SecurityWeekのCyber Insights 2026では、今後12か月にわたってサイバーセキュリティの関心領域が十数分野以上どのように進化していくと見込まれるかについて、専門家の見解を検証します。私たちは何百人もの個別の専門家に話を聞き、その見解を得ました。ここでは、2026年のCISO展望を取り上げ、現在何が起きているのかを評価し、2026年以降に待ち受けるものに備えてリーダーを準備させることを目的とします。
人生で唯一不変なのは変化であり、CISOの役割は絶えず変化し、絶えず拡大し、絶えず複雑化しています。
この絶え間ない変化がもたらす負の影響が、2026年以降のCISOにどのように影響し得るかを検討します。
変化する役割と拡大する業務負荷
CISOの責任は増え続けており、今後数年でこの傾向が鈍化することはありません。
DataBeeのプロダクトマネジメントおよびテクノロジーパートナーシップ担当VPであるPaul Kivikinkは、出発点を次のように説明します。「従来、CISOは技術職の階段を上ってきており、サイバーセキュリティ運用に深く根差していました。しかし、サイバーリスクが取締役会レベルの懸念事項となるにつれ、CISOにはビジネスの言語を話し、セキュリティ投資を売上保護、規制遵守、企業レジリエンスへと結び付けることが期待されるようになりました。」
現代のCISOには、技術の専門家であると同時に、両者をシームレスに行き来できるビジネスの達人であることが求められます。Binalyzeの市場戦略担当VPであるMarie Wilcoxは、「CISOは両陣営とコミュニケーションを取らなければなりません。攻撃を防ぎ、理解し、そこから学ぶのを助けてくれる技術チームと、予算を握り組織のリスク露出を理解する必要があるビジネス側のステークホルダーです」と説明します。
しかし、両方のペルソナに含まれる詳細は急速に進化しています。ビジネスはより速く、より攻めの姿勢になっており、競争に先んじるためにリスクを取ります。テクノロジーはさらに急速に進歩し、CISOが理解し、ビジネス優先事項とバランスを取らなければならないセキュリティリスクを増やしています。
この拡大する業務負荷を一人で扱うことは、ますます困難になっています。
Illumioのインダストリー戦略担当VPであるRaghu Nandakumaraは、「2026年には、CISOからCSOへの移行が加速し、セキュリティのあらゆる側面を一つのリーダーシップの役割の下に統合する、より広範な権限を反映するようになるでしょう」と示唆します。「この変化は、主としてITとOTシステムの融合によって推進され、エネルギー、公益事業、製造業など、物理セキュリティとサイバーセキュリティを分離することがもはや現実的でなく、攻撃の結果が深刻な分野で最も急速に起こるでしょう。」
セキュリティの絶対的なトップの下に、そのポジションへ報告するCISOが置かれるのでしょうか。もしそうなら、CIOやCTOも同様に報告すべきでしょうか。最高プライバシー責任者(CPO)や、場合によっては最高AI責任者(CAIO)、ビジネス情報セキュリティオフィス(BISO)を別途設け、いずれもCSOに報告させるべきでしょうか。
Permisoの共同創業者兼共同CEOであるJason Martinも、現在の業務負荷は一人では大きすぎると考えています。「2026年までに現れつつある解決策は?役割を分割するか、追加の専門職ポジションを作ることです。組織はCISOに報告する最高アイデンティティ・セキュリティ責任者を設置するようになります。これによりCISOから主要な業務負荷が一つ取り除かれ、成果が改善します。」現在のCISOは、別のCISO役割が報告してくる、事実上のCSOになるでしょう。
現在のCISOにかかる業務負荷が持続不可能であり、しかも増え続けているため、私たちは単にその方向へ向かっているのかもしれません。しかし、これらはすべてラベルに過ぎず、今日存在する基本構造とそれほど違いはありません。すなわち、セキュリティの責任者(CISO)がいて、異なる専門領域ごとに複数のチームリーダーがいるという構造です。
肝心なのは、CISOの業務負荷がなぜ増えているのか、そして今後も増え続ける理由の詳細です。NTT Dataのサイバーセキュリティ責任者であるSheetal Mehtaは、「AIにより強化された脅威の猛攻、変化する規制環境、侵害と復旧に関する説明責任、そしてイノベーションと成長のためにAIやその他の変革的技術を採用せよという要求は、どんなCISOでも夜眠れなくなるでしょう」とコメントします。
