AIリスク、ついに予算化

自分たちが「知らないことを知らない」状態で生まれる、ある種の組織的な自信があります。しかしサイバーセキュリティの世界では、その自信は高くつきます。2026年Thalesデータ脅威レポートは、20カ国3,120名の回答者を対象にした調査をもとに、どれだけ多くのことが未だ「闇の中」にあるのかを明らかにしています。

主なポイント

1. AIセキュリティがついに独立した予算枠を獲得。2026年Thalesデータ脅威レポートによると、AIセキュリティ専用の予算を持つ組織は前年の20%から30%に増加しました。この変化は重要です。なぜなら、同じ組織の59%がディープフェイク攻撃を経験し、48%がAI生成の誤情報による評判被害を受けているからです。AIリスクを一般的なセキュリティ予算で賄う場合、AI特有のインシデント発生時に必要なリソースや明確な責任体制が確保できません。
2. クラウドは単なる攻撃対象の一部ではなく、「攻撃対象そのもの」。Thalesレポートによれば、クラウドストレージ、クラウドアプリケーション、クラウド管理インフラが、報告された攻撃対象の上位3位を占め、それぞれ35%、34%、32%となっています。平均的な組織は2.26社のクラウドプロバイダーと89のSaaSアプリケーションを利用しており、この利用範囲は今後も拡大傾向です。同時に、攻撃者が悪用できる認証情報や統合、アクセス経路も増え続けています。
3. 暗号化のカバレッジが後退。Thalesレポートによると、2026年時点で暗号化されているクラウド上の機密データは全体の47%で、前年の51%から減少しています。クラウド利用が拡大する一方で、暗号化ガバナンスが追いついていません。機密性の高いデータと実際に保護されているデータのギャップは拡大しており、多くの組織が問題発生までその事実に気づかない状況です。
4. ツールの乱立は可視性の敵。Thalesレポートでは、77%の組織が5つ以上のデータ保護ツールを使用していることが判明。約半数は5つ以上の鍵管理システムを運用しています。その結果、テレメトリーが分断され、ポリシーの一貫性が失われ、設定ミス（侵害原因の28%で最多）が構造的に発生しやすい環境となっています。ツールが多いほどセキュリティが高まるわけではなく、むしろ責任の所在が曖昧なギャップが増えやすくなります。
5. 量子コンピュータ時代のカウントダウンはすでに始まっている。Thalesレポートによると、回答者の61%が「今データを収集し、後で量子コンピュータで復号される」ことを最大の量子関連リスクと認識しています。実際、攻撃者は今、暗号化されたデータを収集し、量子技術が成熟した時点で復号しようとしています。ポスト量子暗号アルゴリズムの評価を始めていない組織は、すでにこの問題への対応で後れを取っています。

ここ数年、AIセキュリティは「他人の車の助手席」に座っているような扱いでした。多くの組織が既存のセキュリティ予算からAI関連施策を賄ってきたため、リスク管理も既存予算の優先順位に縛られていました。しかし今、その状況が変わり始めています。回答者の30%がAIセキュリティ専用の予算を持つと答え、前年の20%から10ポイント増加。この変化は単なる予算枠の移動ではなく、経営層がAIリスクを独立した分野として捉え始めていることを示しています。

この変化を後押しする現実的な圧力も存在します。59%の回答者がディープフェイク攻撃を経験し、ほぼ半数（48%）がAI生成の誤情報による評判被害を受けています。これらは机上演習の仮想シナリオではなく、実際の組織で発生し、現実の評判や法的リスクをもたらしています。

残る70%の組織は、依然としてAIリスクを一般的なセキュリティ予算で賄っており、AI関連のインシデント発生時に専用リソースや明確な責任体制、柔軟な予算運用ができないという構造的な不利を抱えています。今、AIセキュリティ専用プログラムを構築している組織ほど、データパイプラインの整合性やモデルアクセス制御、認証フレームワークなどの分野で体系的なアプローチを実現しやすい状況です。

クラウドは攻撃対象そのもの。数字がそれを証明。

クラウドセキュリティの議論は、設定ミスや権限管理に焦点が当たりがちですが、2026年Thalesレポートはそれらをより広い現実の中に位置づけています。クラウド資産は単なるリスク要因ではなく、主要な攻撃対象なのです。クラウドストレージが攻撃対象のトップで35%、次いでクラウドアプリケーションが34%、クラウド管理インフラが32%と、上位3つを占めています。オンプレミスインフラは、さらに下位に位置しています。

クラウド管理インフラを狙う攻撃手法も注目に値します。認証情報の窃取や漏洩（不正利用されたシークレットを含む）が、67%の回答者に主要な手法として挙げられています。サードパーティの脆弱性やAPIの露出も続きます。攻撃者は総当たり攻撃でクラウドに侵入しているのではなく、管理が不十分・過剰付与・ローテーションされていない認証情報を使い、正規の経路から侵入しているのです。

これは重要なポイントです。平均的な組織は2.26社のクラウドプロバイダーと89のSaaSアプリケーションを利用しています。すべてのアプリケーションがID管理の対象であり、すべての統合が潜在的な露出ポイントとなります。攻撃対象は単一の境界線ではなく、分散し拡大し続けるインターフェース、認証情報、データフローの網であり、継続的な可視化とガバナンスが不可欠です。

さらに、暗号化の現状も見逃せません。2026年時点で暗号化されているクラウド上の機密データは47%で、2025年の51%から減少。この4ポイントの減少は一見大きくありませんが、方向性が重要です。クラウド利用が拡大し、機密データが多様な環境に移行する中、暗号化カバレッジは後退しています。機密データと実際に保護されているデータのギャップは拡大しており、縮小していません。

