CISOの2026年予測

昨年は、AIの誇大宣伝、新たな攻撃モデル、そして高まる世界的緊張によって特徴づけられた。2026年の始まりにあたり、セキュリティチームは次の段階がどのようなものになるのかを問い始めている。AIは引き続きリスクを加速させるのか、それとも統制とガバナンスがようやく追いつくのか。

CSOは、2026年に向けた予測と抱負について、10人のセキュリティリーダーに話を聞いた。

ガバナンスはAIのスピードに追いつこうと奔走する

AIが日々の業務運用に深く組み込まれるにつれ、セキュリティリーダーはこれまで以上の速さでガバナンスモデルを拡張することを迫られている。Brown & Brown InsuranceのCISOであるBarry Hensleyにとって、それはデータ損失防止と監視の拡充によるデータのガードレール強化、アイデンティティ制御の厳格化、そして人間と機械の両方のアイデンティティにまたがるガバナンスの導入を意味する。

構造化と監督に向けたこの動きは、組織が大規模にセキュリティを定義する方法も変えつつある。United AirlinesのCISOであるDeneen DeFioreが言うように、2026年のセキュリティは境界防御よりも、スケールした運用レジリエンスが中心になる。「脅威アクターは生成AIをますます活用して偵察、ソーシャルエンジニアリング、エクスプロイト連鎖を自動化する一方、防御側はAIを用いてリスクの優先順位付け、検知の加速、対応時間の短縮を図るでしょう」と彼女は言う。「差別化要因は、組織がAIを使うかどうかではなく、それをどれだけうまくガバナンスし、調整し、信頼できるかです。」

一方で、Repurpose ItのCISOであるNoel Toalは、AIリスクのフレームワークが取締役会レベルにまで届くことが増えると予測する。彼は、これらのフレームワークが取締役に対し、AIの露出についてより厳しい問いを投げかけるための枠組みと自信を与え、監査を促し、長年必要とされてきたセキュリティ投資の資金確保にもつながると考えている。

DeFioreはまた、ガバナンスの議論が従来のリスク管理を超え、継続的なサイバー・レジリエンスへと移っていくとも見ている。「取締役会や規制当局はすでに、『攻撃を防げるか？』だけでなく、『起きたときに運用を継続できるか？』も問うようになっています。」彼女は、こうした変化が、ポイントソリューションではなく、アイデンティティセキュリティ、セグメンテーション、復旧テスト、サードパーティのレジリエンスへのより深い投資を促すと考えている。

AIエージェントが脅威の状況を再形成する

しかし、同じAI技術が脅威の状況も変えている。Toalは、初の大規模なAI支援サイバー攻撃を記録した最近のAnthropicのレポートを、早期警告のサインとして挙げる。「攻撃者は、多くの企業よりもAIエージェントを自分たちの目的のために使うことに注力するはずです。というのも、一般に企業はAIエージェントの採用がまだ非常に遅いからです。」

これに対しToalは、組織は人間のユーザーに適用するのと同じ厳格さで、自組織のAIエージェントを保護する必要があると言う。「社内AIエージェントをアイデンティティとして扱い、何にアクセスしているか、いつ実行されるか、その振る舞いが妥当かを監視しなければなりません」と彼は言う。そうした転換がなければ、攻撃者が容易に悪用できるツールをネットワーク内で解き放つリスクがあると警告する。

ChallengerのCISOであるKatie Paytenも、エージェント型AIの台頭がアイデンティティの攻撃対象領域を根本的に拡大すると同意する。「境界はもはや外部境界だけではありません。アイデンティティが境界です。」彼女は、組織がAIエージェントを社内に展開するにつれ、ガバナンスは人間のユーザーを超えて拡張されなければならないと付け加える。「エージェントが何にアクセスできるのか、どう意思決定しているのかを把握し、その責任を負うことが不可欠になります。」

AIの統合がさらに進むにつれ、これらのシステムが依存する機微データは「ますます魅力的な標的」になり、AIを活用した攻撃手法が「脅威の状況に占める割合を増やしていく構えだ」と、JaggaerのCISOであるMichael Garvinは述べる。その結果、彼はデータセキュリティ・ポスチャ管理の重要性も高まると考えている。「AIは大量の高品質で機微なデータに依存するため、組織はそのデータがどのようにアクセスされ、分類され、保護されているかについて、より良い可視性が必要になります。」

KPMGのパートナーでサイバーセキュリティのミッドマーケット責任者であるGergana Winzerにとって、AIの真の脅威は規模だけでなく自律性だ。彼女は、AI主導の攻撃が標的選定や実行の判断を自ら下すようになり、人間の関与が減っていくと警告する。「今日では、企業側だけでなく犯罪者側でも、あらゆることが自動化できます」と彼女は言い、たとえばAI搭載ドローンを通じて、AI支援の脅威がデジタル領域を超えて物理世界へ拡張し得ることへの疑問を投げかける。

