2025年、サイバーセキュリティ業界は歴史的なプレッシャーに直面しました。AIツールの導入は働き方を変革しましたが、同時に新たなサイバーリスクをもたらしました。サイバー犯罪グループは巧妙な手口で主要産業を混乱させ、企業や政府当局は運用回復力とサイバーインシデントの長期的な財政的影響管理に重点を移すことを余儀なくされました。
ここでは、2026年のサイバーセキュリティを形作る5つの主要なトレンドをご紹介します。
1. AIガバナンスとガードレールが最前線に
この1年で人工知能の採用は予想をはるかに超える速さで進みました。米国と中国を筆頭に主要経済国間で国際的なAI開発競争が始まっています。企業はAIを利益モデルに組み込もうと急いでいますが、同時に、AIプログラムが安全であり、悪意のある攻撃者に企業データの流出、顧客の搾取、サプライチェーンの侵害に利用されないようにするための適切なガードレールやガバナンス構造が確立されているかという懸念も高まっています。
PwCのサイバー・データ・テクノロジーリスク担当副リーダーであるモーガン・アダムスキー氏は、「組織がAIを採用するスピードと、ガバナンスフレームワークの成熟度にはギャップがある」と指摘しています。「多くの組織は生産性や効率性を向上させるためにエージェント型AIや生成AIを試していますが、多くの場合、セキュリティの観点からのガードレールが整備されていません。」
AIは急速に、世界中の企業におけるビジネスサイバーリスクのトップの一つとなりました。アリアンツ・コマーシャルの1月のレポートによると、AIリスクは過去1年でビジネスリスクの懸念事項の10位から2位に急上昇しました。2026年にはAIリスクが組織に、AIプログラムの適切なパラメータとセキュリティの確立に注力させるでしょう。
2. サイバーセキュリティ規制の変革が情報開示を形成
サイバーセキュリティに関する規制環境は、この1年で大きく変化しました。トランプ政権は、バイデン政権がサイバーリスクを規制した方法と比較して、監視と実施の両方において、よりニュアンスのあるアプローチへと転換しました。これは、情報セキュリティ分野における監視がなくなるわけではなく、市場原理がより機能する余地を与えることを意味します。
Rストリート研究所のサイバーセキュリティ・新興脅威担当フェローであるハイマン・ウォン氏は、「政府は、広範な規制拡大を均一に引き戻したり追求したりするのではなく、動的な脅威状況に対応して、より明確な期待、調整、または執行がどこで必要とされるかを評価し続けている」と述べています。
これは、民間部門が大部分を所有し、すでにサイバーリスクが増大している重要インフラにおいて特に顕著です。2025年11月の証券取引委員会(SEC)による、SolarWindsに対する画期的な民事詐欺訴訟の取り下げは、ビジネスコミュニティにとって歓迎すべき進展と広く見なされました。この訴訟は、2020年のSunburstサイバー攻撃に至るまでの数年間、SolarWindsが投資家に対して既知のサイバーリスクを開示しなかったと主張していました。連邦判事は以前、SECがディプレッション時代の法律を同社のセキュリティ管理策の不履行とされる事案に誤って適用したとして、ほとんどの申し立てを却下していました。
この法的解決は、CISOコミュニティにとっても勝利と見なされました。マクダーモット・ウィル&シュルテのパートナーで、元ニューヨーク南部地区連邦検事局複雑詐欺・サイバー犯罪部門長であるサガール・ラヴィ氏は、SolarWindsの訴訟取り下げは、企業が巧妙なサイバー脅威アクターの被害者になったことで罰せられるべきではないという認識への移行を示唆していると期待しています。また、サイバーリスクの透明性の必要性も強調しています。
ラヴィ氏は、「重点は、重要なインシデント報告書や年次報告書における追加戦略開示に関するサイバーセキュリティ開示規則の施行になるだろう」と述べています。彼は、SECがインシデント前の意思決定のレビューではなく、適切なインシデント後の開示の確保に重点を置くことを望んでいます。
3. サイバー保険が価格設定と補償の新たな段階へ
保険市場は、サイバーリスクへの対応に苦慮し、混乱の様相を呈してきました。ランサムウェアの脅威の増大や、国家関連ハッカーの台頭への懸念から、企業は長年にわたりサイバーセキュリティ保険の取得に苦労してきました。しかし最近では、世界の保険会社がサイバーリスクへのコミットメントを拡大し、NotPetya攻撃に関連する戦争除外条項に関する最近の裁判例は、補償に関するより明確な指針を提供しました。
それにもかかわらず、保険業界は米国の市場への依存と、サイバー保険の現在の保険料水準が長期的に維持可能かどうかについて疑問を呈し始めています。これは、サイバー保険市場の多角化を意味する可能性があります。リスク分析会社であるCyberCubeは9月のレポートで、米国のサイバー市場における保険契約者の大部分を大企業が占めているため、保険会社は中小企業などの新たな市場へと拡大する必要があると述べています。
