従来の常識では、絶えず進化するサイバーセキュリティの環境において、攻撃者と防御側は永続的で終わりのない死闘に縛られているとされます。脅威の高度化が進む一方で、それに対応して企業や政府の対策も変化していく――。この対決は2026年も続き、AIであらゆるものが強化される流れによって、いっそう興味深いものになっています。
では、私たちが「想定していない」ことは何でしょうか。Dark Readingは、この状況の中でセキュリティチームが注目すべき、より最先端の動向について、業界ウォッチャーや脅威インテリジェンスの専門家に幅広く意見を求めました。ランサムウェアの収益性低下、企業の説明責任や規制枠組みの大きな変化、韓国で大規模データ侵害に対してCEOが責任を負う動き――こうした、見落とされがちな注目点は氷山の一角にすぎません。
回答をまとめた本稿をぜひお読みください。
ガレージAPT
AI駆動のツールにより、リソースが乏しい小規模グループや国家からも高度なサイバー攻撃が出現するようになります。すでに、「バイブコーディング」されたマルウェアが出現していますが、その有効性はまちまちです。
「LlamaやMistral、そしてそれらの派生のようなオープンソースモデルが技術的障壁を取り払いました。最先端の能力にアクセスするのに、もはや国家支援の研究所は必要ありません。」
— Christine Gadsby(BlackBerry 製品セキュリティ担当副社長)
データ大使館が主流に
主権国家がホストするデータバンクが、政府がインフラとデータの管理を優先するにつれ、クラウドベースの信頼に取って代わるようになります。
「公共部門において、AIガバナンスは単なるコンプライアンスのチェック項目ではなく、主権の問題です。世界中の政府は、アルゴリズムに説明責任を外注できないことに気づき始めています。AIが市民に影響する意思決定を行う、あるいは影響を与える場合、モデルの出自から各プロンプトと出力に至るまで、完全な追跡可能性が必要です。つまり、入力と出力のデータ損失防止、判断に対する人間の裁定、そして誰かがAIとやり取りする際の透明な開示が求められます。真の主権とは、データがどこにあるかだけでなく、その鍵を誰が握っているかを把握することです。」
— Bill Church(F5 CTO)
ランサムウェアの魅力が薄れる
企業が身代金の支払いを拒否するケースが増えるにつれ、ランサムウェアは攻撃者にとって収益性が低下しています。
「ランサムウェアは脅威アクターにとって、より危険で、より儲からないものになっています。来年には、防御側が実際に勝っていることを示す主要指標が数多く、決定的に現れると思います。Covewareの第3四半期ランサムウェア報告書によれば、大企業は身代金を支払う割合が低下し、身代金支払いの成功率全体も急落しています。制裁なのか、警察の取り締まりなのか、保険料なのか、何かが機能していることを示唆しています。来年のランサムウェア統計は、さらに劇的(良い意味で)になると予測します。」
— Alex Culafi(Dark Reading シニアニュースレポーター)
スタートアップ評価におけるサイバー・レジリエンス
投資家は、成長指標と並ぶスタートアップ評価の重要要因としてサイバー・レジリエンスを重視するようになります。
「投資家は、売上成長や市場ポテンシャルと並んで、サイバーリスクをスタートアップ評価の中核要因として扱うようになると見込まれます。予測では、AI駆動の脅威、アイデンティティリスク、規制要件がスタートアップの評価方法を再構築し、サイバー・レジリエンスが資金調達と長期的な存続可能性における差別化要因になるとされています。
「スタートアップは、もはや成長指標だけで評価されることはありません。サイバー・レジリエンスは取締役会レベルの差別化要因になります。投資家は強固な防御を欠くスタートアップに『サイバーリスク・ディスカウント』を適用する一方、AIネイティブなセキュリティ、コンプライアンス枠組み、アイデンティティ・ファースト戦略を運用モデルに組み込む企業を評価するようになるでしょう。」
— Melina Scotto(ベテランCISO/Mastin & Associates エグゼクティブ・バイスプレジデント兼創業者)
物理セキュリティの弱点
認定環境における物理セキュリティの脆弱性は、脅威主導のシミュレーションが義務化されない限り、重大な課題であり続けます。
