Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 2026年AIサイバーセキュリティの現状:データが示す今後の展望

2026年AIサイバーセキュリティの現状:データが示す今後の展望

by Patrick Spencer updated 2月 25, 2026 サイバーセキュリティー・リスク管理
Reading Time: 10 minutes

AIは2025年、サイバーセキュリティの議論を一変させただけではありません。従来の常識を焼き払い、リアルタイムで新たなルールを書き始めました。今後の道筋について1,800人以上のセキュリティ専門家が語る内容と、「現状維持」がもはや生き残り戦略にならない理由をご紹介します。

サイバーセキュリティ業界は、常に攻撃者と防御側のせめぎ合いでした。新たなツールが登場し、悪意ある攻撃者が適応し、その繰り返し。しかし、今まさに根本的に異なる変化が起きています。

AIは単に登場しただけではありません。攻撃側と防御側の両方で同時に戦っているのです。攻撃範囲を拡大し、脅威アクターの武器を鋭利にし、組織が依存する防御策を再構築しています。それが一度に起こっています。誰もこのスピードを望んだわけではありませんが、現実となりました。

State of AI Cybersecurity 2026レポートは、この変化を5つの章で詳細に捉え、世界中のセキュリティ専門家の調査データをもとにまとめています。本章は一歩引いて、業界の誰もが直面している疑問——「これからどこへ向かうのか、そして今セキュリティリーダーは何をすべきか?」に迫ります。

短い答えは?優先順位自体は大きく変わっていません。しかし、それを無視した場合の結果は劇的に悪化しています。

主なポイント

AI導入がセキュリティガバナンスを再び上回った。 現在77%の組織がセキュリティスタックで生成AIを運用していますが、正式なAIポリシーを持つのはわずか37%。導入スピードと保護体制のギャップは年々拡大しています。

攻撃者は待ってくれません。 73%のセキュリティ専門家が、AIを活用した脅威がすでに自組織を襲っていると回答。ハイパーパーソナライズドなフィッシング、自動化されたエクスプロイトチェーン、適応型マルウェアが先頭を走っています。

スキルギャップは予算ギャップより深刻。 AI脅威への防御で最大の障壁は資金ではなく、AI技術に関する知識と経験の不足です。お金で解決できる問題ではありません。

現場担当者と経営層で見ている現実が違う。 実務担当者でAIツールが業務を改善すると強く同意したのは25%にとどまり、CISOでは56%。ツールを最も使う人ほど、評価は厳しいのです。

マネージドサービスとプラットフォーム統合が急加速。 85%のセキュリティ専門家が自社構築よりマネージドSOCを選好し、93%がポイント製品より統合プラットフォームを支持しています。

基本がやはり最強。 話題性に関係なく、今後12カ月の最優先事項はAI活用ツール、統合、準備、意識向上トレーニングで、昨年とほぼ変わりません。基本は退屈ではなく、不可欠なのです。

AI導入は誰も予想しなかった速さで進行

状況を整理しましょう。2025年、生成AIや初期のエージェンティックシステムは、実験段階から本格的な商用導入へ一気にシフトしました。組織は様子見ではなく、一気に飛び込みました。

生成AIツールは、日常的に使うSaaSプラットフォームに組み込まれています。AIエージェントは社内データやシステムにアクセスし、ローコード・ノーコードプラットフォームによって、ビジネス部門のユーザーがIT部門に依頼せず独自のAI自動化を構築できるようになっています。レポートによれば、すでに77%の組織がサイバーセキュリティスタックのどこかで生成AIや大規模言語モデルを運用中。エージェンティックAI(自律的または半自律的に行動するシステム)は67%の組織で導入されています。

このスピードは驚異的です。しかし、合理的でもあります。ビジネスは実際に生産性向上を実感し、チームは迅速に動き、顧客対応も向上。ROIは明確で、競合に遅れをとるリスクを経営層は避けたいのです。

しかし、そのスピードが従来のツールでは対応できないセキュリティ課題を生み出しています。

ここからが本題です。92%のセキュリティ専門家が、AIエージェントの全社的な利用とそのセキュリティ影響に懸念を示しています。また、44%がCopilotやChatGPTなどサードパーティLLMのセキュリティリスクを非常に、またはかなり懸念しています。つまり、約半数のセキュリティ担当者が、マーケティングや営業部門が喜んで導入しているツールに不安を抱えているのです。