CyberProofのプロダクトマーケティング責任者であるJonathan Mareskyは、「サイバーセキュリティではレジリエンスやイノベーションについて語るのが好きです。しかし、ここに不都合な真実があります。現代のCISOは失敗するように仕向けられているのです」と警告します。
「今日のCISOは、極めて複雑な脅威環境を航行しながら、指数関数的に拡大する攻撃対象領域を、縮小する予算と過重なチームで守るよう取締役会から圧力を受けています。AIからクラウドネイティブアプリに至るまで、新たに採用される技術はすべて新たなリスクをもたらします。開発者はリリース期限に間に合わせようと競争しています。AIツールはセキュリティのガードレールをほとんど考慮せずに全社展開されます。その一方で、CISOは侵害だけでなく、対処するためのリソースが一度も与えられなかった脆弱性についても責任を負わされます。」
ここでは、Mareskyがそのような結論に至るCISOの役割の構成要素のいくつかを見ていきます。継続するスキルギャップを背景にAIがもたらす新たな要求、拡大しより強硬になる規制と個人の責任の可能性の関係、そしてこれらすべてのストレスがメンタルヘルスの問題や燃え尽きに与える複合的影響です。
AIの課題
AIは、2026年以降、CISOの業務負荷増大とプレッシャー増大の最大の要因となるでしょう。AIは、現在社内で開発されているビジネスアプリやセキュリティアプリの作り方から始まり、ビジネス全体にますます浸透していきます。
HarnessのフィールドCTOであるMartin Reynoldsは次のように説明します。「AI生成、あるいは『vibe』コーディングへの依存は、引き続き重大なリスクを生み出します。調査によれば、AI生成コードの最大45%に脆弱性が含まれており、幻覚による依存関係から言語固有の失敗まで問題は多岐にわたります。強固なガードレールなしにAIに大きく依存する大企業は、不可避的に侵害に直面します。」
これは結果として、CISOの技術的ペルソナにより大きな重点を置くことになります。DryRun SecurityのCEOであるJames Wickettは、「ここ数年、CISOがビジネス職になり得るふりをしてきました。その時代は終わりました」とコメントします。「2026年には、すべての企業がコードを生み出すようになります。AI支援であれ、自動化であれ、その他であれ。CISOがそのコードがどう動くのか、どんなリスクを持ち込むのか、AIシステムがどう意思決定するのかを理解していなければ、目隠しをして飛んでいるようなものです。」
AIは、質問(プロンプト)を投げられる人なら誰でもプログラマーにしてしまいます。しかし、誰もが訓練されたプログラマーの規律を持っているわけではありません。エージェント型AIソリューションを業務に実装しようとするビジネス上の焦りは、安全でない自動化につながり得ます。
しかしCISOは、もはやAIを無視したり回避したりできません。DelineaのCISOであるPierre Mouallemは、2025年を通じてセキュリティリーダーはAIの採用に非常に慎重だったと説明します。「2026年には、その警戒感が薄れていくのが見られるでしょう… CISOは、新興技術を迅速に支援することがセキュリティのためだけでなく、ビジネス競争力のためにも不可欠だと認識するようになりました」と彼は述べます。
「とはいえ」と彼は続けます。「この進化にはプレッシャーが伴うことに注意が必要です。CISOがAIを制限する段階から運用に組み込む段階へ移るにつれ、まったく新しい責任の層を引き受けることになります。あらゆるAIエージェント、自動化スクリプト、ワークフローが、統制し保護すべき新たなアイデンティティになるのです。」
Abnormal AIのフィールドCISOであるPatricia Titusは、「例えばこのシナリオを考えてください。セキュリティオペレーションセンターのAIツールが、重要なラテラルムーブメント攻撃を見逃し、脅威アクターが機密の決算データを改ざんできてしまった結果、企業がSECに財務の虚偽記載を提出してしまった」と示唆します。
「規制当局は必然的に、その自動化の展開に関するCISOのガバナンスと厳格さに目を向けるでしょう。人間のような欺瞞を働けるというAIの実証された能力によって増幅されるこの進化するリスクは、企業リスクを管理し、個人の法的露出を軽減するために、強固なAIガバナンス、ポリシー策定、人間による監督を緊急の前提条件にします。」(責任問題については下記も参照。)
Noma SecurityのCISOであるDiana Kelleyは、「2026年以降、AIの失敗は、これまでにない形で技術リスクとビジネスリスクの境界を曖昧にしていく見込みです。AIシステムが自信満々に情報を捏造したり、チャットエージェントが顧客を侮辱したりしたとき、組織には、技術的な故障モードと、それが引き起こす潜在的なビジネス上の大惨事の両方を理解するCISOが必要になります」と付け加えます。
しかし、CISOが守らなければならないのは社内AIだけではありません。攻撃者は自らのAIの力を活用し、より高度なフィッシング攻撃から、ゼロデイ欠陥の検出、目的に合わせたマルウェアの自動生成に至るまで、ハッキングの全プロセスを自動化しています。しかもそれを規模と速度で提供します。
その結果、犯罪組織や国家主体によるサイバー攻撃の大規模かつ継続的な猛攻が生じるでしょう。CISOがこの猛攻に対抗できる唯一の望みは、社内の防御用エージェント型AIの利用を増やすことです。しかしそれは、攻撃側AIと防御側AIの双方によって生み出される、巨大に拡大した脅威面にわたって、その社内AIを保護する責務をさらに増大させます。まさに悪循環の極みです。
それでも、AIがすべて悪いニュースというわけではありません。よく設計されたエージェント型SOCシステムがアラートのトリアージに要する時間を短縮できる能力は、SOCチームに二重の好影響をもたらし得ます。第一に負荷を取り除いてストレスを軽減し、第二に、より重要な長期的セキュリティ課題に集中できるようにします。疲弊した戦術的対応者を、効果的な戦略的思考者へと変えられるのです。
しかしおそらく、新たなAI時代がもたらす最大の変化は、セキュリティ運用のやり方に対する私たちの姿勢そのものを変えるかもしれません。7AIのCEO兼共同創業者であるLior Divは、「私が見ている最も重要な変化は、CISOが『どうやってAIを自社スタックに追加するか?』と問うことではありません。彼らが問うのは『過去10年間にわたりセキュリティ運用を設計してきたやり方は、今でも意味があるのか?』ということです」と述べます。
彼は続けます。「2026年には、CISOは人間の限界を前提に設計されたセキュリティアーキテクチャを解体し始めるでしょう。エージェント型AIは、データソースで直接調査と対応を可能にし、かつて不可欠に思えた従来型SIEM、SOAR、MDRのオーバーヘッドへの依存を減らします。この変化は、どの作業が本当に人間の専門性を必要とするのか、そしてどの作業はAIがすでにより良く、より速く、より安くできるのかを、リーダーに問い直させます。その結果、人間の回避策ではなくAIファーストの性能のために構築された、第一世代のセキュリティ運用が生まれるでしょう。」
スキルギャップ
AIは今や、CISOの役割のほぼあらゆる側面に関わっています。これには例えば、長年の難題である、十分な有資格労働力のプールからのチーム採用(一般にスキルギャップまたはタレントギャップとして知られる)も含まれます。
サイバーセキュリティにおけるスキルギャップは深刻で、おそらく常にそうでしょう。セキュリティ要件が、教育が学生を訓練できる速度よりも速く変化するために存在します。これはCISOにとって新しいことではありません。しかし、人工知能の急速な出現と拡散は極端な例であり、未熟なスタッフがAIの課題を扱う潜在的危険は、通常以上に深刻です。
GuidePoint SecurityのSVP兼CISOであるGary Brickhouseは、「サイバーセキュリティのスキルギャップは、依然として大きな課題であり、新たな専門性を必要とする新興技術が、市場が追いつける速度よりも速く登場することで助長されています」と説明します。「アウトソーシングのような戦略は一部の圧力を和らげることができますが、多くのCISOはいまだに経験豊富な実務家の獲得と定着に苦戦しています。」
単純な算数がそれを説明します。PermisoのMartinは、「『アイデンティティ・セキュリティの専門性10年以上』の人材市場など存在しません。その分野自体が10年前にはほとんど存在していなかったのです」とコメントします。「資格要件(CISSP、10年以上、特定ツールの知識)に基づいて採用するCISOは、慢性的な人手不足のままでしょう。」
CISOは常に採用方法を適応させる必要がありました。ThreatQuotientのフィールドCISOであるChris Jacobは、「スキルギャップはまだ拡大しています。クラウド、アイデンティティ、脅威検知の専門性を持つ人材は、あらゆる役割を埋めるほど十分ではありません」と説明します。「優れたCISOは、長い職務経歴よりも、可能性と姿勢で採用します。好奇心、問題解決力、粘り強さは、経験年数よりも成功をよく予測します。体系的なトレーニングとメンタリングがあれば、こうした採用者は急速に成長し、忠実で長期的な貢献者になります。」
可能性で採用し、新人スタッフを社内で訓練・メンタリングするのが、新規採用の一般的な方法であり、時折、すでに経験のある人材を採用できることがそれを補います。しかしAIについては経験がゼロであり、新人を訓練できる社内経験もなく、しかもAIの専門性が直ちに必要とされています。
Martinは、「『完璧な候補者』、つまりまさに適切な経歴を持つ人を待つ組織は、人手不足のままでしょう。2026年までに、これは競争上の差別化要因になります」と警告します。
スキルギャップはCISOにとって常に存在してきました。常にそこにあり、おそらく常に存在し続けるでしょう。AIによって、ギャップがより広くなり、脅威の性質がより極端になるため、これが増幅されます。皮肉なことに、AIそのものが一筋の光を提供します。AIは退屈で反復的な作業を処理するのが得意です。既存スタッフの時間を捻出するために使えます。その時間を、セキュリティ経験のある既存スタッフをAIトレーニングでスキルアップさせるために使えるでしょう。
それでも、一般的なスキルギャップ、そして特にAIギャップは、2026年を通じて、そしておそらくそれ以降も大きな問題となるでしょう。CISOは対処するでしょう。なぜならそれが彼らの仕事だからです。しかし、彼らがどれほど上手く嵐を乗り切れるかは重要になります。
規制と個人責任への懸念
規制遵守は、遵守していることが安全であることを意味しないため、CISOにとって常に問題領域でした。コンプライアンスに重点を置きすぎると、セキュリティへの重点が不足する可能性があります。
しかし規制当局は、より強い規制文言と、個人(この場合はCISO)に対して失敗の個人的・刑事的責任を問える能力によって、コンプライアンスへの圧力を高めています。これにより、すべてではないものの多くのCISOが、自身の個人責任についての懸念を強めています。
それでも、個人責任が法的に起こり得ることは明らかであり、すべてのCISOは将来その可能性に備えるべきです。
Strike GraphのCEO兼創業者であるJustin Bealsは、「2026年、サイバーセキュリティは新たな時代に入り、サイバーリスクの結果が主として企業ではなく個人に降りかかるようになります。CISO、『確認責任者』、コンプライアンスリーダー、取締役会メンバーが、個人的な罰金、キャリアを終わらせる禁止措置、さらには、歴史的には組織の問題だった失敗に対する刑事訴追に直面するのです」と警告します。
「CMMC 2.0が、サプライチェーン全体のセキュリティ態勢を経営層が個人的に証明することを求め、NIS2が『重大な過失』について経営機関に責任を負わせ、DORAがICTガバナンスの失敗に対して個人への罰則を可能にし、SECがSolarWindsのような事例を通じて前例を確立する中で、規制当局は静かに、サイバーの説明責任の負担を、組織ではなく書類に署名する人々へと移してきました。」
規制当局が望むもの、すなわちより良く、より透明性の高いサイバーセキュリティを得る可能性はあります。OntinueのCISOであるGareth Lindahl-Wiseは、「それが何を意味するかに適応していないCISOにとっては懸念になる可能性が高いでしょう。CISOから取締役会へ、そしてその逆へと、はるかに透明性を高めるはずです。長年にわたりCISOは、解決されないと思う問題や、経営陣が聞きたがらないと思う問題を抱え込んできました。個人の説明責任は、最終的には全員の利益のために、そうした状況を表に出すはずです。もちろんコツは、潜在的な政治的地雷原を最善の方法で航行することです」とコメントします。
しかし、「コンプライアンスを含むセキュリティ関連の失敗に対する個人責任は、2026年を通じて重要かつ増大する懸念であり、CISOの役割を根本的に作り替えるでしょう」とNomaのKelleyは述べます。
Bealsは、「私たちは、仕事でのたった一度の悪い日がキャリアを終わらせるか、刑事訴追につながり得る世界に入りつつあります。2026年、最大のサイバーリスクはランサムウェアやサプライチェーン攻撃だけではありません。世界的な規制体制がCISOや経営層に課す個人責任です」と付け加えます。
2025年11月、SECはSolarWindsおよび同社CISOに対する訴訟を取り下げました。これが個人責任の可能性の低下を示すのではないかと期待する人も多くいます。実際、当時SolarWindsの広報担当者は、「この解決が、多くのCISOがこの件と、それが彼らの業務に及ぼしかねない萎縮効果について表明してきた懸念を和らげることを願っています」と述べました。
しかし、それに頼ってはいけないと警告するのが、ImmuniwebのCEOであり、Platt Lawのサイバーセキュリティ実務責任者でもあるIlia Kolochenkoです。彼はSECの行動は戦略的だったと考えており、特定のこの案件で敗訴する可能性を避けつつ、将来の案件に向けて法的措置の前例を維持しているのだと示唆します。「データ侵害に対する個人責任のリスクが今や消え去ったと信じるのは軽率でしょう」と彼は言います。
実際、Kolochenkoは、責任の脅威は規制当局にとどまらず、個々の弁護士がこの問題を武器化していると示唆します。「私は最近、データ侵害後に、CISOやそのチームの主要なサイバーセキュリティ専門家が、創造的な弁護士から個人的に脅された複数の事例を目撃しました。」
これらの脅しは、必ずしも個人の刑事訴追を求めるものではなく、侵害を受けた企業に関する情報を狙っています。CISOは、不十分な予算、人員不足のチーム、非現実的な目標、経営陣や取締役会におけるサイバーセキュリティ知識の欠如といった問題について話すよう、言いくるめられます。
「原告側の弁護士にとって、そのような自認は宝の山です。侵害された、あるいは不適切な行為をした企業と記録的な金額で和解するか、法律で認められる場合には裁判で懲罰的損害賠償を得て、さらに多くの金を稼ぐためです… 個人の弁護士と法的保険を整備していないなら」と彼は付け加えます。「遅滞なく整備してください。」
メンタルヘルスへの負荷増大
これらの複雑化要因は、CISOにとって別の問題領域、すなわち一般的なメンタルヘルスの問題、そしてより具体的には燃え尽きの増加につながる可能性があります。CISOおよびそのチームにおける燃え尽きの発生は増えています。2026年にはこれが増加する可能性が高いでしょう。
燃え尽きの主因は、絶え間ないストレスです。CISOの業務負荷は間違いなく増加し、それに伴ってストレスが増大し、少なくとも2026年までは燃え尽きが増えることはほぼ確実です。
Blank Rome法律事務所の弁護士であるTimothy Dickensは、「重大な利害とポジションに伴う絶え間ないプレッシャーにより、ストレスレベルは確実に上昇しています」とコメントします。
ThreatQuotientのJacobは、「セキュリティチーム全体でストレスレベルが上がっています。仕事は高圧で常時稼働、そしてミスは重大な結果を招き得ます」と述べます。
Versa NetworksのフィールドCISO(APAC)であるPrasad Tは、「CISOとそのチームのメンタルヘルスの負荷は増しています。セキュリティ機能は、継続的なアラート、重大な意思決定、インシデント後の疲労、規制圧力、そしてしばしば非難が先行する文化に直面しています」と述べます。
ここから逃れる余地はほとんどありません。現在の成功でさえ、将来のストレスを増やし得ます。NCC Groupの内部セキュリティ担当ディレクターであるKaty Winterbornは、「どのセキュリティプログラムにとっても最良の結果は、文字通り何も起きないことです。結果が『攻撃がない』ことだと、コントロールが必要で機能していることを示すのは本当に難しい場合があります」と付け加えます。
厳しい経済状況の中でのそのような成功は、セキュリティ予算の引き締めにつながり得ます。そして、CISOが見ている新たな脅威に対して予算増を得るのが難しくなりますが、取締役会はそれを理解していません。
IANS ResearchのファカルティでありBedrock SecurityのCSOでもあるGeorge Gerchowは、「強いリーダーは心理的安全性を育み、委任スキルを磨き、AI駆動の自動化を用いてチーム全体のアラート疲れと認知的過負荷を減らします」と述べます。しかし、CISOの心理的安全性を育むのは誰なのでしょうか。
彼は「チームのセラピストのために予算を組むのが理想的でしょう」と付け加えます。「しかし、人員やツールのための十分な予算すら確保できないのなら、それはありそうにありません。」
近年、燃え尽きの増加につながってきたすべての要因(過重労働、新たなAI脅威、深刻な個人責任の不安)は、2026年には悪化する可能性が高いでしょう。CISOがCEOや取締役会から追加の支援を得られなければ、2026年は史上最も困難な年になるかもしれません。
翻訳元: https://www.securityweek.com/cyber-insights-2026-what-cisos-can-expect-in-2026-and-beyond/