「組織は、自分たちが購入して設置したアクセス制御システム が、公開ツールと情報を使って容易に複製できると気づいたとき、不意を突かれるでしょう。」
— Mark Frost(NCC Group 主任セキュリティコンサルタント)
産業ネットワークの脆弱性
ICSコントローラや安全システムを狙うランサムウェアが増加し、OTのセグメンテーションと異常検知が必要になります。
「10月には、生産ラインが停止したままの状況で、(攻撃者が)企業に支払いを迫りました。これは産業ネットワークの脆弱性と、サプライヤーや物流への連鎖的影響を浮き彫りにしました。」
— Floris Dankaart(NCC Group マネージド拡張検知・対応[XDR] リードプロダクトマネージャー)
開発者の役割の進化
開発者は「速く動いて壊せ」から転じ、AI生成コードのセキュリティを確実にする精密な専門家へと変化していきます。
「AIコードの導入によって[開発者の]役割は転換点にありますが、コードの安全性を確保するうえで人間は依然として重要な役割を担っています。」
— Becky Bracken(Dark Reading シニアエディター)
ハイブリッドワークが逆風に
ハイブリッドワークは、セキュリティ上の懸念がオフィス回帰の戦略を後押しするにつれ、支持を失っていきます。
「ハイブリッドワークはセキュリティ上の危険要因になります。かつて生産性向上の起爆剤と見なされたハイブリッドワークは、利便性ではなくセキュリティがオフィス回帰を促すことで、その輝きを失うでしょう。リモートでの侵害や管理されていないデバイスのコストが、CEOや取締役会に柔軟性の再考を迫ります。私の助言はこうです。今日からセキュリティ最優先の職場戦略の計画を始めてください。エンドポイントをロックダウンし、管理対象デバイスを徹底し、文化的な反発に備えること。この変化はトップダウンでやって来ます。」
— John DiLullo(Deepwatch CEO)
イスラエルのサイバーセキュリティ投資
地政学的緊張がサイバーセキュリティへの投資増を促し、とりわけイスラエルの技術への投資が増えるでしょう。
「主にイスラエルのサイバー市場に注力するVCとして、世界のあらゆる地域の多くの国々が、過去(そして現在でさえ)の 地政学的緊張を脇に置いて、イスラエル発のサイバーセキュリティ技術へのアクセスを得ようとしているのを見るのは非常に興味深いことでした。今後1年では、サイバーセキュリティへの継続的な投資、とりわけイスラエルのサイバーセキュリティ企業への投資が、業界で最もホットな話題の一つになると見ています。」
— Seth Spergel(Merlin Ventures マネージングパートナー)
耐量子暗号(PQC)
PQC標準と証明書の期限が迫る中、企業は暗号資産の発見と自動化に注力するようになります。
「2024年は、NISTが中核標準を確定し、Apple iMessage、Cloudflare、Google Chromeといったプラットフォームで初期の保護が表面化したことで、業界が耐量子暗号(PQC)に目覚めた年でした。企業は2025年に追いつくため、PQC移行と証明書の有効期間短縮という二重の圧力に直面し、90%が暗号インベントリと評価に予算を割くに至りました。2026年は、資金が確保され、3月の重要な証明書期限が近づく中で、行動が中心になります。企業は、実地の暗号資産の発見、PQCパイロット、そして真の俊敏性のための完全自動化へと移行するでしょう。」
— Tim Callan(Sectigo 最高コンプライアンス責任者)
「明日の最大のセキュリティ失敗は『弱い暗号』ではなく、暗号アジリティの欠如です。いま導入されているシステムは、量子時代の攻撃が到来しても稼働し続けます。しかし多くは、進化できない固定機能のセキュリティの上に構築されています。」
— Seth Reinhart(Altera セキュリティ市場リード)
「2026年には、コントロールが信頼の新たな基盤になります。政府や重要インフラ運用者は、自律性のために設計されたプラットフォーム――インフラ、鍵、データが完全に自らの権限下に留まるもの――を好むようになるでしょう。」
— Christine Gadsby(BlackBerry 製品セキュリティ担当副社長)
現代SOCの進化:「単一ペイン」に代わる「割れたガラス」
セキュリティオペレーションセンター(SOC)は、AIを活用してリアルタイムのセキュリティテレメトリを取り込む、分散型でAPI駆動の環境へと変貌します。
