WEFグローバルサイバーセキュリティ展望2026：リーダーのための主要知見

世界経済フォーラム（WEF）がアクセンチュアと共同で2026年1月に発表したGlobal Cybersecurity Outlook 2026は、単なるレポートというよりも警鐘そのものです。92カ国、804名の有資格回答者（316名のCISO、105名のCEO、123名の他のCレベル役員を含む）から集計されたこの年次調査の第5版は、サイバーセキュリティの状況が多くの組織の対応速度をはるかに上回るスピードで加速している現実を浮き彫りにしています。

主なポイント

1. AIがガバナンスの進化速度を上回るペースでサイバーセキュリティを変革。調査回答者の94%が、2026年にAIがサイバーセキュリティ変革の最重要ドライバーになると認識しており、87%がAI関連の脆弱性を2025年を通じて最も急速に増加するサイバーリスクとしています。しかし、約3分の1の組織はいまだにAIツールのセキュリティを導入前に評価するプロセスを持っていません。AI導入のスピードとガバナンス成熟度のギャップは縮まるどころか拡大しています。
2. 地政学的な不安定さがサイバー戦略を恒久的に変化させた。66%の組織が地政学的な不安定さを理由にサイバーセキュリティ戦略を変更しており、31%の回答者が自国が重要インフラを標的とした大規模サイバーインシデントに対応できる自信が低いと答えています。サイバーセキュリティ計画には、地政学リスクのモデリングが一時的な考慮事項ではなく、恒常的な要素として組み込まれるようになりました。
3. サイバー犯罪による詐欺がパンデミックレベルに。回答者の73%が、過去12カ月間に自分自身または職業上のネットワーク内の誰かがサイバー犯罪による詐欺の被害に遭ったと答えています。CEOは現在、詐欺をランサムウェアに代わる最大のサイバー懸念事項と位置付けています。フィッシング、ビッシング、スミッシングが詐欺インシデントの62%を占め、請求書・支払い詐欺が37%で続きます。
4. サプライチェーンの脆弱性が大企業の最大の課題に。大企業の65%が、サードパーティおよびサプライチェーンの脆弱性をサイバーレジリエンスの最大の障害と認識しており、2025年の54%から増加しています。しかし、サプライチェーンパートナーとサイバーインシデントのシミュレーションを実施しているのはわずか27%、サプライチェーンエコシステムを包括的に把握しているのは33%にとどまります。リスク認識とリスク管理の間の可視性ギャップは依然として危険なほど広がっています。
5. 大企業と中小企業のレジリエンス格差が拡大。現在、19%の組織が「要件を上回るサイバーレジリエンス」を報告しており、2025年の9%から倍増しています。一方で、17%はいまだにレジリエンスが不十分と回答し、その85%は重要なサイバーセキュリティスキルも不足しています。中小企業は大企業に比べて2.5倍もレジリエンスが不十分と答える傾向があり、サイバーセキュリティは資金力のある組織にとって構造的な優位性となりつつあります。

これらの数字は非常に衝撃的です。回答者の94%が、今年AIがサイバーセキュリティ変革の最重要ドライバーになると回答。87%がAI関連の脆弱性を2025年を通じて最も急速に増加するサイバーリスクと認識。73%が過去12カ月間に自分自身または職業上のネットワーク内の誰かがサイバー犯罪による詐欺の被害に遭ったと報告しています。

これらは抽象的な予測ではありません。現場でリアルタイムの混乱に直面するセキュリティ専門家やビジネスリーダーの実体験です。

このレポートが実際に何を示しているのか、そして次の大規模侵害がニュースになる前に組織が埋めるべきギャップはどこにあるのかを紐解きます。

AIがエンゲージメントのルールを書き換える

レポート全体を貫く唯一のテーマがあるとすれば、それは「AIが攻撃の仕掛け方、防御の構築方法、リスク評価のあり方を根本的に変えた」ということです。そして、その変化のスピードはほぼあらゆるレベルでガバナンスを凌駕しています。