専門保険会社Beazleyは昨年後半、米国市場へのコミットメントを維持すると述べましたが、サイバーセキュリティ保険の価格設定環境が弱いことを警告しました。リスク専門家によると、好ましい補償を維持するために、保険会社は現在、企業のセキュリティ対策を厳しく精査しています。
Google Cloudのビジネスリスク・保険責任者であるモニカ・ショクライ氏は、「少し前までは、基本的なアンチウイルスとファイアウォールがあればサイバー保険に加入できました。今日では、フィッシング耐性のあるMFA、XDR、および不変のバックアップがなければ、保険料が高くなるだけでなく、補償を受けられない可能性があります」と述べています。
4. CVEの危機は解決もパッチ適用には課題が残る
近年、セキュリティチームにとって最も喫緊の課題の一つは、広く使用されているソフトウェアで発見された重大な脆弱性を特定、優先順位付け、および修正する方法でした。これらのセキュリティ脆弱性は、重要な産業や政府機関がITネットワークを管理および保護し、運用回復力を維持するために依存しているまさにそのセキュリティツールやソフトウェアを悪用することで、ハッカーが悪意のあるサイバー攻撃を開始するために使用する入り口となることがよくあります。
昨年4月、米国政府の共通脆弱性識別子(CVE)プログラムへの資金提供がほぼ停止し、セキュリティ部門は危機に陥りました。最終的に、CISAとMitre Corp.の間で11ヶ月間の支援を維持する合意が形成され、CISA当局者は9月に将来の資金提供を支援すると約束し、追加支援策を概説するロードマップを公開しました。
CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるニック・アンデルセン氏は今月初め、「CISAは、CVEプログラムを近代化し、既知の悪用された脆弱性の採用を拡大し、設計によるセキュリティ原則の採用を推進することで、脆弱性の蔓延を減らすためにリーダーシップを発揮しています」と述べています。「グローバルなサイバーセキュリティコミュニティと協力し、CISAは脆弱性データの品質とグローバルなサイバーセキュリティ回復力を強化することを目的とした、適切に管理され、信頼され、応答性の高いCVEプログラムを提供するために取り組んでいます。」
ソフトウェアセキュリティ専門家は、CVE資金調達の危機は、業界が安全でないソフトウェアに最終的に対処するための積極的な対策を開発するための警鐘であると述べています。Sonatypeの共同創設者兼CTOであるブライアン・フォックス氏は、「組織は、各レコードが実際に重要なこと、つまり悪用可能性、到達範囲、実際の依存関係グラフにおける普及率、および安全なアップグレードパスがあるかどうかを反映するように、CVEの上にマルチソースのコンテキスト認識インテリジェンスを重ねる必要があります」と述べています。
5. 運用回復力がサイバー攻撃対策の新たな合言葉に
2025年の大部分を通じて、世界中の企業はサイバー回復力における重大な変化に直面することを余儀なくされました。サイバー脅威グループは、もはやデータ流出を主要な目的とするだけでなく、事業運営に大規模な混乱を引き起こすことに重点を置くようになりました。英国のデパートMarks & Spencerへのソーシャルエンジニアリング攻撃、United Natural Foodsへのハッキング、そして自動車メーカーJaguar Land Roverへの壊滅的なハッキングは、2025年にサイバー攻撃が生産能力だけでなく、主要なサプライチェーンをいかに簡単に混乱させるかを示す具体的な例となりました。
セキュリティ研究者らは、これらのサイバー攻撃が、金銭的利益のために主要産業に最大の圧力をかけるという、脅威アクターによる意図的な戦略の一部であると述べています。Palo Alto NetworksのUnit 42のシニアバイスプレジデントであるサム・ルービン氏は、「過去1年間で、金融を目的としたグループ(Muddled Libra (Scattered Spider) など)が単純なデータ窃盗を超えて、意図的な運用妨害へと移行したという、攻撃者のプレイスタイルにおける根本的な変化を目の当たりにしました」と述べています。「洗練された『フィッシング詐欺』を介して人間の要素を悪用し、ヘルプデスクを操作することで、これらのアクターは、企業ネットワーク全体を麻痺させ、事業を停止させて、恐喝のてこを最大化できることを証明しました。」
企業ボードやCスイートの幹部は、サイバーリスクが全体的なビジネス回復力戦略の重要な要素であることを確実にすることを求められており、専門家は、セキュリティリーダーが壊滅的なITまたはセキュリティイベントに直面した場合に、事業を維持し、サプライチェーンを保護する方法に関する具体的な計画を策定する任務を負うことになると述べています。
2026年は、技術の急速な進化と複雑化する脅威環境の中で、企業がサイバーセキュリティ戦略を再構築する重要な年となるでしょう。
元記事: https://www.cybersecuritydive.com/news/5-cybersecurity-trends-2026/810354/