2026年のデジタル・セキュリティ動向
皆様、あけましておめでとうございます。ニュートン・コンサルティングの内海です。
2026年が始まったばかりというのに、さっそく米国の「ドンロー主義」によるベネズエラショックや、中国が台湾周辺での軍事演習を行うなど、激動の一年を予感させるようなニュースが相次いでいます。
米国によるベネズエラ大統領の拘束作戦は、サイバー攻撃で首都カラカスの広域停電を起こし通信・監視の穴を作ったと報じられていますし、中国の軍事演習では台湾への大量のサイバー攻撃が報じられるなど、私たちは今、物理世界とサイバー世界がかつてないほど密接に、そして複雑に絡み合う転換点に立っています。
本稿では、デジタル・セキュリティの観点で2025年を振り返り、2026年の動向について読み解いていきたいと思います。
2025年のデジタル・セキュリティ業界を振り返る
2025年に発生したサイバー攻撃は、個別のインシデントにとどまらず、事業停止や供給網の混乱など、経営へのインパクトが甚大で、その破壊力は凄まじいものでした。
またAIを用いた攻撃技術の進化により、攻撃手法も多様化し被害も深刻化しました。この深刻化を踏まえ、各国・各地域でさまざまなセキュリティ制度が開始されました。
サイバー攻撃被害の深刻化
その最たるものが、国内大手飲料メーカーや物流大手企業、そして海外の自動車メーカーなどが相次いで被害を受けたランサムウェア攻撃です。商品供給が数ヶ月にわたって停止するという事態は、これまで以上にサイバー攻撃が経営上の重要課題であることを強く認識させました。
生成AI技術による攻撃
また、生成AIを用いたリアルタイム・ディープフェイクによる被害も見逃せません。国内ではそれほど報じられていないものの、役員のビデオ会議に「偽のCEO」が参加し、不自然な言動を一切見せずに緊急の送金指示を出す手口が確認されています。この結果、海外拠点を含め数億円単位の被害が多発しました。
見分けのつかないフィッシング被害の急増
証券業を中心に発生したフィッシング詐欺も特徴的でした。顧客ユーザにメールやSMSを送りつけ、偽のウェブサイトに誘導して個人情報を窃取する詐欺ですが、攻撃者が生成AIによる自然な日本語を作成できるようになったことなどを背景にインシデントが急増しました。メールで別途パスワードを送るような「二段階」認証はもはや不十分であり、「多要素」認証やパスワードレスの重要性が広く叫ばれました。
サイバーセキュリティ制度のブロック化
防御の観点に目を向ければ、さまざまなサイバーセキュリティ制度が各国・地域で展開されたことが挙げられます。「市場に参入したければ、セキュリティ制度に準拠せよ」という制度が世界各地で立ち上がり、日本企業も対応が求められました。
IoT関連の制度では、欧州で「EUサイバーレジリエンス法(CRA)」、米国で「US Cyber Trust Mark」などが始まり、国内でも「JC-STAR」が開始されました。また本年は、経産省がサプライチェーン強化に向けたセキュリティ(SCS)対策評価制度を開始予定であり、セキュリティが取引を行う際の条件となる動きは、ますます拡大するでしょう。
2026年のデジタル・セキュリティ業界は?