このギャップは理解しやすいでしょう。AIシステムはデータとやり取りし、意思決定し、従来のセキュリティツールが監視することを想定していなかった方法でアクションを実行します。AIエージェントが自律的にデータベースへアクセスし、機密記録を要約し、API経由で送信する——この一連の流れは従来のデータ侵害とは異なるように見えますが、被害は同じです。

自社のセキュリティ、信じていませんか?本当に証明できますか

Read Now

攻撃対象領域は拡大し、かつ複雑化

レポート第1章はこの現実を鋭く指摘しています。AIは攻撃対象領域を拡大しただけでなく、その形自体を歪めています。

あらゆるSaaSツールにAIアシスタントが組み込まれ、従業員が昼休みに会社データで公開モデルを試し、エージェントが企業内で様々な自律性で動作する時代——「境界線」という概念は幻想となります。すべてのAI統合が潜在的な侵入口、すべてのエージェントがインサイダー脅威、すべての公開モデル利用がデータ漏洩の火種となり得ます。

そのため、機密データの露出が最も大きな懸念事項となっています。61%がこれを最重要課題に挙げ、次いでデータセキュリティ・プライバシー違反の可能性が56%。これらは即座に具体的な影響を及ぼすリスクであり、規制違反による罰金や評判失墜、CISOが絶対に避けたいニュースの見出しにつながります。

組織が導入しているセキュリティコントロールを見ると傾向が明らかです。ID・ロールベースのコントロールが60%で最多、次いでデータ損失防止ツールが54%。モデル監視・ドリフト検知が42%、自社ホストモデル限定が41%。プロンプトフィルタリングや入出力制御(AI特有の攻撃に最も直接的な防御策の一つ)は34%にとどまります。4%は何のコントロールも導入していません。

この現実を直視しましょう。データ損失が最大の懸念であるにもかかわらず、AIシステム向けDLPツールを導入しているのは半数強。セキュリティチームの懸念と実際の対策の間には大きなギャップがあります。

さらに悪化しています。正式なAIポリシーを持つ組織は今年37%と、昨年の45%から減少。全く策定予定がない割合は3%から8%に増加。AI導入が爆発的に進んだ年に、ガバナンスは後退したのです。これは単なる警告ではなく、危機的状況です。

攻撃者はすでにAIを活用、守る側も実感

レポート第2章は脅威側の状況を掘り下げていますが、楽観できる内容ではありません。

回答者の約4分の3(73%)が、AIを活用したサイバー脅威がすでに自組織に大きな影響を与えていると回答。これは将来のリスクを心配しているのではなく、今まさに起きている現実です。

ハイパーパーソナライズドなフィッシングが50%で最も懸念されており、その理由も明白です。研究者はフィッシングメールの量が過去最高水準に達していることを確認しており、その内容も非常に巧妙化しています。文法ミスでフィッシングを見抜けた時代は終わりました。自動化された脆弱性スキャンやエクスプロイトチェーン(45%)、適応型マルウェア(40%)、ディープフェイク音声詐欺(40%)も深刻な脅威です。

大きく変化したのは、その連携力です。レポートは、攻撃者がAIを使って偵察から初期侵入、権限昇格、情報流出まで一連の攻撃チェーンをほぼ自動で実行している証拠が増えていると指摘。AIが一連の攻撃を調整することで、既知パターン検知に依存した従来の防御策は通用しなくなっています。

防御側の自信にも変化が見られます。2024年から2025年にかけて一時的に上向いたものの、再び低下。46%がAI脅威への備えが不十分だと認めています。地域別では日本が最も不安を感じており77%が備え不足と回答、ブラジルは最も自信が高く79%が十分な能力があると考えています。

防御側の最大の障壁は?AIに関する知識とスキルの不足です。予算や人員ではなく、知識。組織は資金を投じていますが、業界全体が同時にスキルギャップ解消を急ぐ中、簡単に解決できる問題ではありません。

防御側AIは機能しているが、信頼が課題

ツール面では明るい兆しもあります。サイバーセキュリティ専門家の96%が、AIが業務のスピードと効率を大幅に向上させると認めています。異常検知や新たな脅威の特定(72%)が最も高く、次いで自動応答・封じ込め(48%)、脆弱性管理(47%)が続きます。

