毎年12月と1月になると、PR主導の「来年の予測」がいくつも出回りますが、そうした予測は案の定、クライアントに都合のよい内容になりがちです。ならば情報源に直接当たってみてはどうでしょうか? 本記事では複数のセキュリティリーダーに話を聞き、全員に同じ質問をしました。「2026年に、あなたが仕事をより効率的に進めるうえで最も役立つ、人・プロセス・テクノロジーの変化は何ですか?」
彼らの回答は次のとおりです:
Brian Honan(BH Consulting オーナー)
「2026年に多くの人にとって最大の影響をもたらすプロセスは、サードパーティリスク、特にサプライチェーンにおけるレジリエンス(回復力)の管理だと思います。大きな推進要因は、特にEUにおける一連の法規制です。たとえばEUデジタル・オペレーショナル・レジリエンス法(DORA)や、EUネットワーク・情報セキュリティ指令第2版(NIS2)などが、組織に対してサプライチェーン内のサイバーリスク管理を求めています。
これに加えて、最近のAWS、Azure、Cloudflareの障害もあり、多くの組織がサードパーティリスクの管理方法を評価するようになるでしょう。しかし、質問票を送るだけでこれらのリスクを管理するのは、もはや十分ではありません。2026年のCISOは、自社のサプライチェーンにおける重要なボトルネックをより深く理解し、そこにより高いレジリエンスを組み込むための統制を検討する必要があります。」
Greg Mathes(サイバーセキュリティ経験15年の情報セキュリティマネージャー)
私が現在のセキュリティリーダーに影響を与えていると見ている主な力は2つあります。AIの継続的な採用と成熟、そしてセキュリティ予算に影響する経済的要因です。これらは相互に絡み合うように見えます。なぜなら、セキュリティリーダーとして、私たちは人材とテクノロジーの両方に対する予算の正当性を示し続けなければならないからです。AIの採用は手作業を減らし、スタッフがより付加価値の高い業務を行えるようにして効率を高める助けになります。ここで強調したいのは、これはスタッフの効率向上を目的としたものであり、雇用をなくすことを狙ったものではないという点です。AIが人間を置き換えられるという主張や流れは、非常に危険だと思います。これは士気に壊滅的な影響を与え得ますし、多くの場合、AIでジュニアスタッフを置き換える方向に進めば、いずれシニア職への人材パイプラインが枯渇してしまいます。
しかし、私たちが見てきたとおり、多くの組織ではデメリットを上回るメリットがあります。大企業も中小企業も、手作業のタスクに押し流されており、その結果、多くのプロセスが非常に高コストになっています。さらに、今日多くの組織が直面している経済的要因が重なり、追加の人員を採用する余力が制限されています。業界は長年、SOARやRPAボット、その他のプログラム的なソリューションで、この大量作業を処理して問題を解決しようとしてきました。AIの活用は、その領域で私たちがすでに行ってきた取り組みを、より広い適用範囲へと拡張するものだと思います。たとえばセキュリティ業界では、SOARの取り組みの多くはSOC内の作業負荷を減らすことに向けられてきました。これは非常に必要でした。アラート量は多くのSOCにとって管理不能なレベルに達しており、人を増やして解決しようとすると非常に高コストになることが分かったからです。AIを追加することで、ジュニアアナリストがインシデントに関連するデータや外部の脅威情報をまとめられるようになり、アラートを既知の外部脅威と相関させる助けとなり得ます。これにより、SOCアナリストがアラートをトリアージして判定(処理方針を決める)するまでの時間が短縮され、能力がさらに拡張されます。
大きな違いは、組織全体にAIを統合していくことで、これらの新しいスキルと自動化能力を活用し、歴史的に大量の手作業を必要としてきたセキュリティの他領域にも適用できる点です。SOC以外のセキュリティ領域にも、AIの活用で成熟できる機会が多くあります。たとえば、新しい規制や収集した証跡を要約するGRC活動、脆弱性の要約からプログラム状況の経営層向けレポーティングに至る脆弱性管理活動、アクセス管理やレビューを支援するアイデンティティ・ガバナンスなどです。
今後2〜3年で、これらの能力はセキュリティツール全体で進化し成熟し続けると見ています。組織がセキュリティプロセスにAIを統合することで得られるROIを、私たちはようやく実感し始めたところです。私たちは日々AIに触れているため、適用できる追加のユースケースを考えられるようになってきました。これは、タスクごとに自動化対象を定義するのではなく、複数ステップを含む可能性のある「職務機能」を定義できるエージェンティックAIの活用によって、最も実現されます。こうした能力の開発には、セキュリティベンダーが開発し市場にリリースするまで時間がかかる場合があります。
市場投入までの時間は、スタートアップと大手ベンダーでは当然異なります。とはいえ、訓練されたスタッフを抱える大企業であれば、これまでRPAボットによるプロセス改善に注力していた社内スタッフの焦点を、従来のRPAボットよりも賢い社内エージェンティックAIボットの開発へと振り向けることで、同様のことを実現できます。