2026年はAIや量子コンピュータによる技術革新を踏まえ、技術面、ガバナンス面の両面での対応が必要となります。
①AIが攻撃し、AIが守る世界の出現
2026年の最大の脅威は、単なる生成AIではなく、特定の目標を与えられた「エージェント型AI」です。これまでの攻撃は人間が判断を下すプロセスが必要でしたが、自律型AIによる攻撃は、防御側の検知(EDRなど)をAIがその場で学習し、検知されないようにマルウェアのコードを動的に書き換えて攻撃を継続します。防御側は、人間による監視だけでは速度的に追いつけず、「AIによる自律的な防御」へのシフトを余儀なくされるでしょう。
その最たるものがSIEM製品の進化です。まだ成熟していないものの、近年ではAIを搭載し、自然言語での調査・分析を可能とする製品や、ミリ秒単位で異常を検知・隔離する自律型セキュリティ製品がリリースされ始めています。また、ルールベースの規程から、AIの行動原理をガバナンスする「AIガバナンス」への刷新も企業内で急務となると考えられます。
②デジタル・サイバーセキュリティのブロック経済化
自国ファーストの世界情勢が加速し、サプライチェーンセキュリティと個人データの越境制限が国・地域でさらに厳格化するでしょう。
サイバー空間においても「西側諸国」、「東側諸国」、「グローバルサウス」の各陣営で独自のセキュリティ基準が定着し始めることが予想されます。日本企業にとっては、「どの地域のどの規制に従い、どの技術を採用するか」という政治的判断を含むガバナンスが必要です。この負担は相当なもので、負担軽減のためには、我が国のセキュリティ制度を司る政府や団体が積極的に友好国との「相互認証」を推進することも求められます。
またデータ主権の確保のためには、地政学的に安定した地域や自国内にデータセンターを持つ「ソブリンクラウド」への移行は企業命題となるでしょう。
③ディープフェイクによる「アイデンティティ」の喪失
生成AIによる高度なフェイクニュースが溢れると、社会全体の「デジタル・インターネットへの信頼」が極端に低下し、フェイク動画対応が各企業で必修となるでしょう。「声」や「映像」が証拠として機能しなくなり、CEOや役員のディープフェイクを用いた高度なソーシャルエンジニアリングは、リアルタイムのビデオ会議にまで及ぶことが想定されています。
2026年は、「目に見えるものも疑うべき」というファクトチェックが必須となり、ゼロトラストの概念を「通信」だけでなく「人間(アイデンティティ)」そのものにまで拡張する必要が出てくるでしょう。多要素認証(MFA)のさらに先を行く、持続的な本人確認(Continuous Identity Verification)の実装がトレンドとなると見られます。
④量子コンピュータによる暗号化解読リスクが顕在化
2026年は、量子コンピュータによる暗号解読リスクが「将来の懸念」から「具体的な経営リスク」へと変わる年です。
現在の暗号体系を脅かす可能性を見据え、米国CMMC 2.0や欧州CRAの影響下にある企業では、耐量子計算機暗号(PQC)への移行準備が、コンプライアンス上の必須項目となりつつあります。そのため、具体的な暗号アルゴリズムを見据え、対応を検討する必要があります。
⑤サイバー攻撃被害の深刻化に備えたサイバー攻撃対応BCPの必須化
2025年の被害事例からもわかるように、これだけ経営へのインパクトの大きいサイバー攻撃が発生すると、2026年は、サイバー攻撃対応とBCPを融合することが企業における喫緊の課題となるでしょう。サイバー攻撃対応を所管するIT・セキュリティ部門とBCPを所管する経営企画・総務が連携して対応することが必須となるため、役員クラスがプロジェクトオーナーとなり、推進することが求められます。
おわりに:2026年、変革の荒波を乗り越えるために
2026年は、物理世界とサイバー世界の境界が消滅し、デジタル・セキュリティが単なるITの課題から「経営課題そのもの」へと完全に移行する年となります。エージェント型AIによる攻撃の自律化や、地政学リスクと連動した「セキュリティのブロック経済化」は、これまでの延長線上の対策では対応が困難なものといえるでしょう。
今年、企業に求められているのは、AIガバナンスの確立、パスキーなどの認証を超えた本人確認、そして耐量子暗号への備えといった「攻め」と「守り」の再定義です。何より、サイバー攻撃を前提としたBCPの構築は、組織のレジリエンス(回復力)を左右する最優先事項といえます。この激動の時代を勝ち抜くため、部門の垣根を越え、経営主導で強靭なデジタル基盤を築いていきましょう。