しかし、ここに落とし穴があります。CISOや経営層は最も熱心で、56%がAIによる防御力向上に強く同意。一方、セキュリティオペレーションの現場担当者は強く同意したのが25%のみ。日々ツールを使う人ほど評価が厳しいのです。

このギャップはベンダーにとって大きな課題です。現場担当者は本当に役立つAIとマーケティングだけのAIを見分ける力が高いのかもしれませんし、単にツールが現場の期待に応えていない可能性もあります。いずれにせよ、無視できない問題です。

信頼の問題はさらに根深いです。89%がAIツールの推論過程を十分に可視化できていると回答する一方、74%は説明性が向上するまでSOCでAIの自律性を制限しています。人間の関与なしにAIが独自に対応策を実行することを許可しているのはわずか14%。大多数(70%)は「人間が介在する」モデル——AIが提案し、人間が承認する形を採用しています。

これはジレンマを生みます。AI脅威に対抗するにはAIのスピードが必要ですが、機械に全権を委ねるのは不安。無謀な自動化に頼らず、現実的な信頼を築くことが今後最大の課題の一つです。

また、経営層には一貫した認識のズレがあります。経営層は自社SOCでAIが自律的に動いていると考える割合が18%と、全体平均14%より高い傾向。リーダーは最先端の機能を導入したと考えがちですが、現場はより現実的な状況を見ています。

マネージドサービスが新たな標準に

レポートで最も顕著な傾向の一つが、85%のセキュリティ専門家が新たなSOC機能を自社構築ではなくマネージドサービスで取得することを選好している点です。

理由は明快です。AI主導の脅威環境では24時間体制の対応、専門知識、状況に応じた柔軟なスケールが不可欠。しかし、多くの組織はAI強化SOCを自前で24時間運用できる人材を確保できません。マネージドセキュリティサービスプロバイダーは、ゼロから構築するよりも迅速かつ低コストで能力を獲得できる近道です。

これは知識ギャップとも直結します。AI防御の最大障壁が専門知識の不足である以上、日々この分野を専門とするプロに運用を任せるのは当然の選択です。社内チームはガバナンスやリスク管理、ビジネスとの連携など戦略面に集中し、マネージドパートナーが検知・対応の実務を担う形です。

この傾向は業界を問わず広がっています。教育、政府、金融、テクノロジーなど、どの分野でもマネージドサービス志向は65%を超え、85%を超える業界もあります。これは一部の流行ではなく、業界全体の再構築です。

プラットフォーム統合が加速

もう一つの大きな運用変化は、複数のポイント製品の使い分けからの脱却です。2025年には87%がプラットフォーム型セキュリティ購入を選好し、2026年には93%に達しました。

理由は単純明快。ベンダー数が減ればダッシュボードも減り、統合の手間や更新サイクルも減少。何より、領域横断の脅威可視化が向上します。メールセキュリティ、ネットワーク検知、クラウド監視、ID保護が連携すれば、従来の分断ツールの隙間を突く脅威も捕捉できます。

ただし、全領域を本当にカバーできるベンダーはごくわずか。マーケティングと実際の機能の差は大きく、現場担当者ほどそのギャップを認識しています。ここで「AIウォッシング」が危険となります。すべてのサイバーセキュリティ企業が製品にAIラベルを貼る中、意思決定者は表面のブランドだけでなく、実際にどんなAIガバナンスや機能が裏で動いているかを見極める必要があります。

今後の展望

興味深いのは、これだけ状況が変化しても——攻撃対象領域の拡大、AI脅威の急増、防御側AIの急速な導入——セキュリティリーダーの今後12カ月の優先順位は昨年とほぼ変わらない点です。

AI活用セキュリティツールの導入が65%で最優先。既存ソリューション間の統合強化が57%で続きます。サイバー準備態勢やSOC最適化も上位です。

ただし、注目すべき変化もあります。エンドユーザー向けサイバーセキュリティ意識向上トレーニングが45%に上昇し、SOCチームメンバーのプロセス・技術最適化と並んで1位。政府機関では最重要課題に位置付けられています。業界全体が、人の層(依然として最も脆弱な部分)への投資が技術層と同じくらい重要であると認識し始めているのです。特にAIフィッシングで受信箱が地雷原と化す時代には不可欠です。

データが示すメッセージは明確です。基本がやはり重要。ポリシー、ガバナンス、意識、統合は派手ではありませんが、すべての基盤です。最新AIツールの導入を急ぐあまり、ガバナンスやプロセスを整えない組織は、嵐の中のガラスの家を建てているようなものです。

では、私たちはどこに立っているのか?