レポートでは、AIの影響を3つの相互に関連する側面で捉えています。第一に、AIの統合によって従来のセキュリティコントロールでは対応しきれない形で攻撃対象領域が拡大しています。第二に、防御側もAIを活用して検知・インシデント対応・反復的な分析業務の自動化を進めています。第三に—これこそが最も警戒すべき点ですが—攻撃者もAIを用いて、かつてない精度で攻撃の規模と巧妙さを高めています。

良いニュースとしては、組織がAIセキュリティへの対応を本格化し始めている点です。AIツールのセキュリティ評価プロセスを持つ組織の割合は、2025年の37%から2026年には64%へとほぼ倍増。導入前にAIツールを定期的にレビューする組織も40%に達し、ガバナンスの成熟が見て取れます。

一方で、約3分の1の組織はいまだにAIセキュリティを検証するプロセス自体を持っていません。攻撃者が生成AIを使ってフィッシングやディープフェイク、産業規模の偵察を実行している現状で、これは極めて大きな死角です。

Kiteworksの視点から見ると、このギャップは機密コンテンツ通信に関する重要な真実を示しています。組織が機密データを処理・分析・共有するために導入するAIツールは、他のインフラと同等の厳格なガバナンスが求められます。生成AIが機密コンテンツ—たとえばコミュニケーションの下書き、法的文書の要約、財務データの処理—を扱う場合、そのデータがどこに行き、誰がアクセスでき、どのようなガードレールで漏洩を防いでいるのかを明確に把握する必要があります。だからこそ、機密データの流れを一元管理・追跡・保護するプライベートデータネットワークのアプローチが、AI導入加速の中で不可欠となるのです。

地政学がサイバー戦略に恒久的に組み込まれた

レポートは、地政学的な不安定さが一時的な逆風ではなく、サイバーセキュリティの風景における恒久的な要素であることを明確にしています。現在、64%の組織が地政学的動機によるサイバー攻撃をリスク軽減戦略に組み込んでおり、66%が地政学的な不安定さを理由にサイバーセキュリティ戦略を変更しています。

特に注目すべきは「信頼格差」です。重要インフラを標的とした大規模サイバーインシデントへの自国の対応能力に自信がないと答えた回答者は31%で、前年の26%から増加。地域差も顕著で、中東・北アフリカでは84%が自国のサイバー対応力に自信を示す一方、中南米・カリブ海地域ではわずか13%にとどまります。

大企業は、脅威インテリジェンスへの投資や政府機関との関係強化で対応しています。従業員10万人超の組織の70%が国家レベルの脅威インテリジェンスへの注力を強化しているのに対し、従業員1,000人未満の組織では30%にとどまります。グローバル企業はグローバルな攻撃対象領域を持つため当然ですが、その分、中小企業はより無防備かつ孤立しやすい状況に置かれています。

主権の観点も強まっています。レポートでは、欧州の自治体や連邦機関が外国テクノロジープロバイダーへの依存を減らすべく、主権型または地域管理型クラウドへの移行を進めている事例が紹介されています。これは単なる規制コンプライアンスのパフォーマンスではなく、システムだけでなく、その背後にあるエコシステムの地政学的信頼性を再評価している動きです。

Kiteworksにとって、この傾向はセキュアなコンテンツ通信を支えるゼロトラスト・データ交換モデルの有効性を裏付けるものです。異なるデータ主権要件が存在する複数の法域で事業を展開する場合、地理に関係なくデータレジデンシーを強制し、一貫した暗号化とアクセス制御を適用し、送受信・アクセスされたすべてのファイルの完全な監査証跡を提供するインフラが必要です。WEFが指摘する地政学的な断片化は今後も続くため、組織は各国で規制や脅威の状況が異なる世界を前提に備える必要があります。