Daniel Schwalbe(DomainTools CISO兼VP IT)
「ここでの分かりやすい答えは『AIが私たちをより効率的にし、ノイズを切り分けてくれる――何でもAIだ』でしょう。しかし、私はまったく同意しません。InfoSecで25年間働いて学んだのは、人間の直感、本能、賢明な意思決定を、信頼性をもって自動化で置き換えることはできないということです。AI/MLには、クリーンで高度に構造化され、一貫してラベル付けされたデータが必要です。
私たちのセキュリティログは、そのどれにも当てはまりません。ツールは悪いプロセスをより速く自動化するだけで、アラート疲れを加速させ、「AI」がそれを無害な統計的ノイズと判断したせいでゼロデイを見逃すリスクを高めます。
SOARの約束は集中オーケストレーションです。現実は、コストのかかる脆い統合作業に何か月も費やし、ベンダーのアップデートのたびに壊れることです。私たちは、自動化パイプラインの保守に、パイプラインが節約してくれる以上の時間を費やしています。
脅威ハンティングを理解しながら高度なAI/MLモデルを構築・訓練・維持できる人材が足りません。この技術は新しい超専門的(そして超高額)なスキルセットを必要とし、効率化という目標を台無しにします。
2026年に効率へ最も大きな影響を与える単一の変化は、プロセスと人の面での『徹底的な簡素化』と『セキュリティ責任の分散』へのシフトです。現在の効率を殺しているのは、後付けセキュリティ税、つまりデプロイ後にセキュリティ欠陥を修正するコストです。
私たちは、例外だらけの複雑なセキュリティポリシー(50ページ超)から離れ、最小限で実用的な統制セットという哲学を採用しなければなりません。ポリシー文書は10ページ未満に縮め、無限のコンプライアンスチェックリストではなく、最もリスクの高い制約だけに焦点を当てるべきです。
これを本気で受け入れるために、2027年までに重複するセキュリティツールの少なくとも1/4を廃止するための容赦ない監査を実施すべきです。これによりライセンス費用が削減され、統合の複雑さが減り、アナリストは非常に効果的な中核ツール群を習熟せざるを得なくなります。その結果、熟練度が上がり、誤検知が減ります。このプロセスの変化は、セキュリティ負債を生む複雑さを減らし、調査すべきインシデントを減らし、防御すべき攻撃面を大幅に小さくします。これこそが、セキュリティ効率の究極の尺度です。
セキュリティは共有責任です。CISOがすべてのセキュリティリスクを所有しているという神話を打ち破らなければなりません。このモデルは、クラウド採用とDevOpsの速度の重みで崩壊しつつあります。
重要なプロダクト、プラットフォーム、エンジニアリングの各チームに、セキュリティエンジニア(単なるリエゾンではなく)を正式に組み込まなければなりません。彼らの使命は取り締まることではなく、安全で再利用可能なパターンを提供し、戦術的なセキュリティ判断の80%の責任を資産オーナー(アプリケーションチーム、事業部門)へと押し下げることです。
私たちは社内指標に注力するのをやめ、ビジネスとのパートナーシップ指標に注力する必要があります。たとえば、重大な指摘なしで新製品を最初から市場投入できるまでの時間(Time-to-Market)や、デプロイメントパイプラインにおける摩擦の低減です。セキュリティチームの効率は、ビジネスがどれだけ速く安全に動けるかで測られるべきです。
この責任分散により、中央のセキュリティチームは真に戦略的で高付加価値なタスク――脅威インテリジェンス、アーキテクチャレビュー、インシデント対応――に集中できます。CISOの効率は急上昇します。新しいアナリストを1人も採用せずに、セキュリティ人員を増やせるからです。
2026年に最も効率的なCISOとは、実体のないAIが魔法のように組織の問題を解決してくれるのを待つのではなく、事業側に働きかけて運用環境を簡素化し、セキュリティチームの皿から責任を取り除くことに成功した人です。」
Christie Terrill(Bishop Fox CISO)
「2026年に私が最も強く望んでいるのは、業界全体でAIガバナンスが成熟することです。AIに関する用語が機能する共通言語になり、AIが持ち込む課題に対する技術的緩和策が、既存のプラットフォームやサービスにシームレスに組み込まれることを期待しています。
現在利用可能な統制フレームワークや技術的モニタリング能力は、いまだに断片的で、広く実装・展開されているとは感じられません。そのため、サードパーティ、ベンダー、顧客とやり取りする際に混乱や余計な会話が生じます。彼らは皆、自分たちのリスク姿勢を守ろうとして、互いに厳格で高い基準を求め合っているからです。
私には、料理番組「Chopped」のように感じられます。チームがランダムな食材の入ったミステリーバスケットを渡され、各ラウンドでその食材をすべて使って料理を作ることを課される、あの番組です。この場合、各社はデータ、アイデンティティ、サードパーティガバナンスの問題という同じ課題を与えられていますが、そこにワイルドカードの食材としてAIを重ねると、AI機能を迅速かつ安全に展開する方法について、それぞれ異なる結論に至ってしまいます。ベンダー、パートナー、顧客が統合された業界において、これは自社のリスク姿勢を維持しながら、私たち全員がどう協働し続けるのかという実存的な課題を引き起こします。