セキュリティチームは可視性を統合し、対応を自動化する

2026年が世界のセキュリティ業界にとって他に何を意味し得るかを問われ、Ramsay HealthcareのCISOであるManal Al-Sharifは、AIがテレメトリを単一のビューに統合するうえで重要な役割を果たすと考えている。「すべてを取り込めば、トリアージと優先順位付けが容易になります」と彼女は言う。「単一の視点があるということは、同時にすべてを相関できるということなので、どこが最も露出しているかを把握できる…［そして］それらの脅威がインシデントになる前に分かるのです。」

Garvinは、AIがより深く組み込まれるにつれて、SOC内のセキュリティ戦略が進化すると見ている。「最大の変化は、防御的なセキュリティ運用へのAIのより深い統合でしょう。組織はAIモデルとデータパイプラインの保護への投資を増やし、従来のアプリケーションに適用してきたのと同じ厳格さでAIシステムを評価するために、ペネトレーションテストや敵対的テストのアプローチを進化させることになります。」

LRMGのCISOであるNadia Veeran-Patelは、これがインシデント対応のワークフローを再形成する様子をすでに現場で目の当たりにしている。「私たちのアナリストは、アラートとして届くインシデントを個別に見ていました。しかしAIがそれらを集合としてまとめると、突然、それらのアラートが実はより大きな何かにつながった一連の出来事だと気づくのです。」

DeFioreも、セキュリティチームの日々の運用方法が根本的に変わると見ている。2026年には、彼女はチームがアラートへの反応に費やす時間を減らし、自動化、より良いデータ、ITおよびビジネスパートナーとのより緊密な統合を活用して摩擦を減らし意思決定を加速することで、予測とイネーブルメントにより多くの時間を割くことを望んでいる。

彼女は、同じくらい重要なのは人材と文化への継続的な投資だと付け加える。「テクノロジーは急速に進化しますが、レジリエントな組織は、十分に訓練され、権限を与えられ、共通の使命に整合したチームによって築かれます」と彼女は言う。「リスクのオーナーシップと意思決定に関する明確さを作ることは、私たちが導入するどんなツールと同じくらい重要です。最終的に成功とは、イノベーションを可能にし、混乱に耐え、取締役会から最前線まで組織のあらゆるレベルで信頼を得るセキュリティプログラムの姿です。」

Toalは、2026年にはAI主導のオーケストレーションが現代SOCの決定的な特徴になると予想している。AIが侵害されたエンドポイントを隔離し、悪意あるIPをブロックし、ランサムウェアをリアルタイムでロールバックし、攻撃者の経路をマッピングすることが増えるためだ。「平均対応時間は大幅に短縮されるでしょう。インシデントへの対応に何時間もかかるのではなく、うまくいけば数秒以内に対応を開始でき…［そして］適切に対処できるようになります。」

自動化の進展の中で、中小企業（SME）が主要標的になる

Winzerは、2026年はSMEがランサムウェアの主要標的になるという決定的な転換点になると付け加える。2025年版Verizonデータ侵害レポートによれば、ランサムウェアは世界全体の侵害の44%を占め、SMEは被害者の割合が不釣り合いに高かった。

「なぜか？ いまや彼らは簡単だからです…理屈としては、セキュリティ成熟度が限られており、停止を吸収できないため、政府が『払うな』と言っていても、結局［身代金を］支払ってしまうのです。しかし、適切な復旧計画を整える予算がないので、交渉するのは本当に難しいのです。」

Winzerは、AI主導の偵察がこの傾向を加速させていると警告する。「今日のAIは非常に有能です。ボタンを押すだけで、数秒のうちに非常に大きな被害を素早く与えられます。」ミッドマーケット向けMSSPのカバレッジのギャップが「必ずしも十分ではない」ことと相まって、攻撃者がSMEを狙うのは非常に容易になるという。

Veeran-Patelも、犯罪者の戦術が同様にエスカレートしているのを見ている。「私たちは、攻撃者が日常的に、いわゆるトリプル・エクストーションを用いるのを見てきました。これはデータ暗号化、データ漏えい／恐喝だけでなく、顧客、規制当局、ベンダーといった第三者も利用して、被害者に身代金支払いの圧力をかけるものです。」

それでもWinzerは、ベンダーがミッドマーケット向けにより適合したソリューションを提供し始めることに慎重ながらも楽観的だ。「以前はそうではありませんでした。今は、ここが巨大な標的であり、サービスを提供する機会でもあると気づき始めています。」

国家主体の活動が激化する中、サプライチェーンは脆弱なまま

Winzerは、重要インフラを主要なサイバー戦場と見ている。IT/OTの融合、クラウド接続された制御システム、そして部分的なセグメンテーションが存在していても露出したままのリモートアクセス経路により、運用環境は「はるかに到達しやすい」と彼女は言う。