サイバー犯罪による詐欺が一般化

レポートで最も衝撃的な発見の一つは、サイバー犯罪による詐欺の蔓延です。回答者の73%が、過去1年以内に自分自身またはネットワーク内の誰かが詐欺被害に遭ったと答えています。最も多い攻撃経路はフィッシング、ビッシング、スミッシングで62%、請求書・支払い詐欺が37%、個人情報盗難が32%で続きます。

これは企業だけの問題ではなく、社会全体の課題です。サハラ以南アフリカでは82%、北米では79%が詐欺被害を報告しています。

この問題に対するCEOとCISOの認識の違いも顕著です。CEOは現在、サイバー犯罪による詐欺を最大の懸念事項とし、2025年までトップだったランサムウェアを上回りました。一方、CISOは依然としてランサムウェアを主な脅威と見なし、サプライチェーンの混乱が2位を維持しています。この違いは、取締役会とセキュリティオペレーションセンターがリスクをどう捉えているかの視点の違いを反映しています。CEOは財務損失やブランド毀損に注目し、CISOは業務の中断や技術的な脆弱性を重視しています。

レポートではさらに、詐欺の現場で自律型AIエージェントが攻撃全体を実行するという新たな動向も指摘されています。2025年11月、Anthropic社がAIを用いたサイバースパイ活動を公表し、偵察から侵害、データ流出までAIが全工程を担う初の事例となりました。これにより、主要テクノロジー企業や政府機関など高価値ターゲットへのアクセスが確認されています。

Kiteworksの視点では、この詐欺の激増は、組織が機密コンテンツの入出力を厳格に管理する必要性を浮き彫りにしています。請求書詐欺、支払い詐欺、ビジネスメール詐欺はいずれも、組織が外部とファイルや通信を共有する際の脆弱性を突いています。メール、ファイル共有、マネージドファイル転送、Webフォームを統合管理し、デジタル著作権管理、多要素認証、リアルタイム異常検知を備えたプラットフォームによって、詐欺師が悪用する隙間を塞ぐことができます。

サイバーレジリエンス：改善傾向だがスピードが追いつかない

レポートは、組織のレジリエンスが徐々に向上していることを示しています。現在、19%の組織が「要件を上回るサイバーレジリエンス」を報告しており、2025年の9%から倍増しています。しかし、17%はいまだにレジリエンスが不十分と答えており、資源が豊富な組織とそうでない組織の格差は依然として大きいままです。

高いレジリエンスを持つ組織とそうでない組織を分ける要素は特に示唆に富んでいます：

• AIセキュリティレビュー：高レジリエンス組織は、AIツールのセキュリティを定期的にレビューする割合が3倍以上高い（71%対20%）。
• 調達プロセスへの統合：調達判断にセキュリティ部門を関与させる割合が大幅に高い（76%対53%）。
• サプライヤー評価：サプライヤーのセキュリティ成熟度を評価する割合が高い（74%対48%）。
• インシデントシミュレーション：エコシステムパートナーとサイバーインシデントのシミュレーションを行う頻度が高い（44%対16%）。
• 取締役会の関与：高レジリエンス組織の99%が取締役会レベルでサイバーセキュリティに関与しているのに対し、不十分な組織では87%にとどまる。

スキル面の課題も深刻です。レジリエンスが不十分な組織の85%が、重要なサイバーセキュリティスキルや人材も不足していると回答。特に脅威インテリジェンスアナリスト、DevSecOpsエンジニア、IDおよびアクセス管理スペシャリストの不足が顕著です。地域別では、中南米・カリブ海（65%）、サハラ以南アフリカ（63%）で人材ギャップが最も深刻です。

これらの数字が特に懸念される理由は、サプライチェーンの観点です。レポートによれば、大企業の65%がサードパーティおよびサプライチェーンの脆弱性を最大の課題と認識しており、2025年の54%から増加しています。しかし、サプライチェーンパートナーとサイバーインシデントのシミュレーションを行っているのは27%、サプライチェーンエコシステムを包括的に把握しているのは33%にとどまります。