AIは今やセキュリティの方程式に不可欠な存在——攻撃側にも防御側にも。攻撃者はAIで規模拡大・高度化・連携を進め、防御側はAIで検知・対応・封じ込めを強化。どちらも撤退する気配はありません。

2026年レポートが明確に示しているのは、今後に備え最も有利な組織は複数の取り組みを同時に進めていることです。防御側AIをガバナンスと人間の監督下で導入し、技術だけでなく人材の知識・スキルにも投資。ツールをポイント製品の積み重ねではなく、統合プラットフォームへ集約。そして自力で埋められないギャップはマネージドサービスパートナーと連携して補完しています。

サイバーセキュリティの未来は、単一ツールの優劣ではありません。機械のスピードで変化する脅威環境に適応できるセキュリティプログラムを構築できるかどうかです。AIを「ガバナンスすべき能力」として扱う組織こそ、嵐が過ぎ去った後も生き残るでしょう。

本記事を読んでいるセキュリティリーダーの皆様へ:慌てる必要はありません。目的意識を持って動きましょう。軍拡競争は減速どころか、2025年が穏やかに思えるほど加速しています。しかし、今この瞬間から技術・人材・プロセスの最適な組み合わせに投資するチームこそ、次の章を「書く側」になれるのです。

Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください

よくあるご質問

State of AI Cybersecurity 2026レポートによると、最も懸念されているのはハイパーパーソナライズドなフィッシング(50%)、次いで自動化された脆弱性スキャンとエクスプロイトチェーン(45%)、適応型マルウェア(40%)、ディープフェイク音声詐欺(40%)です。これらの脅威が過去と異なるのは、攻撃者がAIを使って偵察から情報流出まで一連の攻撃チェーンを最小限の人手で自動化している点です。

現在77%の組織がセキュリティスタックで生成AIや大規模言語モデルを活用し、67%が自律・半自律的なセキュリティ運用のためにエージェンティックAIを導入しています。AIが最も効果を発揮している分野は、異常検知や新たな脅威の特定(72%)、自動応答・封じ込め(48%)、脆弱性管理(47%)です。ただし、多くの組織は「人間の関与」を維持しており、AIが人間の承認なしに独自対応を行うことを許可しているのは14%にとどまります。

約半数(46%)のセキュリティ専門家が十分な備えがないと回答しており、その主因は予算ではなく知識・スキルギャップです。AI技術やAI対策の理解不足が防御の最大要因となっています。サイバーセキュリティ人材不足により、組織は資金を投じても、AI脅威の進化スピードに追いつく専門性を十分に確保・育成できていません。

AIウォッシングとは、サイバーセキュリティベンダーが自社製品のAI機能を過大に宣伝・誤認させることです。現在93%の組織がプラットフォーム型セキュリティ購入を選好しており、ベンダーはAI機能のマーケティングに大きな圧力を受けています。レポートでは、経営層と現場担当者の認識ギャップが顕著で、CISOはAIツールに非常に前向きですが、日々利用する現場ではその効果に懐疑的です。これは、マーケティングの主張と実際の運用現場の現実が一致しないことを示唆しています。意思決定者はラベルだけでなく、どのようなAIガバナンスや機能が実際に動作しているかをしっかり評価する必要があります。

データはその方向性を強く示しています。現在85%のセキュリティ専門家が、新たなSOC機能を自社構築ではなくマネージドサービスで取得することを選好。AI主導の脅威環境では、ほとんどの組織が自力で確保・維持できない高度な専門知識と24時間体制が求められます。マネージドセキュリティサービスプロバイダーを活用することで、迅速に能力を獲得し、社内チームはガバナンスやリスク戦略、ビジネス優先事項に集中できます。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:信じるな、常に検証せよ
  • 動画 Microsoft GCC High:防衛請負業者をよりスマートな優位性へ導く課題
  • ブログ記事 DSPMで機密データが検知された後の安全対策
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼性を高める方法
  • 動画 ITリーダーのための機密データ安全保管・決定版ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks