労働力の流動化時代におけるインサイダーリスク

経済的圧力、AI主導の雇用の置き換え、そして容赦ない組織の入れ替わりが、インサイダーリスクをここ数年で最高水準へと押し上げている。労働力の不安定化は忠誠心を蝕み、不満を増幅させる。AIエージェントのような強力な新ツールの導入が加速することで、人間と機械の双方からの内部脅威が増幅される。

2025年には、RationalFXによると、および他の雇用動向トラッカーによれば、世界のテクノロジー業界では数百社にわたりおよそ24万5,000人のレイオフが発表された。これらの数字はテック業界に集中しているものの、製造、小売、金融、エネルギー、政府など他分野でも見られるより広範な傾向を反映している。Challenger, Gray & Christmasによれば、米国では2025年11月までに雇用主が117万件超の人員削減を発表した。

この急増は前年までと比べて大幅な増加であり、不満が生まれやすい土壌を作り出す。すなわち、金銭的ストレス、自動化への反発、そして不注意やずさんなデータ取り扱いから、データ流出や認証情報の換金といった意図的な悪意ある行為に至るまでの、機会主義的な振る舞いである。

これらすべてが示しているのは、信頼している内部者こそが、業界や地域を問わず深刻なインシデントの主要な侵入経路であるということだ。

新たに台頭する機械の脅威：不安定なベクターとしてのAIエージェント

人間要因に拍車をかけているのがAIエージェントの急速な台頭であり、Palo Alto Networksが特定したところでは、2026年に向けた最も深刻かつ進化し続けるインサイダーリスクの一つである。

特権的なシステムアクセス、超人的な実行速度、そして大規模な意思決定能力を持つ自律エージェントは、もはや単なる生産性向上ツールではない。静かなデータ流出、業務妨害、あるいは意図しない大惨事のために悪用され得るベクターになりつつある。

これは、変動が人間の監督を弱め、相応の統制なしに導入を急ぐ場合に特に懸念される。Palo Alto Networksの2026年サイバーセキュリティ予測は、これらのエージェントが目標の乗っ取り、ツールの誤用、プロンプトインジェクション、シャドー導入といった脆弱性を持ち込み得ることを強調している。しかも、多国籍組織全体で採用を促すまさにその「入れ替わり」によって、しばしば増幅される。

セキュリティリーダーも注目している。Secureframeの2025年第4四半期サイバーセキュリティ統計の集計および関連レポートによれば、AIの悪用がインサイダーリスクを可能にする、または増幅させることに対して、組織の60%が強い懸念を示している。一方で、ハイブリッドおよびリモートワークモデルは、今後3〜5年でのインサイダーリスクにおける最大の新興リスクとして位置付けられており、Cybersecurity Insidersの「2025 Insider Risk Report」では回答者の75%がこれを挙げた。こうした分散環境は可視性と統制をさらに曖昧にし、グローバル運用において人間・機械いずれの異常行動も検知しにくくする。

初期警告：インサイダーリスク／脅威としての機械

これらの力学は、真空の中で生まれているわけではない。長年にわたり積み上がってきた警告の帰結である。

早くも2021年、私のCSOのオピニオン記事「デバイスID：見過ごされてきたインサイダー脅威」で、Rajan Koo（当時DTEX Systemsの最高顧客責任者、現在はCTO）は次のように述べている。「人間に対して行っているのと同じレベルで、デバイスにもインサイダー脅威フレームワークをもっと適用する必要がある。」この洞察は、API、ボット、スクリプト、そしてロボティック・プロセス・オートメーション（RPA）といった機械のアイデンティティが、意図的・非意図的の両方のインシデントの導管としてすでに機能しており、人間の内部者と同等の精査に値することを浮き彫りにした。

この見方は、2022年の「インサイダー脅威としての機械：京都大学のバックアップデータ削除からの教訓」で補強された。同記事は、現実の自動化障害を「機械がインサイダー脅威となった典型例」として分析した。チェックされないスクリプトの誤りが重要なバックアップデータの恒久的削除につながったこの事案は、破滅的な損失という結果が、悪意ある内部者が達成し得るものと同一であることを示した。