Kiteworksが最も深刻な断絶を感じるのはここです。組織がサプライヤー、法律事務所、財務アドバイザー、政府機関など第三者と機密コンテンツを共有するたびに、その攻撃対象領域はパートナーの環境にも拡大します。誰がどのコンテンツに、どこから、どのような条件でアクセスしているかの可視性がなければ、WEFが「継承リスク」と呼ぶ、第三者のソフトウェア・ハードウェア・サービスの完全性を保証できない状態に陥ります。プライベートデータネットワークは、チャネルを問わずすべての機密コンテンツ交換を一元的に可視化し、エコシステム全体に一貫したセキュリティポリシーを適用することで、この可視性を提供します。

経済的インパクトはかつてないほど深刻に

レポートは、サイバーセキュリティの経済的側面にも鋭く切り込んでいます。英国政府の調査では、重大なサイバー攻撃による企業の平均損失は約25万ドル、英国全体の経済損失は年間約194億ドルに上ると推計されています。世界銀行によれば、主要なサイバーインシデントを減らすことで、発展途上国の一人当たりGDPが1.5%押し上げられる可能性も示されています。

最も具体的な事例はジャガー・ランドローバーです。2025年8月のサイバー攻撃で同社のグローバル生産が5週間停止、5,000社以上のサプライヤーに影響が及びました。直接的な損失は2億6,000万ドル、売上は25%近く減少、英国経済全体で25億ドルの損失が発生。最終的に英国政府はサプライチェーン安定化のため20億ドルの融資保証を行いました。

これらの数字は、サイバーセキュリティがITコストセンターという時代遅れの認識を完全に覆します。サイバーセキュリティは、国家競争力、サプライチェーンの安定、企業価値に直結する経済的な必須事項です。

今後の展望：新たな脅威ベクトル

レポートは、今はまだ静かに進行しているものの、2030年までにサイバーセキュリティの主戦場となるであろう複数の脅威ベクトルを指摘しています：

• 自律型システムとロボティクス：機械による意思決定が数秒で安全性を左右する新たなサイバー・フィジカルリスクを生み出す。
• デジタル通貨：経済の安定を支える重要インフラとして成熟しつつある。
• 量子技術：理論上の懸念から現実的な暗号脅威へと進化。NISTのポスト量子暗号規格もすでに公開され、移行期限が迫っている。
• 宇宙・海底資産：宇宙資産をサイバーリスク対策に含めている組織は15%、海底ケーブルの脆弱性を考慮しているのは18%にとどまる。
• 気候変動：デジタルシステムが依存する物理インフラを混乱させることでサイバーリスクを増幅。

これらすべてに対する積極的な備えのための時間は残り少なくなっています。WEFのデータによれば、あまりにも多くの組織がまだ着手すらしていません。

まとめ

Global Cybersecurity Outlook 2026は、極度のプレッシャーにさらされるエコシステムの現状を描いています。AIは攻撃と防御の両方を加速させ、地政学が脅威の風景を恒久的に変え、詐欺はパンデミックレベルに拡大。サプライチェーンは依然として危険なほど不透明で、サイバーレジリエンスのある組織とそうでない組織の格差は広がる一方です。

レポートで最も重要かつシンプルな発見は、「被害を完全に回避できる組織が生き残るのではなく、ガバナンス・可視性・協調インフラを構築し、ショックを吸収して迅速に回復できる組織が生き残る」ということです。

Kiteworksにとって、機密コンテンツの保護は単なる侵害防止ではなく、不可避な侵害が発生しても組織が機能し続けられる運用レジリエンスの構築こそが本質だと再認識させられます。そのためには、機密コンテンツ通信をガバナンスされたプラットフォームに統合し、ゼロトラスト原則をすべてのやり取りに適用し、規制当局・取締役会・パートナーが求める監査証跡を維持することが不可欠です。

本レポートが描くサイバーセキュリティの状況は、今後も決して単純にはなりません。その現実を認識し、適切な備えを進める組織こそが、次の危機が訪れたときにも生き残るのです。