業務であったことを認めつつも、AIの時代にはより難しくなっていると語る。AIは「データ漏えいの観点から多様なリスクを生み出す」ためだという。

こうしたリスクに対抗するため、Levinstein氏は、AIをいつ、どのデータと、どのセキュリティ制御のもとで使用できるかを定め、徹底する目的で、強固なAI利用ポリシー、堅牢なAIガバナンス、そして従業員トレーニングに依拠している。

AIを悪用した攻撃への備え

Foundryの調査では従来型のタスクがCISOの優先事項を占めるものの、インタビューや他の調査からは、AI関連の課題もCISOの優先順位の上位にあることが示されている。

例えば、ボストン コンサルティング グループが実施したグローバル調査では、セキュリティリーダーの53%がAIを悪用したサイバー脅威を組織リスクのトップ3に挙げた。BCGはまた、過去1年にAIを用いたサイバー攻撃を受けた可能性が高い組織が60%に上る一方で、AI駆動のサイバー防御ツールを導入しているのは7%にとどまるとも報告している。

「攻撃は防御よりも速いペースでスケールしている。AIは、組織が防御を強化できる速度をはるかに上回って攻撃能力を加速させている」とBCGは報告書で指摘している。

AIを悪用した脅威に関する誇張には精査の目が向けられているものの、セキュリティ専門家は、野放しの環境で現実世界のAIセキュリティ脅威が増加していることを踏まえると、脅威チェーンにおけるAIを無視することは高くつく可能性があるとCISOに警鐘を鳴らしている。

セキュリティ運用を強化するためのAI展開

BCGの調査では、AI駆動のサイバー防御ツールを導入している組織はごく一部にとどまるが、大多数（88%）は導入を計画している。

Foundryも同様に、調査でセキュリティリーダーの38%が、セキュリティ有効性を高めるためのAI活用の加速を優先事項として挙げたことを明らかにしている。

デジタルトランスフォーメーションのコンサルティングおよびソリューション企業SynechronのCISOであるAaron Momin氏は、AIを不可欠なセキュリティツールと捉えている。

「CISOは、対応時間を短縮するために、人間を介さずにサイバー脅威を検知して無力化するAIシステムを優先している」と同氏は言う。「AIを用いた攻撃がミリ秒単位で襲ってくると、人間の速度での対応では不十分で、AIにはAIで対抗する必要がある」

Momin氏はまた、セキュリティにおける自律型AIエージェントの導入も優先している。「これらのエージェントは、リスク要因に基づくアクセス権の取り消しの自動化や、脅威が拡散する前の遮断など、タスクを自律的に実行することが期待されている。要はスピードだ。攻撃者はAIを使って、人間のアナリストがアラートをトリアージするよりも速く攻撃を反復している」

エンタープライズのAI導入を保護

セキュリティ専門家は、AIを活用したセキュリティ運用とAIがもたらすスピードは、拡大する自組織のAI導入を防御するうえでも、そしてそれらの導入が生み出す攻撃対象領域の拡大に対処するうえでも重要だと述べる。

「AIは攻撃対象領域にとってビッグバンだ。モデルがその領域をあまりにも急速に拡大している」と、Deloitteの米国サイバーAIリーダーであるMark Nicholson氏は言う。

Nicholson氏は、AI利用の拡大はセキュリティプログラムの根本的な責務を変えるものではないが、「緊急性と、セキュリティを実装する方法を変える」と述べる。「CISOは今、AI開発プロセスにサイバーセキュリティ、信頼、透明性を組み込むことを優先事項として捉えている。CISOは、設計段階から安全なAIとAIへの信頼を優先しなければならない」

シャドーAIの抑制

CISOは、未承認のAI導入が生み出すリスクにも対峙しなければならないことを認めている。

「シャドーAIのリスクを見ると、データのコントロール喪失、攻撃対象領域の拡大、コンプライアンスおよび規制リスク、統制と可視性の欠如、知的財産の喪失、そして評判の毀損がある」と、Optiv CanadaでCISOオフィスのエグゼクティブディレクターを務めるLina Dabit氏は言う。「さらに、不正確で偏った結果のリスクもある。従業員が承認されたプロセスを通じてAIを使っていない場合、（シャドーAIシステムに投入するための）情報をどこから得ているのか、そしてそれがどれほど信頼できるのかという問題にもなる」

Dabit氏によれば、CISOはシャドーAIの有無を環境内で監視し、そのリスクについて従業員を教育しているが、それでも多くの組織で未承認AIの利用に遭遇し続けているという。

いくつかの調査は、シャドーAIのセキュリティリスクが来年さらに大きな問題になると予測している。Google Cloud Securityの「Cybersecurity Forecast 2026」レポートの研究者は、「2026年までに、高度なAIエージェントの増殖により、『シャドーAI』問題は重大な『シャドーエージェント』課題へとエスカレートすると予想する。組織では、従業員が企業の承認に関係なく、業務タスクのためにこれらの強力で自律的なエージェントを独自に展開するようになる。これにより、機密データの見えない、制御不能なパイプラインが生まれ、データ漏えい、コンプライアンス違反、IP窃取につながる可能性がある」と記している。

Googleの研究者は、「エージェントの禁止は現実的な選択肢ではない。企業ネットワーク外へ利用を追いやり、可視性を失うだけだ」と述べる。代わりに、「AIセキュリティとガバナンスという新たな規律」を提唱し、Nicholson氏と同様に、「設計段階からのセキュア・バイ・デザインのアプローチ、すなわち最初から保護を統合すること」を推奨している。