Paytenは、組織が拡大するサードパーティおよびSaaSプロバイダーのエコシステムに依存するにつれ、データリスクが複雑なサプライチェーンの中にますます隠れやすくなっていると警告する。その依存は、静かに露出を増幅させるという。「私たちは非常に多くのサードパーティを使っていて、そのサードパーティは自分たちのサードパーティを使う。彼らは第四者になっていくのです」と彼女は言う。

課題は、契約時点でベンダーを評価することだけではなく、機微データが最終的にどこに存在するのかについての可視性を維持することだ。「説明責任を外注することはできません」とPaytenは言う。「データの所有者はあなたのままです。」

Winzerはまた、医療機関や地方自治体も、低いサイバー予算、機微な住民データ、そして停止コストの高さにより、高リスク標的であり続けると付け加える。「以前［攻撃者］は現金だけを狙っていました。しかし今は評判被害を狙っています。なぜなら、それが組織により早く支払わせるからです。」

Veeran-Patelは、国家主体からの圧力も強まると見ており、地政学的対立がますますサイバー空間で展開されていると警告する。「サイバー戦争は現実です」と彼女は言う。「戦争はもはや地上の兵士が前線で戦う形ではなくなるでしょう。ボタンで戦われる可能性が高いのです。」彼女の懸念は、多くの政府が、敵対的アクターによって発展途上国の重要インフラがすでに停止に追い込まれている兆候があるにもかかわらず、必要な緊急性をもってリスクに向き合っていないことだ。

ベンダーはセキュア・バイ・デザインの製品を提供しなければならない

Al-Sharifは、2026年は業界が長らく見過ごされてきた真実――悪意のない内部者が主因ではない――に向き合う年になると考えている。「私の問題はテクノロジーの作り手にあります」と彼女は言う。「彼らは今でも、ブレーキも鍵もシートベルトもない車を私に渡してくる。私に売りつけ、私が権利を放棄するよう署名させる方法を見つけるのです…私の問題は、欠陥のある技術を作ったことについて、テクノロジーの作り手が責任を問われる必要があるということです。」

彼女は、インシデントが弱い認証や時代遅れのアクセス制御にさかのぼるケースが続くにつれ、安全でないデフォルト設定は立ち行かなくなると予測する。問題は特に医療で顕著で、接続機器がいまだにデフォルトパスワードのまま届き、パッチ適用が保証の無効化につながるためだという。「生命維持装置をそれらに接続する前に、その機器がどれほど安全かを測定する方法があることを政府に確保してほしいのです。」

Paytenも、安全でないデフォルト設定や、十分に保護されていない接続機器への懸念を繰り返す。ルーターからスマート家電まで、デフォルト資格情報や弱い設定が依然として広く残っていると彼女は指摘する。「ルーターにデフォルトパスワードを設定したままの人がまだいます…そして今や接続機器は非常に多いのです。」

今こそポスト量子暗号への備えを始める時だ

Insignia Financialでサイバーセキュリティ戦略・ガバナンスの責任者を務めるZoe Hearnは、顧客、規制当局、政府からの期待の高まりが、組織にポスト量子時代への備えでより能動的な役割を取らせる方向に押していると言う。彼女は、新たに登場する標準に単に準拠するだけでは不十分であることを指摘する。

「量子耐性のない暗号が2030年までに段階的に廃止される予定である以上、今こそ将来に備えたセキュリティ基盤に投資する時です」と彼女は言う。Hearnにとって、この移行は技術的な底上げだけでなくリーダーシップを要求する。量子リスクがますます取締役会レベルの議題になっているからだ。

Astrix SecurityのレジデントCISOで、McDonald’sおよびT-Mobileの元CISOであるTimothy Youngbloodも同じ懸念を共有する。彼は、先進的な企業が、技術が主流として到来することに備えて量子セキュリティの棚卸しを始めると見ている。「より先進的な企業は、自社の量子セキュリティのギャップを評価し、それに対処するために必要なパートナーは誰かを検討し始めるでしょう」と彼は言う。「これは別のY2Kになり得ます。ゆっくり進むY2Kです。もちろん、量子が主流になったときに不意を突かれる人は出ますし、それはやって来ます。戦略が何かを評価する時です。」

Toalは、取締役会もまもなく量子リスクにより注意を払うようになると考えている。彼は、攻撃者が将来の復号を見越して、すでに今日の時点で暗号化データを収集していると指摘する。「AIの認知ほど前面には出ていないかもしれませんが、取締役会は長期的な問題を抱えていることに気づくと思います」と彼は言う。

彼の予測では、監査人はセキュリティレビューで量子への備えを取り上げ始め、ロードマップに組み込むことを迫るだろう。「今日の小さな侵害が近い将来に大きな問題になり得るという事実に対処していないなら、それは取締役会が向き合わなければならないギャップです。」