WEF 2026：サイバーセキュリティでAIが引き続き最重要テーマ

Summit Art Creations – shutterstock.com

今年も、ダボスで開催される世界経済フォーラム（WEF）においてサイバーセキュリティは重要なテーマとなっている。例えば「Global Cybersecurity Outlook 2026」は、人工知能（AI）の進歩、地政学的分断の進行、サプライチェーンの複雑化によってサイバーリスクが深刻化すると予測している。

この報告書は、昨年のWEFによる結論とも軌を一にする。すなわち、地政学的緊張、複雑なサプライチェーン、規制の強化、急速な技術変化といった相互に増幅し合う要因が、複雑性と予測不能性が増す時代へとつながる、というものだ。

最新報告書の主な結果は次のとおりである：

• 回答者の94％は、2026年にAIがサイバーセキュリティ分野の変化を促す最重要の推進要因になると見ている。
• 回答者の87％は、AI関連の脆弱性が過去1年で増加したと回答した。さらに、サイバー詐欺やフィッシング、サプライチェーンの混乱、ソフトウェア脆弱性の悪用といった他のサイバーリスクも増加したという。
• 国家のサイバー対応能力への信頼はさらに低下している。回答者の31％は、自国が大規模なサイバーインシデントに対応できる能力にほとんど信頼を置いていない。前年は26％だった。信頼度は地域によって大きく異なる。中東・北アフリカの回答者の84％は、自国が重要インフラを保護できると自信を持っている。一方、欧州の回答者で自国が準備できていると見るのは40％にとどまる。
• 自組織のサイバーレジリエンスについて尋ねたところ、公的部門および国際機関の代表者の23％が、準備状況は不十分だと回答した。これに対し、民間部門の回答者で同様に自社を否定的に評価したのは11％にすぎない。
• 従業員10万人超の組織の91％が、地政学的な不安定化を受けてサイバーセキュリティ戦略を変更した。

今回のWEF報告書は、とりわけAIを中心テーマとしている。調査対象となった経営層の大半は、今年、同技術がサイバーセキュリティ分野の変化を促す最重要の推進要因になると見ている。「AIシステムの広範な統合は攻撃対象領域を拡大し、従来のセキュリティ統制では対処できない新たな脆弱性を生み出す」としている。さらに「攻撃者はAIを用いて、攻撃の規模、速度、高度さ、精度を向上させている」とも述べている。

ただし、防御側もAIを活用してサイバー能力を強化できる可能性がある――少なくとも理論上は、と報告書は強調する。「AIの利点は、規律ある実装に左右される。実装が不十分なソリューションは、新たなリスクをもたらし得る――誤設定、偏った判断、自動化への過度な依存、敵対的な操作への脆弱性などだ。」そのため、企業は堅牢な保護策、セキュリティ・バイ・デザインの実践、継続的な監視を組み込むことが前提だという。

「結論は明確だ」と著者らは述べる。「AIはサイバーセキュリティを向上させ得るが、それは人間の判断を中心に据えた堅固なガバナンス枠組みの中で運用される場合に限られる。同時に、統制が多すぎれば摩擦を生むため、慎重なバランスを見いだすことが重要だ。」

それがすでに進みつつある兆候として、回答者の64％が「AIツールを導入する前に、その安全性を評価するプロセスが自社にある」と答えた。2024年秋の前回調査では37％だった。

調査データによれば、すでに企業の77％がサイバーセキュリティ分野でAIを導入している。主な用途は、フィッシングの試行を検知する（52％）、侵入者や異常に対応する（46％）、ユーザー行動分析を改善する（40％）である。

一方で、回答者はサイバーセキュリティ向けAI導入における実務上の課題も指摘した。主な障壁として挙げられたのは

• 知識および／またはスキルの不足（54％）、
• 人間による監督の必要性（41％）、
• リスクに関する不確実性（39％）である。

これらの結果は、信頼が依然としてAIの広範な導入を阻む障壁であることを示している、と著者らは結論づける。「企業がセキュリティ運用へのAI統合を進める中で、自動化と人間の判断のバランスはますます重要になる。」