「2026年までに、SOCはもはや物理的な部屋(画面とブラウザタブが並ぶ場所)ではなく、持ち運び可能なコード、データパイプライン、自律エージェント、そしてそれらすべてを構築し、動作を確認する人間からなる分散メッシュになります。この『割れたガラス』アーキテクチャは、『単一ペイン』という虚構(率直に言って、そもそも存在しなかった)を、アイデンティティ、資産、セキュリティテレメトリをリアルタイムで結び付けるナレッジグラフに置き換えます。これにより、『コーヒーを買って待つ』ログ検索から、『5-Hour Energyを一気飲みして』即座に、機械が行動できる高コンテキストの結果へと飛び込む形に変わります。
「主要なインターフェースは仮想の『ワークベンチ』になります。つまり、クラウド上で動作し、AIを多用する、ヘッドレスでAPI駆動(そしてMCP!)の環境です。最終的に、現代のSOCはエンジニアリング工場として機能し、そこでの『製品』は、特定ベンダーに依存しないレジリエントな検知ロジックであり、プロプライエタリなベンダーデータベースではなくパイプライン上に存在します。」
— Anton Chuvakin(Google Cloud シニアスタッフ セキュリティコンサルタント)
AIバブルは崩壊へ――その後回復
AI市場は調整局面を迎えますが、AIはサイバーセキュリティや他産業への浸透を続けます。
「AIバブルは確かに崩壊するでしょう。AIそのものが悪いアイデアや絵空事だからではなく、市場の根拠のない熱狂は常に、価格やバリュエーションなどの調整局面に先行するからです。しかし、ドットコム崩壊後にインターネットが生き残り、繁栄したのと同様に、AIも幻滅/落胆の谷から抜け出して前進し、もちろんサイバーセキュリティを含め、経済のさらに多くの領域へ浸透していくでしょう。
「サイバー領域で最初かつ最も明白な『AI化』の対象はSecOpsです、そしてSOC環境にAI機能を追加するために巨額の資金が投じられるでしょう。ただし、それによってサイバーインシデントの件数や深刻度が減ることは決してありません。ほとんどのエクスプロイトは、何年、場合によっては何十年も前からある脆弱性を利用し続け、単にパッチが当てられていないだけなのです。」
— Rik Turner(Omdia サイバーセキュリティ担当チーフアナリスト)
サイバーの「炭鉱のカナリア」としての韓国
韓国ではCEOが大規模データ侵害の責任を負うようになっており、サイバー健全性に対する説明責任が世界的に変化していることを示しています。
2025年には、3人の韓国のCEOが大規模なデータ侵害を受けて責任を受け入れました。これは容認できない規模のデータ損失であり、事業の存続を脅かす脅威(Korea Telecom、South Korea Telecom、そしてEC大手Coupang)を意味します。各CEOは、データと信頼の喪失について最終責任を負いました。通信大手LG UplusのCEOの去就は、最近のサイバー攻撃の被害を受けた後も不透明なままです。
— John Hughes(Enea ネットワークセキュリティ責任者)
関連:CISOは失敗によりキャリア上の影響を受けるようになり、サイバーセキュリティはC-suite全体で共有される責任になります。
「歴史的に、侵害を経験したCISOは、実戦経験のあるリーダーとしてむしろ望ましい候補者になることが多くありました。2026年後半には、この物語が変わります。判断ミスや投資不足に起因する侵害は、もはや許されなくなるでしょう。説明責任は技術的能力を超え、戦略的先見性とガバナンスにまで及びます。
「CISOは、キャリアの停滞を含む、失敗に対する現実的な結果に直面します。組織が求めるのは、反応的な英雄的対応ではなく、透明性、能動的なリスク管理、そして実証可能な成果です。これは組織にとって何を意味するのでしょうか。サイバーセキュリティはC-suite全体で共有される責任になります。より強固な規制枠組み、そして一部の法域では経営層の個人責任が期待されます。CISOの役割は『技術の守護者』から『ビジネスリスクのリーダー』へと進化するでしょう。」
— Gary Cannon(NCC Group 運輸プラクティス リード)
翻訳元: https://www.darkreading.com/threat-intelligence/cyber-expectations-2026-grab-bag-risk