アイデンティティおよびアクセス管理の再考

AI利用の拡大により、2026年のCISOは、長年のセキュリティ領域であるアイデンティティおよびアクセス管理も優先するようになっている。これはFoundryの来年のCISO優先事項調査で6位に入った。

サイバーセキュリティのトレーニングおよび認定組織ISC2のCISOであるJon France氏は、組織がエージェント型AIを展開し始めるにつれて、アイデンティティ管理の重要性が高まっていると語る。これは、組織が「人間のアイデンティティだけでなく、モノのアイデンティティも管理する」必要が出てくるためだという。

France氏は、ゼロトラストと多要素認証を用いて、人間であれ機械であれ、許可された主体だけがシステムにアクセスできるようにしている。また、認証においてトークンの代わりにパスキーを利用することも評価している。

それでも同氏は、エージェントがより一般的になるにつれて、そしてエージェントの増殖により、チェーン上の他のエージェントからシステムへアクセスするための未承認権限を一部のエージェントが得てしまう可能性が高まる状況において、彼自身や他のCISOがアイデンティティおよびアクセス管理をめぐる大きな課題に直面していることを認めている。

ディープフェイクへの防御

DXC TechnologyのCISOであるMike Baker氏もアイデンティティを優先しているが、同氏が特に懸念しているのは、ディープフェイクの時代における人物の本人確認である。

「会話している相手やメールしている相手が、本当に自分が思っているその人物なのかを確かめたい」と同氏は言い、AIの進歩によって、ほぼ本物と見分けがつかないディープフェイクをハッカーが作れるようになっていると指摘する。

Baker氏は、ディープフェイクの脅威に対抗し、組織の従業員がディープフェイク詐欺を見抜けるようにするため、さまざまなセキュリティツール（マルチモーダル認証を含む）と戦略（従業員トレーニングなど）を用いていると述べる。

サードパーティ管理への取り組み

Baker氏はまた、優先事項としてサードパーティリスク管理の改善を挙げる。これは多くのCISOに共通するもので、Foundryの調査では11位に入った。

France氏によれば、サードパーティリスクは以前から存在していたが、組織がサプライヤーの数を増やし、運用における依存度を高めるにつれて前面に出てきているという。2025年にAWS、Azure、Cloudflareで発生した大規模障害は、サードパーティリスク管理を強化する重要性をすべての組織に示すものだと同氏は言う。

Baker氏は、AIがサードパーティリスク管理の実務改善の必要性も高めていると付け加える。CISOとして、同氏は自組織が利用しているソフトウェア製品に組み込まれているAIモデルを理解し、企業データが保護されていること、モデルが安全であること、そして信頼できることを確認したいという。

レジリエンスの強化

France氏は、サードパーティリスク管理が企業レジリエンスを強化することにもつながると述べる。これは同氏および他のCISOにとっての優先事項でもあり、FoundryのCISO優先事項リストでは13位に入った。

調査会社Gartnerは、2026年のCISOにとっての3つの主要テーマの一つとしてレジリエンスを挙げ、「サイバーレジリエンスはITの復旧計画をはるかに超える。法務、広報、市場開示、サプライヤーの準備状況も含む。部門横断での完全なエンドツーエンドの連携と備えが重要だ」と指摘している。

テクノロジーソリューションおよびサービス企業CDWのフィールドCISOであるAaron McCray氏は、セキュリティリーダーが事業戦略との整合を図り、セキュリティをビジネスの推進要因として捉えるようになるにつれて、より多くのCISOがレジリエンスに注力していると語る。

「CISOは、サイバー事象だけでなく運用上の事象からどう回復するか、危機の最中に機能をどう維持するか、そして機能をリアルタイムでどう復旧するかを見ている」とMcCray氏は付け加える。

地政学リスクへの対処

テクノロジーコンサルティング企業West MonroeのパートナーであるBetsy Soehren Jones氏によれば、2026年のCISOは地政学的リスクにより注意を払っているという。

国際情勢への関心が高まるのには十分な理由がある。世界的な出来事は、すでにサイバー攻撃に関与している国家に活動を強化させる可能性があるとSoehren Jones氏は説明する。また、世界的な出来事は、オフショアの労働力やソフトウェアサービスを含むサプライチェーンやリソースを混乱させる可能性もあり、それはCISOとそのチームに影響を及ぼし得ると同氏は付け加える。

以前はエネルギー企業でセキュリティ戦略ディレクターを務めていたSoehren Jones氏は、CISOに対し、業界ISACなどのインテリジェンス・コミュニティに参加すること、そしてホワイトハウスの大統領令、連邦政府の指令、その他の類似資料をレビューして、新たに浮上する地政学的リスクや脅威に関する情報を得ることを勧めている。

また、会社に連邦政府対応（federal affairs）部門がある場合は、その部門と連携して、会社が懸念するグローバル課題をより深く理解し備えるよう助言している。さらに、業界団体と協働し、米国商工会議所（US Chamber of Commerce）をフォローして地政学的リスクの最新動向を把握することも勧めている。

PwCの「2026 Global Digital Trust Insights」によれば、調査対象となった72カ国のビジネスおよびテック系エグゼクティブ3,887人のうち60%が、継続する地政学的不確実性への対応として、サイバーリスク投資を戦略的優先事項トップ3に位置付けた。