ジャック・ヘイズ氏は、英国の大手基調講演者エージェンシーであるチャンピオンズ・スピーカーズ・エージェンシーのマネージング・ディレクターである。
今日のサイバーセキュリティは、より高い壁を築くことよりも、自社がどこで脆弱性を抱えているかを把握することが重要だ。サイバー攻撃はより高速化し、標的を絞り、自動化が進んでいるが、多くの企業が依然として時代遅れの防御策に依存している。マスターカードの調査によると、「10人中7人が、デジタルプラットフォーム上で情報を保護することは、自宅を守ることよりも難しいと答えている」という。
講演者エージェンシーのリーダーとして、私は信頼が我々の仕事を支えていることを目の当たりにしてきた。また、基調講演業界におけるフィッシング攻撃やデータ保護リスクに直接対処してきた。サイバー防御を強化することで、講演者、クライアント、契約、そして評判を守ることを目指している。
以下は、2026年を形作る主要なサイバーセキュリティトレンドと、デジタル資産やビジネスを最善に保護する方法である。
AI(人工知能)を活用した脅威
サイバー犯罪者は現在、AIを使用して攻撃を拡大し、鋭利化している。AIはフィッシングメールを数秒で自動化し、パーソナライズする。AIは驚くほどの精度で実在の人物を模倣でき、78%の最高情報セキュリティ責任者(CISO)が、AIを活用したサイバー脅威がすでに組織に重大な影響を与えていることを認めている。
したがって、防御から始めるべきだ。既知の脅威に焦点を当てるのではなく、行動を監視するAI駆動型セキュリティツールに投資すること。これにより、異常が早期に検出される。厳格なスタッフトレーニングと組み合わせることで、人々がフィッシングに引っかかる可能性ははるかに低くなる。
ゼロトラストの採用
従来の境界防御モデルは、ハイブリッドワークやクラウド環境の新時代において苦戦している。ユーザー、デバイス、データが単一のネットワーク境界を超えて存在するためだ。暗黙の信頼はリスクを生み出すため、ゼロトラストはその前提を排除する。すべてのリクエストが毎回チェックされる。ゼロトラストはもはや未来のアイデアではない。81%の組織が今後12カ月以内にゼロトラスト戦略を実装する計画だ。
ゼロトラストポリシーの採用に向けて、人々には必要なものだけに、タスクとその瞬間のためだけにアクセス権を与えることを推奨する。データへのアクセスを承認されたデバイスに制限し、多要素認証(MFA)を有効にし、特定の機能への権限を制限する。これにより、認証情報が漏洩した場合のリスクが軽減される。
アイデンティティが最大のセキュリティ優先事項
サイバー攻撃者は、人物になりすますことができれば、もはやシステムを破る必要がない。これには、ディープフェイク、生体音声スプーフィング、AIモデルの操作を通じて出現する新たな攻撃対象領域が含まれる。侵害された認証情報は現在、膨大な割合の侵害の背後に存在し、2025年前半だけでも、アイデンティティベースの攻撃は32%増加した。
したがって、ゼロトラストの採用に沿って、あらゆる場所で多要素認証を実施すること。単一のログインイベントではなく、行動とデバイスのコンテキストをチェックする継続的なアイデンティティ検証に移行すること。
サプライチェーンリスク
脆弱性は多くの場合、第三者を通じて侵入する。サプライチェーンの脆弱性は現在、サイバーレジリエンスに対する「主要な障壁」となっている(大規模組織の54%に影響)。アクセス制御が脆弱なソフトウェアプロバイダーなど、単一の侵害されたベンダーが、十分に防御された企業を露出させ、ネットワーク全体への直接的な経路を開く可能性がある。
サプライヤーを自社のセキュリティ境界の延長として扱い、オンボーディング前に厳格なセキュリティ評価を実施すること。承認時点だけでなく、第三者の活動を継続的に監視し、異常な行動が損害を与える前に検出されるようにすること。
シャドーエージェントがデータ露出を加速
シャドーAIとは、従業員がIT部門の承認や監視なしにAIツールを使用することを指す。これはすでに現実のリスクを生み出しており、英国企業の5社に1社が、スタッフによる生成AIの使用に関連したデータ漏洩を経験している。
自律型AIエージェントが企業システム全体で独立して動作し始め、人間の可視性がほとんどない状態で機密データにアクセスするようになるにつれ、課題は加速している。ビジネスを保護するために、組織はオプションではなく実施される明確なAI使用ポリシーを必要としている。デフォルトで機密データへのアクセスを制限し、AIツールの使用を監視し、AIエージェントを一元的に承認すること。
私の組織では、多数のタスクにAIを頻繁に使用している。機密データへのリスクに対抗するため、AIの使用と関連するリスクを追跡する初の社内データサイエンティストを雇用した。
新たなリスク環境におけるアイデンティティとAIの保護
2026年のサイバーリスクは、アイデンティティ、AI、そして人々が実際にどのように働いているかによって形作られる。攻撃者は、認証情報、信頼された声、無認可のツールをますます悪用するだろう。これらは機密データへのより迅速で静かなアクセスを提供するためだ。同時に、企業はAIを急速に採用しており、新たな露出ポイントを認識することが極めて重要だ。
マイクロソフトの元EMEA最高セキュリティアドバイザーであるサラ・アームストロング・スミス氏は、「サイバーレジリエンスは、単なる技術的保護手段ではなく、戦略的イネーブラーとして認識されるべきだ」と述べている。2026年には、この視点がさらに重要になる。レジリエンスが戦略に組み込まれると、セキュリティは追加機能ではなく、あらゆるビジネス上の意思決定に組み込まれた側面となる。
私は、先を行く組織は、アイデンティティを中核インフラとして扱い、AI使用を意図的に管理し、盲点が悪用される前に削減する組織だと考えている。強固な基礎は重要だが、レジリエンスは今や、人、システム、データ全体にわたる可視性、制御、リスクの明確な所有権に依存している。