私の願いは、2026年が、AIリスクの「ミステリーバスケット」を手探りで進む段階から、独立してではなく共同で前進できる共通のガードレールを構築する段階への転換点になることです。」
Larry Whiteside Jr.(Confide Group 共同創業者兼社長)
「2026年に向けて、私がより効率的に業務を遂行できるようにする最も変革的なシフトは、人・プロセス・テクノロジー全体にわたるAI、特にエージェンティックAIの急速な進歩です。
AIはいまや、私の仕事のあらゆる次元でフォース・マルチプライヤー(戦力増幅装置)として機能しています。顧客側では、非常に個別最適化されたコンテンツや分析を、従来のほんの一部の時間で作成できるようになり、意味のある効率化が進みます。これにより、私は低いマージンを維持しつつ、コストメリットを直接クライアントに還元できます。以前は相当な手作業を要したものが、いまではより高い精度で迅速に生成でき、より高いレベルのパーソナライズと応答性を実現できます。
運用面では、AIがメール、チケット処理、ドキュメント作成、トリアージといった、日常的で反復的なワークフローの多くについて、人間による実行を不要にしています。以前は、私のような会社にとって採用が最大級の費用の一つでしたが、いまではAIにより、同じペースで人員を増やさずとも、より多くの顧客を支援できます。エージェンティックAIは、この作業の多くを「実行」ではなく「監督」のモデルへと移し、プロセスの層を取り除き、成果を加速し、チームが作業手順ではなく意思決定に集中できるようにします。私たちは、ビジネスを回すために必要なすべてのタスクを人間が実行することに、もはや依存していません。
サービス提供の観点では、AIによって多くの能力が「人が実行」から「人が監督」へと移行しています。これにより手順が減り、ワークフローが標準化され、提供のスピードと一貫性の両方が向上します。AIが重労働を担い、人間が戦略的助言と品質保証を提供する、新しいスケーラブルなサービスモデルへの扉が開かれます。
最後に、業界全体のCISOから私が聞いていることも、この流れを裏付けています。彼らは、AIが運用とガバナンスの両機能において、歴史的にチームの足を引っ張ってきた退屈で時間のかかるデータ収集や突合(クロスリファレンス)作業を取り除くことで、大きな価値の推進要因になると見ています。干し草の山から針を探すSOCアナリストであれ、統制が失敗したかどうかを評価するGRCアナリストであれ、AIは意味のある洞察により速く到達することを可能にします。要するに、AI、特にエージェンティックAIが、仕事の進め方を作り替えています。顧客への提供を強化し、運用負荷を減らし、サービス提供をスケールさせ、ガバナンスを強化します。これが、2026年以降、私が仕事をより効率的に行うことを可能にする決定的な変化です。」
Branden Williams(InvoiceCloud CISO)
「何でもAIという流れに便乗するのは好きではありませんが、2025年はサイバーセキュリティにおけるAIの有用性が転換点に近づいていることを示唆し始めたと思います。私が期待しているのは、監督や学習(トレーニング)能力も含め、複数のLLMを試している企業が、低レベルの情報収集、発見、相関付けを支援させることで、ブルーチームのアナリストの有効性を高められることです。目標は、潜伏時間(dwell time)を短縮し、露出を招いたりブルーチームのリソースを浪費したりするType I/IIエラーの削減をより上手く行うことです。」
Sean Zadig(Yahoo CISO)
「私が推し進めたい変化は、私たちの特定の環境にとってどの脅威が重要なのかを実際に教えてくれる協調型インテリジェンスへのシフトです。ここではコンテキストが王であり、複数組織にまたがるシグナルを分析してインターネット全体の防御を提供するソリューションの登場に勇気づけられています。しかし、これは私たち全員が、得たいものを得るために必要なものを投入する意思がある場合にしか機能しません。つまり、インテリジェンスを消費するだけでなく、同業者や業界団体と信頼性高く共有することです。
AIは、このインテリジェンスを大規模に処理し文脈化するのに役割を果たすでしょうが、根本的な変化は文化的・運用的なものです。業界として、脅威データを囲い込むのではなく、積極的に提供する方向へ移行する必要があります。来年、この協調モデルを受け入れるCISOこそが、私たちがずっと求めてきたものをついに得る人たちです。すなわち、本当に実行可能なインテリジェンス――ノイズは少なく、明確さは増し、組織を実際に危険にさらす脅威により鋭く焦点を当てられるようになるのです。」
翻訳元: https://www.securityweek.com/forget-predictions-true-2026-cybersecurity-priorities-from-leaders/
