サイバーセキュリティ分野は2025年に歴史的な圧力に直面しました。新しいAIツールは私たちの働き方を変えましたが、同時に、それらを採用する組織に新たな形のサイバーリスクももたらしました。
一方で、サイバー犯罪グループは主要産業を混乱させるために進化し続ける多様な手法を用い、企業や政府当局は、オペレーショナル・レジリエンスと、サイバーインシデントがもたらす長期的な財務影響の管理へと重点を移さざるを得なくなりました。
2026年のサイバーを形作る5つの主要トレンドは次のとおりです。
1. AIガバナンスとガードレールがいまや最重要課題に
人工知能の導入は、この1年で多くの人が予想していた以上のスピードで進みました。
米国と中国が主導する主要経済大国の間で、AI変革を誰が主導するかをめぐる国際的な軍拡競争が始まっています。同時に、企業はAIを収益モデルに組み込むことを急いでおり、生産性の大幅な向上だけでなく、テクノロジーが中核製品ラインを強化することにも賭けています。
しかし、この急速なAI受容は、企業がAIプログラムの安全性を確保し、悪意ある行為者によって企業データの持ち出し、顧客の悪用、サプライチェーンの侵害に利用されないようにするための適切なガードレールとガバナンス構造を整備できているのか、という懸念を高めています。
「組織がAIを採用するスピードと、ガバナンス・フレームワークの成熟度との間にはギャップがあります」と、PwCでサイバー、データ、テクノロジーリスクの副リーダーを務めるMorgan Adamski氏はCybersecurity Diveに語りました。「多くの組織が生産性や効率性を高めるためにエージェント型AIや生成AIを試していますが、セキュリティの観点からガードレールが設けられていないことが少なくありません。」
AIは急速に、世界の企業における主要なビジネス上のサイバーリスクの一つとなりました。Allianz Commercialの1月のレポートによると、AIリスクは10位からこの1年で2番目に大きなビジネスリスク懸念, へと急上昇しました。これは3,300人超のリスク管理専門家への調査に基づくものです。
2026年にはAIリスクを背景に、組織がAIプログラムに適切なパラメータとセキュリティを確立することに、より注力するようになるでしょう。
2. サイバーセキュリティ規制の変化が開示を左右
サイバーに関する規制環境は、この1年で大きく変化しました。トランプ政権は、バイデン政権がサイバーリスクを規制していた方法と比べ、監督と実施の両面でよりきめ細かなアプローチへと転換しました。これは、情報セキュリティ分野の監督がなくなるのではなく、市場の力がより働く余地が生まれることを意味します。
「一律に後退したり、広範な規制拡大を追求したりするのではなく、政府は動的な脅威環境に対応して、より明確な期待、連携、または執行がどこで必要かを引き続き評価しています」と、R Street Instituteでサイバーセキュリティと新興脅威のレジデント・フェローを務めるHaiman Wong氏は述べました。
これは、民間部門が大部分を所有し、すでに高いサイバーリスクに直面している重要インフラにおいて特に当てはまります。
2025年11月、米証券取引委員会(SEC)がSolarWindsに対する画期的な民事詐欺訴訟を取り下げるとの決定を下したことは、ビジネスコミュニティにとって歓迎すべき動きだと広く受け止められました。2023年の訴訟では、SolarWindsが2020年のSunburstサイバー攻撃に至るまでの数年間、既知のサイバーリスクを投資家に開示しなかったと主張されていました。
連邦判事は以前、SECが大恐慌時代の法律を、同社がセキュリティ管理策を実装しなかったとされる点に誤って適用したとして、申し立ての大半を棄却していました。この法的決着はCISOコミュニティにとっても勝利と見なされました。というのも、SolarWindsのCISOであるTim Brown氏も、規制当局であるSECの同件において執行措置の対象となっていたためです。
Sagar Ravi氏(McDermott Will & Schulteのパートナーで、ニューヨーク南部地区連邦検察局の複雑詐欺・サイバー犯罪ユニット元責任者)は、SolarWinds事件の取り下げは、高度なサイバー脅威アクターの被害者となった企業が罰せられるべきではないという認識へと向かう動きを示すものだと期待していると述べました。また同氏は、サイバーリスクの透明性の必要性も強調していると語りました。
「焦点は、フォーム8-Kの重要インシデント報告におけるサイバーセキュリティ開示ルールの[執行]、あるいは年次報告書における戦略の追加開示になると思います」とRavi氏はCybersecurity Diveに語りました。
Ravi氏はSECが、インシデント前の意思決定を精査する調査を行うのではなく、侵害後の適切な開示の確保に重点を置くことを望んでいます。
3. サイバー保険は価格と補償の新たな局面へ
保険市場はサイバーリスクへの対応に苦慮し、相応の混乱を経験してきました。長年にわたり、ランサムウェアの脅威増大や国家関与のハッカーの台頭への懸念の中で、企業はサイバーセキュリティ補償の確保に苦労してきました。
直近では、世界の保険会社がサイバーリスクへのコミットメントを拡大しており、NotPetya攻撃に関連する戦争免責条項の文言をめぐる最近の法的事例は、補償範囲についてより明確さをもたらしました。それでも保険業界は、米国市場への依存や、サイバー保険の現在の保険料水準が長期的に維持可能かどうかについて疑問を抱き始めています。