そのため、AIは反復的で大規模な作業の自動化には適している。「しかし、文脈に基づく判断や戦略的意思決定に関する現在の制約は依然として明白だ」とWEFは述べる。「統制のない自動化への過度な依存は、攻撃者に悪用され得る盲点を生む危険がある。」

AIが引き続きサイバーセキュリティの状況を支配する一方で、他の複数の技術や脅威ベクトルも水面下で静かに重要性を増しており、報告書によれば2030年までにサイバーセキュリティへ影響を及ぼす見込みだ。

CISOとCEOの見解の不一致

興味深いことに、CEOとCISOは、自組織にとってのサイバーリスク評価において必ずしも一致していなかった。2025年の調査では、多くのCEOがランサムウェア、サイバー詐欺とフィッシング、サプライチェーンの混乱を最大の懸念として挙げた。今年はサイバー詐欺とフィッシングが1位に浮上し、続いてAIの脆弱性、ソフトウェア脆弱性の悪用が挙げられた。

一方、2025年の調査では多くのCISOもランサムウェアが最大の問題だと述べたが、CEOとは順位を入れ替え、2位にサプライチェーンの混乱、続いてサイバー詐欺とフィッシングを挙げた。今回の調査でも、ランサムウェアとサプライチェーンの混乱が引き続き2大問題である一方、3位にはソフトウェア脆弱性の悪用が入った。

これは、CEOが詐欺事案の一般的な事業影響をより懸念する傾向があるのに対し、CISOにとってランサムウェアへの懸念は、成功したランサムウェア攻撃が重要なITおよびOT（Operational Technology）システムの可用性にもたらし得る重大な運用障害を反映していることを示唆している。

将来の主要リスク要因

報告書によれば、その他の脅威には、自律システムとロボティクス、量子技術、デジタル通貨、宇宙技術と海底ケーブル、自然災害および気候変動が含まれる。10年の終わりまでに、自律システムは短期的な要因となり、分析におけるAI支援から、工場・物流・医療・公共空間における物理的行動の制御にまで及ぶという。

この進展は、新たなサイバーフィジカルのリスクプロファイルを生み出し得る。すなわち、機械が実行する意思決定が数秒で安全性やサービス品質を変化させ、検知と対応の時間的余裕を短縮し得る。

報告書によれば、2030年までに量子技術は理論上の破壊的要因から、選択的ではあるものの暗号技術に対する実質的な脅威へと発展している見込みだ。国家主体や潤沢な資源を持つ主体は、高価値標的に対して加速された攻撃を実行できる可能性がある一方で、大規模なコード解読は依然として稀だという。同時に、防御側は量子技術を用いて、異常検知のための分析やセンサーを強化していくことになり、攻撃者と防御者の間で動的な競争が生じるだろう。

報告書は、安全なデジタルの未来を築くには技術的解決策だけでは不十分であることを示している。「これには、断固たるリーダーシップ、共同責任、そして集合的な基盤を引き上げるというコミットメントが必要だ――最良の資源を持つ者だけでなく、すべての人がレジリエンスにアクセスできるようにするためである。デジタルと物理の世界の境界がますます曖昧になる中、サイバーレジリエンスを共有された戦略的責任として認識する組織が成功するだろう――それは信頼を生み、イノベーションを可能にし、グローバル社会の相互接続された基盤を守る責任である。」

本レポートは、昨秋に実施された調査に基づいており、92カ国から804人の経営層、研究者、市民社会の代表、公的部門のサイバーセキュリティ責任者が参加した。その中には316人のCISOが含まれる。追加資料はワークショップで収集され、フォーラムのサイバーセキュリティセンターのCISOコミュニティから21人のリーダーが参加したセッションも含まれる。（jm）