ガートナージャパン(以下、Gartner)は1月22日、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表した。
サイバーセキュリティ領域における2026年の重要論点は以下の通りである。
論点1 新たなセキュリティ・ガバナンス
世界的なサイバーセキュリティの脅威やAIを含めた新たなリスクの高まりと法規制強化を背景に、日本企業でも経営層の意識が変化している。サイバーセキュリティ・リーダーには、経営層への質の高いインプットや投資判断材料の提供、戦略立案など、より高度な役割が求められている。
クラウド、AI、サードパーティ/サプライチェーン、サイバー・フィジカルなど新たなリスクへの対応には、従来のガバナンスでは限界があり、セキュリティ人材の育成と戦略の再構築が急務である。企業は今、新しい時代に適応するためのセキュリティ体制を見直す必要がある。
論点2 新たなデジタル・ワークプレースとセキュリティ
AIエージェントの普及は業務効率を高める一方、乗っ取りによる不正アクセスのリスクが高まる可能性がある。企業は、AIエージェントのインベントリ管理、認証、権限管理などのガバナンス強化に加え、AI共生時代に対応したポリシーの策定とガイドラインの再整備が必要になる。
生成AIやデータ活用を前提とした働き方においては、セキュリティ意識を高める教育とセキュリティ・アウェアネスの再設計が急務となっている。
論点3 セキュリティ・オペレーションの進化
国内企業では、AIによるセキュリティ運用の自動化や異常検知への期待が高まる一方、実際に効果的な導入を実現している企業は依然として少数である。機械学習を活用した脅威分析の高度化が進む中、早期検知に課題を抱え、被害発生後にインシデントを把握するケースも散見される。
また、アタック・サーフェス・マネジメント(ASM)による脅威の可視化が広がりつつあるものの、予算や人材不足から十分な対策が取れない企業も多く、テクノロジーの活用に限界が見られる。さらに、「境界防御」から「内部侵入を想定した防御」への転換が進む中、さまざまな取り組みを進化させる重要性は増しているが、実効性のある運用体制構築は依然として大きな課題になっている。
論点4 インシデント対応の強化
国内企業で相次ぐランサムウェア攻撃は、甚大な損失をもたらす一方、セキュリティ・インシデントを重大なビジネス・リスクとして捉える契機となっている。こうした事態を受け、既存のBCPやIT-BCPの見直しが必要になっている。
システム停止時に業務継続を可能にするコンティンジェンシ・プランの整備や、属人化した対応ノウハウの排除が求められている。さらに、身代金支払い方針、情報公開方針、バックアップや復旧プロセスの強化など、従来十分に議論されてこなかった領域の再検討が急務となっている。
論点5 サイバー攻撃/マルウェアへの対応
昨今のランサムウェア攻撃は、業務停止や身代金要求に加え、情報公開の脅迫など複数の被害をもたらし、企業経営や信用に深刻な影響を及ぼしている。こうした状況にもかかわらず、基本的なセキュリティ対策の徹底が依然として課題となっている。
攻撃の高度化に伴い、脅威を事前に阻止し、攻撃者を欺く「先制的サイバーセキュリティ対策」への注目が高まっている。また、リモート・アクセスにおけるVPN利用の懸念を背景に、ゼロトラストの仕組みを内包するゼロトラスト・ネットワーク・アクセス (ZTNA) の導入を検討する企業が改めて増えている。企業は予測能力を強化し、防御戦略を抜本的に見直す必要がある。
論点6 内部脅威への対応:増加する内部脅威、企業に求められる検知体制の強化
国内企業では、退職者による情報持ち出しや削除、いわゆる「手土産転職」や「リベンジ退職」、さらに出向者による顧客情報の持ち帰りなど、内部脅威が深刻化している。こうした不正は、外部からのサイバー攻撃と異なり、絶対的な脅威指標がなく検知が難しいことが課題となっている。
PC操作ログだけでは正規の行動との区別が困難なため、ユーザーの振る舞いを検知要素に取り入れるなど、より広範囲を対象とした検知メカニズムの整備が急務となっている。企業は内部脅威への対応を強化し、情報漏えいリスクを最小化する体制構築を進める必要がある。
論点7 規制/サードパーティ/サプライチェーン・リスクへの対応
世界各国で法規制や安全保障に関する動きが加速する中、日本企業が国内基準だけで判断することは、ビジネス・リスクを高める要因となっている。越境データの取り扱いやグローバル・セキュリティ・ガバナンスへの対応は、今や企業戦略の重要課題である。
さらに、サードパーティやサプライチェーンの脆弱性は、企業だけでなく顧客や取引先を含む社会全体のオペレーションに甚大な影響を及ぼす可能性がある。こうした背景から、多くの企業で長年手つかずとなっていたサイバーリスク・マネジメントを本格的に開始することが急務となっている。
論点8 クラウド/CPS/量子コンピューティングのリスクへの対応
クラウド・セキュリティ・ツールの急速な進化により、適切な選択が難しくなっている中、日本企業では導入に踏み切れずに、脆弱性や設定ミスによるリスクを抱えたままクラウドを利用するケースが見られる。
また、1日24時間/週7日の稼働やレガシー機器を前提とするサイバー・フィジカル・システム (CPS)は、従来のITセキュリティでは対応しきれない課題を抱えている。さらに、2030年までに現行の暗号技術が量子コンピューティングで破られる可能性が指摘される中、暗号化技術の段階的な移行計画策定は多くの企業にとって大きな課題になっている。
企業は、複雑化するリスクを的確に把握し、リスク・ダッシュボードなどを活用して経営層と戦略的な議論を進める体制を整える必要がある。
論点9 AI/D&Aのリスクへの対応
AIの導入が進む中、多くの企業は利用ガイドライン策定や従業員教育を進めている。一方で、SaaSや独自構築のAI増加によりアタック・サーフェスが拡大し、リスク・アセスメントや継続的な管理に課題を抱えている。AIエージェントの登場により、市民開発の議論も再燃している中、新たなAIリスク・マネジメントへの対応が必要になる。AI TRiSM (AIのトラスト/リスク/セキュリティ・マネジメント) の整備が急務である。
また、データ/アナリティクス(D&A)領域では「データの過剰共有」への対応が依然として課題になっている。ユーザーがデータ・オーナーとして主体的にリスクに対処できる環境の整備の必要性から、セキュリティ部門とデジタル推進部門の連携強化がより重要になっている。
[i Magazine・IS magazine]