それは、サイバー保険市場の多様化を意味する可能性があります。米国の大企業はサイバー市場における米国の契約者の大きな割合を占めているため、保険会社は中小企業などの新市場へ拡大する必要があります。リスク分析企業CyberCubeは9月のレポートでそう述べました。専門保険会社Beazleyは昨年末、米国市場へのコミットメントを維持するとしつつ、サイバーセキュリティ補償の価格環境が弱いことに警鐘を鳴らしました。
有利な補償を維持するために、保険会社は現在、企業のセキュリティ実務を厳しく精査していると、リスク専門家は述べています。
「少し前までは、基本的なアンチウイルスとファイアウォールがあればサイバー保険に加入できました」と、Google Cloudでビジネスリスクと保険の責任者を務めるMonica Shokrai氏は述べました。「今日では、フィッシング耐性のあるMFA、XDR、不変(イミュータブル)バックアップがなければ、単に高くつくだけではありません。補償そのものにアクセスできない可能性があります。」
4. CVE危機は解決したが、パッチ適用の課題は残る
近年、セキュリティチームにとって最も差し迫った課題の一つは、広く利用されているソフトウェアで発見される重大な欠陥を、どのように特定し、優先順位を付け、修正するかという点でした。
こうしたセキュリティ脆弱性は、重要産業や政府機関がITネットワークを管理し、オペレーショナル・レジリエンスを維持するために依存しているセキュリティツールやソフトウェアそのものを悪用して、ハッカーが悪意あるサイバー攻撃を仕掛ける際の入口となることが少なくありません。
昨年4月、米政府によるCommon Exposures and Vulnerabilities(CVE)プログラムへの資金が危うく途絶えかけたことで、セキュリティ分野は危機に陥りました。最終的にCISAとMitre Corp.の間で合意が成立し、11カ月間の支援継続が確保されました。また9月にはCISA当局者が将来の資金拠出を支援することを約束し、追加の支援策を示すロードマップを公表しました。
「CISAはCVEプログラムを近代化し、既知の悪用されている脆弱性の採用を広げ、Secure by Design原則の採用を推進することで脆弱性の蔓延を減らすために、リーダーシップの役割を主張しています」と、CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるNick Andersen氏は今月初めにCybersecurity Diveに語りました。「世界のサイバーセキュリティコミュニティと協力し、脆弱性データの品質と世界的なサイバーセキュリティのレジリエンスを高めることを目的とした、適切にガバナンスされ、信頼され、迅速に対応できるCVEプログラムを提供するために取り組んでいます。」
ソフトウェアセキュリティの専門家は、CVE資金危機は、業界が安全でないソフトウェアにようやく対処するための能動的な対策を開発する必要があることを示す警鐘だと述べています。
「組織は、CVEの上に多元的でコンテキストを踏まえたインテリジェンスを重ねる必要があります。そうすれば各レコードが、実際に重要なこと、すなわち悪用可能性、到達範囲、実際の依存関係グラフにおける普及度、そして安全なアップグレード経路があるかどうかを反映するようになります」と、Sonatypeの共同創業者兼CTOであるBrian Fox氏はCybersecurity Diveに語りました。
5. オペレーショナル・レジリエンスがサイバー攻撃への備えの新たな合言葉に
2025年の大半において、世界中の企業はサイバー・レジリエンスの大きな変化に直面せざるを得ませんでした。サイバー脅威グループは、主目的としてのデータ持ち出しだけに注力するのではなく、事業運営に大規模な混乱を引き起こすことへと軸足を移しました。
英国の百貨店Marks & Spencerへのソーシャルエンジニアリング攻撃、United Natural Foodsへのハッキング、そして自動車メーカーJaguar Land Roverに対する壊滅的なハッキングは、成功したサイバー攻撃が生産能力だけでなく主要なサプライチェーンをいかに容易に混乱させ得るかを示す、2025年の生々しい例となりました。
セキュリティ研究者は、これらのサイバー攻撃は金銭的利益のために主要産業へ最大限の圧力をかけるという、脅威アクターの意図的な戦略の一部だったと述べました。
「この1年で、攻撃者の手口に根本的な変化が見られました。Muddled Libra(Scattered Spider)のような金銭目的のグループは、単純なデータ窃取を超え、意図的な業務妨害へと踏み込みました」と、Palo Alto NetworksのUnit 42でシニア・バイス・プレジデントを務めるSam Rubin氏は述べました。「高度な『ビッシング』で人の要素を突き、ヘルプデスクを操作することで、これらのアクターは企業ネットワーク全体を麻痺させ、恐喝の交渉力を最大化するために事業を停止させられることを証明しました。」
専門家によれば、企業の取締役会や経営幹部(C-suite)は、サイバーリスクが全体的な事業レジリエンス戦略の重要要素であることを確実にするよう圧力を受けており、セキュリティリーダーには、壊滅的なITまたはセキュリティ事象に直面した際に、どのように運用を維持しサプライチェーンを保護するかについての具体的な計画を策定する任務が課されるでしょう。
翻訳元: https://www.cybersecuritydive.com/news/5-cybersecurity-trends-2026/810354/
