年次のサイバーセキュリティ見通しでは、リスク低減の鍵はサイバーレジリエンスであり、AIは攻撃者・防御側の双方にとって最も重要な変化の推進要因だとしている。
世界経済フォーラム(WEF)は年次報告書「グローバル・サイバーセキュリティ・アウトルック」の中で、AIの進歩、地政学的分断の深まり、サプライチェーンの複雑化により、今年はサイバーセキュリティリスクが加速すると述べている。
しかし、それに対抗する方法は新しいものではない、と報告書は付け加える。「最終的に、集団としてのサイバーレジリエンスを強化することは、経済的にも社会的にも不可欠な要請となっている。サイバーセキュリティは、協働が可能であるだけでなく強力であり続ける最前線だ――分断、経済的圧力、不確実性の中にあっても、集団行動がすべての人の進歩を推進し得ることを思い起こさせる。」
報告書によれば、来年は世界の技術的な備えだけでなく、ますますデジタル化する世界を防衛するうえで、政策・倫理・協働を整合させる能力も試されるという。
月曜日に発行された64ページの本報告書は、昨秋に実施されたアンケートの19問に対する回答を一部に基づいており、92カ国のC-suite(経営幹部)、学術界、市民社会、公共部門のサイバーセキュリティリーダー804人が回答した。これにはCISO(最高情報セキュリティ責任者)316人が含まれる。追加資料はワークショップから収集され、フォーラムのサイバーセキュリティセンターのCISOコミュニティに属する21人の幹部とのセッションも含まれている。
これはWEFによる年次サイバーセキュリティ報告書の第5版である。昨年版は、地政学的緊張、複雑なサプライチェーン、規制の増殖、急速な技術導入といった複合要因が、複雑性と予測不能性が高まる時代を生み出していると指摘しており、今年版もそのテーマを引き継いでいる。
最新報告書の主な調査結果は次のとおり:
- 調査回答者の94%によれば、2026年におけるサイバーセキュリティの変化を促す最も重要な要因はAIになると見込まれている。
- 回答者の87% が、AI関連の脆弱性は過去1年で増加したと答えた。増加したその他のサイバーリスクは(順に)サイバーを悪用した詐欺とフィッシング、サプライチェーンの混乱、ソフトウェア脆弱性の悪用だった。
- 国家のサイバー対応準備に対する信頼は引き続き低下しており、大規模サイバーインシデントに自国が対応できる能力への信頼が低いと答えた回答者は31%で、昨年の26%から増加した。信頼度は地域によって大きく異なり、中東・北アフリカの回答者の84%が自国の重要インフラ防護能力に自信がある一方、北米の回答者で自国が備えていると自信を示したのは38%にとどまった。
- 自組織のサイバーレジリエンスを評価するよう求められたところ、公共部門および国際機関の代表者の23%が準備状況は不十分だと考えていた。対照的に、民間部門の回答者で自社を否定的に評価したのは11%にとどまった。
- 従業員10万人超の組織の91%が、地政学的な不安定さを受けてサイバーセキュリティ戦略を変更している。
興味深いことに、組織のサイバーリスク評価に関して、CEOとCISOの見解が常に一致していたわけではない。2025年の調査では、多くのCEOが最大の懸念としてランサムウェア、サイバーを悪用した詐欺とフィッシング、サプライチェーンの混乱を挙げた。今年は、サイバーを悪用した詐欺とフィッシングが1位に移り、次いでAIの脆弱性、ソフトウェア脆弱性の悪用となった。
一方で、CISOも2025年調査では多くがランサムウェアを最大の懸念としたが、CEOの順位とは逆に、2位にサプライチェーンの混乱、次いでサイバーを悪用した詐欺とフィッシングを挙げた。そして最新調査でも、ランサムウェアとサプライチェーンの混乱が依然として上位2つだが、3番目の懸念は現在、ソフトウェア脆弱性の悪用となっている。
これは、CEOは詐欺がもたらすより広範な事業への影響を懸念しがちである一方、CISOにとってランサムウェアへの懸念は、攻撃が成功した場合に重要な情報技術(IT)および運用技術(OT)システムの可用性に重大な運用上の混乱をもたらし得ることを反映している、と報告書は述べている。
関連コンテンツ:CISOが2026年に絶対に間違えられない8つのこと
WEFの報告書がAIに焦点を当てるのは、リーダーたちがAIが今年のサイバーセキュリティにおける最も重要な変化の推進要因になると考えているためだ。AIシステムの広範な統合は攻撃対象領域を拡大し、従来のセキュリティ制御では対処するよう設計されていない新たな脆弱性を生み出す、と報告書は述べる。さらに、脅威アクターはAIを活用して、攻撃の規模、速度、高度化、精度を高めている。
しかし、防御側もAIを活用してサイバー能力を強化できる。だが報告書は、「AIの利点は、規律ある実行に左右される。実装が不十分なソリューションは、堅牢なガードレール、セキュリティ・バイ・デザインの実践、継続的な監視を組織が組み込まない限り、設定ミス、偏った意思決定、自動化への過度な依存、敵対的操作への脆弱性といった新たなリスクを持ち込み得る」と強調している。
「含意は明確だ」と報告書は述べる。「AIはサイバーセキュリティを改善し得るが、それは人間の判断を中心に据える健全なガバナンス枠組みの中で展開される場合に限られる。同時に、制御が多すぎると摩擦を生むため、慎重なバランスを取ることが不可欠である。」
すでにそれが起きている兆候の一つとして、AIツールを導入する前にそのセキュリティを評価するプロセスが組織にあると答えた回答者は64%で、2024年秋の前回調査の37%から増加した。
調査データによると、回答者の77%がサイバーセキュリティにAIを採用しており、主にフィッシング検知の強化(52%)、侵入および異常への対応(46%)、ユーザー行動分析(40%)に用いているという。
しかし、サイバーセキュリティにAIを採用する際の実務上の課題について尋ねると、回答者は主な障壁として、知識および/またはスキルの不足(54%)、人間による監督の必要性(41%)、リスクに関する不確実性(39%)を挙げた。これらの結果は、AIの広範な導入において信頼が依然として障壁であることを示している、と報告書は結論づけている。
報告書は次のように述べる。「組織がセキュリティ運用へのAI統合を進める中で、自動化と人間の判断のバランスはますます重要になる。AIは反復的で大量のタスクの自動化に優れる一方、文脈に基づく判断や戦略的意思決定における現時点の限界は明らかだ。ガバナンスのない自動化への過度な依存は、敵対者に悪用され得る盲点を生むリスクがある。」
AIがサイバーセキュリティの状況を引き続き支配する一方で、他のいくつかの技術や脅威ベクトルも水面下で静かに勢いを増しており、2030年までにサイバーセキュリティに影響を与えると予想される、と報告書は述べている。
それらには、自律システムとロボティクス、量子技術、デジタル通貨、宇宙技術と海底ケーブル、自然災害と気候変動が含まれる。10年の終わりまでに、自律システムは短期的な要因となり、AIが分析を支援する段階から、工場、物流、医療、公共空間における物理的行動の指揮へと進む。この進化は、新たなサイバー・フィジカルのリスクプロファイルを生み得る。機械が実行する意思決定が数秒で安全性やサービス品質を変え得るため、検知と対応の時間的余裕が圧縮される。
報告書は、2030年までに量子技術は理論上の破壊的要因から、限定的ではあるが実質的な暗号への脅威へと進化すると予測する。国家レベル、または十分な資源を持つアクターは、高価値標的に対する量子加速攻撃を実行できる可能性がある一方で、大規模な解読が一般化することは依然としてまれだろう。同時に、防御側は異常検知のために量子強化分析やセンシングを活用し、攻撃者と防御側の動的な競争が生まれる。
最終的に報告書は、安全なデジタルの未来を築くには技術的解決策だけでは不十分だと結論づけている。「それには、断固たるリーダーシップ、共有された説明責任、そして集団としての基準線を引き上げることへのコミットメントが求められる――レジリエンスが、最も資源のある組織だけでなく、すべての人にとって利用可能であることを確保するためだ。デジタルと物理の世界の境界が引き続き曖昧になる中で、繁栄する組織とは、サイバーレジリエンスを共有された戦略的責任として認識する組織である――それは信頼を支え、イノベーションを可能にし、グローバル社会の相互接続された基盤を守るものだ。」