ツールが多すぎて可視性が足りない

外から見ると成熟したプログラムのように見えるデータ保護体制も、実際にはそうとは限りません。複数のプラットフォーム、重層的なコントロール、複数のセキュリティベンダー。2026年Thalesレポートは、その内側を詳しく見ることで、必ずしも安心できない実態を明らかにしています。回答者の77%が5つ以上のデータ保護ツールを使用。約半数は5つ以上の鍵管理システムを運用しています。これらは堅牢なセキュリティ体制の証ではなく、個別課題ごとに導入されたポイントソリューションの積み重ねであり、全体像を俯瞰できる仕組みがありません。

ツール乱立の弊害は予測通りです。ツールごとに異なるルールが適用されるため、ポリシーの一貫性が失われます。テレメトリーも分断され、セキュリティチームは全体像を把握できません。インシデント対応も、複数の分断されたシステムから信号を突き合わせる必要があり、単一の情報源から迅速に対応できなくなります。

データの所在に関する可視性の欠如も問題を深刻化させます。自社データの保存場所を完全に把握していると答えたのは34%のみ。66%は部分的な棚卸しや分類の不均一、機密情報の実際の所在に大きなギャップを抱えています。見えないものは守れません。発見していないものは分類できません。そして、設定ミス（侵害原因の28%で最多）は、分断された多数のツールにガバナンスが分散し、それぞれ独自の設定モデルやアクセス制御を持つことで、構造的に発生しやすくなります。

経営層と現場で異なる「侵害」の認識

2026年Thalesレポートは、組織が投資やリスクコミュニケーションを優先する上で直接影響するギャップを明らかにしています。それは、経営層と現場の従業員で「自社の侵害履歴」に対する認識が異なるという点です。CEOや社長、マネージングディレクターの78%がオンプレミス侵害の経験がないと回答。一方、全体の調査対象者ではその割合は58%に下がります。クラウド侵害についても、経営層の62%が「経験なし」と答えたのに対し、全体では54%です。

この乖離にはいくつかの要因が考えられます。ひとつは、経営層が侵害の報告から隔離されている可能性。つまり、インシデントが現場レベルで解決され、Cレベルまで届かないケースです。もうひとつは、経営層が「侵害」の定義を現場と異なる基準で捉えている可能性です。いずれにせよ、経営層と現場のセキュリティチームで脅威認識が一致しなければ、投資判断やリスク許容度、インシデント対応権限にズレが生じます。そのズレは、予算サイクルや対応スピード、現場の権限に直接影響します。

このギャップを埋めるには、単なる報告強化では不十分です。リスクを共通言語で語り、技術的な露出をビジネス上の影響に翻訳し、経営層が自組織の現実的な脅威環境に即した意思決定をできるような文脈を提供することが求められます。

データ主権と量子時代のカウントダウン

データ主権はもはや抽象的な規制要件ではありません。どこにデータを置くか、誰がコントロールするか、規制環境が変化したときにどう対応するかという、組織のアーキテクチャを再構築する現実的な制約です。45%の回答者がデータ移行性を主権施策の主な推進要因と回答。34%はソフトウェアとデータの完全なコントロールを求め、49%はクラウドインフラの物理的な場所が一部または全てのワークロードで重要だとしています。これらは単なるコンプライアンスのチェックボックスではなく、規制や地政学的リスクが技術調達に影響を与える中で、データコントロールを維持するという戦略的な圧力の表れです。

データ主権と並行して、量子リスクも理論的懸念から実際のプログラム計画へと移行しています。61%の回答者が「今収集し、後で復号」を最大の量子関連リスクと認識。これは未来の脅威ではなく、すでに現実化している問題です。攻撃者は今、暗号化データを収集し、量子コンピュータが十分な規模に達した時点で復号しようとしています。今収集されているデータは、数年後も機密性を持ち続ける可能性があります。規制対象や長期保存、戦略的に機密性の高いデータを扱う組織は、これを「将来の課題」として先送りできません。

59%の回答者がポスト量子暗号アルゴリズムのプロトタイプや評価を実施中と答えています。これは認知度の高まりを示す一方で、約40%の組織は暗号移行に必要な評価をまだ始めていないことも意味します。計画的な移行ができる期間は限られています。暗号のアジリティ（インフラ全体を入れ替えずに暗号化メカニズムを更新できる能力）は、成熟したセキュリティプログラムがこの課題に取り組む上でますます重要になっています。今このアジリティを備える組織は、後から着手する組織よりも多くの選択肢を持つことができます。

このレポートが示す、あなたのセキュリティプログラムへの示唆

2026年Thalesデータ脅威レポートが描くのは、新しいタイプの脅威環境ではありません。クラウドの乱立、認証情報の悪用、ツールの分断、規制圧力といった、同じ課題がより複雑化した現状です。この環境で苦戦するのは、セキュリティプログラム自体がない組織ではなく、インフラ拡張のスピードに合わせてプログラムを拡張できていない組織です。

「自分たちがデータをどう管理していると思っているか」と「実際にどう管理しているか」のギャップは、自然には埋まりません。意図的な取り組みが必要です。具体的には、データ分類の強化、IDガバナンスの徹底、ツールの統合、経営層レベルでの実際の侵害状況の可視化が求められます。暗号化計画も「将来の検討事項」ではなく「今取り組むべきプロジェクト」として扱うべきです。そして、どこまで暗号化が機密データをカバーしているか、どこが未対応なのかを正直に把握する必要があります。

2026年にこのギャップを埋める組織は、より安全になるだけでなく、今後数年の企業セキュリティを規定する規制環境やクラウドアーキテクチャ、脅威状況に柔軟に対応できる体制を築くことができます。逆にギャップを放置する組織は、インシデントのたびに「痛い思い」をしながら、その存在を知ることになるでしょう。