2023年半ばには議論は前向きな可能性へと移り、2023年のCSO特集「チームメイトが機械になったとき：CISOがAIについて問うべき8つの質問」では、サイバーセキュリティのワークフローにおける協働の力としてAIを探りつつも、内部で何が動いているのかを確実に理解する必要性を織り込んだ。今日、そのチームメイトは増殖している。Palo Alto Networksは、多くの企業で機械のアイデンティティと自律エージェントが人間を最大82:1の比率で上回ると予測しており、初期の警鐘は切迫した2026年の現実へと変わりつつある。

複合的な増幅効果：人の入れ替わりと機械の増殖が交差する

これらの要因――レイオフと経済的ストレスに起因する人の不安定さと、機械エージェントの無制限なスケーリング――が収束することで、複合的な増幅効果が生まれる。コスト圧力に直面する組織は、ガバナンスよりもAI導入のスピードを優先しがちで、その結果、シャドーAIの導入や不十分な監視につながる。同時に、職を失った、あるいは不満を抱えた従業員は、アクセス権を換金したり、機微データを持ち出したり、関与を失う中で統制を単に怠ったりする可能性がある。これは、内部者が同社が中国政府の攻撃的サイバー作戦インフラの補助的存在であることを暴露したKnownSecの事案で目撃したとおりだ。この行為は、中国の能力に関する洞察を得られるという点で多くのサイバー防衛側に歓迎されたのは間違いないが、同時に、いかなる組織も「変動要因」から免れないことを示している。

継続するレイオフや役割の不確実性がもたらす不安が、緊張によるミス、権限の囲い込み、あるいは害意のないままデータを露出させる拙速な回避策につながり得ることは疑いない。だが、害は現実化する。人の入れ替わりと機械の増殖の相互作用が見落とされるとき、その結果としてインサイダーリスクの状況は一段と深刻化する。

整合的な戦略へ：変動の時代における全体的な緩和

ここで不可欠になるのが、インサイダーリスク戦略における「整合性」である。全体的なアプローチは、人間のパターン（たとえば、組織再編中の感情の変化や、時間外のデータ収集）と機械の振る舞い（たとえば、異常なAPI呼び出しやエージェント活動の急増）の双方を監視する行動分析を統合しなければならない。

リスキリング（再技能習得）プログラムは、従業員をAI拡張型の役割におけるパートナーとして位置づけ、置き換えの犠牲者にしないことで、人材の維持と反発の低減に役立つ。認証、最小権限アクセス、継続的監視を求める機械アイデンティティの強固なガバナンスは、ゼロトラストの原則を非人間の領域へと拡張する。そして決定的に重要なのは、脅威として顕在化する前に変動の早期兆候を検知できるよう、人事（HR）とセキュリティの機能を橋渡しする必要があることだ。

こうした先回りの統合的対策がなければ、連鎖的影響は甚大になり得る。悪用されたAIエージェントが1体でも、人間には到底不可能な速度でテラバイト級のデータを持ち出せる。歴史が示すように、不満を抱えた従業員は、残存する認証情報を使ってバックドアを仕込んだり、情報を盗んだり売ったり、意図的な破壊を引き起こしたりする可能性がある。もはや賭け金は孤立したインシデントにとどまらない。サプライチェーンから重要インフラに至るまで、エコシステム全体に及ぶ。

今後の道筋

2026年を迎えるにあたり、メッセージは明確だ。インサイダーリスクは、もはや主として人間の問題ではない。それは「変動」の問題であり、経済的圧力、AIによる置き換え、そして組織の入れ替わりが、前例のない速度でそれを激化させている。対処には、外部脅威に適用しているのと同じ厳密さを、内側に向けて適用することが求められる――先見性、整合性、そして進化する意志をもって。