スティーブ・ダービンはInformation Security ForumのCEOである。取締役会におけるサイバーセキュリティとテクノロジーの役割について、講演を重ねている。
2026年に向けて危険な前提となるのは、脅威は本質的に進化しない、昨日の定石がいまも十分通用する、と考えることだ。適切なツールと十分な警戒さえあれば、すべてを入口で食い止められる、という発想である。
いま、脅威はより執拗で、より知的で、より自動化されたものになりつつある。この変化により「すべてを守る」は非現実的な戦略となっている。必要なのはレジリエンス(回復力)に目を向けることだ。レジリエンスの目的は、衝撃を吸収し、被害を封じ込め、重要サービスを可能な限り早く復旧させることにある。
そして、それが実現するのは、レジリエンスを技術的な後回しではなく、リーダーシップの最優先事項として扱う場合に限られる。レジリエンスは、責任の所在が明確で、対応が体に染みつくまで繰り返し訓練されているときに最も機能する。危機が発生した際、実行可能なガイドラインがあれば、チームは高いプレッシャーの下でも冷静に意思決定できる。
サイバーリスクを再形成する力
1. AI駆動の脅威
AIは、これまで相当の時間、調査、技能を要していた攻撃の一部を、いまや自動化している。サイバー犯罪者はより速く規模を拡大でき、攻撃開始のコストも下げられる。直近の影響としては、AI生成によるスピアフィッシングの高度化の急増、より本物らしい音声・動画ディープフェイク、そして防御層をすり抜けうる合成ID攻撃の増加が挙げられる。
最善の一手は、レガシーツールを避け、行動の異常に着目するAIベースの検知へ移行することだ。シグネチャベースのツールが見落とすものを浮かび上がらせる。検知は、訓練され反復可能な包括的インシデント対応と組み合わせるべきである。
2. サードパーティ・エコシステム
クラウドサービス、SaaS(Software as a Service)プロバイダー、外部委託先、緊密に接続されたベンダーのエコシステムは、共有された露出を生む複雑な網の目である。この環境は、弱点を継続的に探り、侵入成功のためにバックドアを埋め込もうとする攻撃者に狙われている。
侵入が成功すれば、たとえ当初の侵入口がサードパーティベンダーであっても、自社システムが感染する可能性がある。優先すべきは、厳格なベンダーのサイバーリスク管理である。高リスクのサプライヤーを継続的な統制モニタリングの対象に置き、最小権限のアクセスのみを付与する。
3. ポスト量子のシナリオ
量子コンピューティングは、長い導火線を持つ時限爆弾である。爆発は直ちには起きないが、カウントダウンはすでに始まっており、現在の公開鍵暗号と、何年にもわたり機密性を保つ必要のあるあらゆる機微データを脅かしている。
敵対者は、いま暗号化されたデータを盗み、将来それを解読できる能力を得るまで待つことができる。つまり重要なのは「いつ」よりも「秘密をどれだけ長く秘密のまま保つ必要があるか」だ。現代的な意味での現実的対応は、耐量子暗号(PQC)への移行であり、さらに一部の高保証環境では、量子鍵配送(QKD)などのアプローチと組み合わせることだと私は考える。欧州ではポスト量子への移行はもはや抽象論ではなく、最新の指針では重要インフラを2030年までに量子耐性化することが求められている。
4. 地政学がリスクを増幅する
地政学的不安定は、デジタルリスクの能動的な駆動要因になりうる。緊張が高まると規制は厳格化し、データ移動は制限され、重要インフラ、クラウドリージョン、戦略的サプライヤーへのアクセスは一夜にして変わり得る。したがって、レジリエンスの射程を規定するのは、マルウェアや一般的な脆弱性だけではなく、政策変更、制裁、国境を越える分断である。
地政学的状況によって、サイバー、法務、コミュニケーション、事業運営が協調して意思決定せざるを得ない事態を想定して計画を立てるべきだ。戦争で特定地域が遮断される、あるいは主要ベンダーがブラックリスト入りする、といった課題に照らして復旧計画の準備度を測る。狙いは脅威認識を広げ、従来型の脅威を超えて地政学的ボトルネックに目を向けることにある。
意図から現場実装へ
レジリエンスは取締役会レベルの専権事項となり、部門横断的な経営幹部委員会が構築し、管理し、実行する必要がある。中核目的は、議論から実行へ移ることだ。
• 具体を扱う。 最重要サービスにおける検知までの時間、封じ込めまでの時間、復旧までの時間といった指標を追跡する。事前に定めた時間枠内に重要な業務サービスを復元できることを確認し、隔離、バックアップ、明確な復旧経路と統合する。
• 主要ドライバーに整合したテーブルトップ演習に注力する。 これらの演習には、AIを用いた不正の試行、主要ベンダーに対するマルウェア攻撃、国境を越える制約を含めるべきである。ランサムウェアの身代金支払い、コミュニケーション戦略、危機における「最低限のサービス」とは何かを決める。
• アクセス権限に細心の注意を払う。 フィッシング耐性のある多要素認証(MFA)、期限付きの特権アクセスを活用し、ベンダーのIDを中核ディレクトリから分離する。
• 意識向上とトレーニングのプログラムを実施する。 物語性のある教育が、早期の脅威識別の文化を醸成するとき、最も効果を発揮する。
まとめ
現実世界のシナリオでも持ちこたえる統制を選ぶことで、露出は減らせる。AIに関しては、より厳格なデータ取り扱いルール、明確な分類、そしてアウトプットが意思決定を左右する前に検証する習慣が求められる。
AIを金融グレードのガバナンス下に置き、ガードレールが高圧下でも破綻しないよう、継続的にテストし続けることだ。量子については、システム全体で暗号がどこで使われているかをマッピングし、次に最も価値の高い資産と、何年にもわたり機密性を維持すべき長期保存データを優先する。
サードパーティの露出管理とは、より厳格なアクセス境界を徹底し、重要ベンダーを継続的に監視し、パートナーがリスク源になった場合でも事業を継続しながら接続性を断つ能力を保持することを意味する。地政学においては、政策変更や紛争が依存関係を一夜にして断ち切り得るため、地域、ルート、サプライヤーが利用不能、あるいは法的に利用できない状況を想定して復旧をリハーサルしておくべきである。
2026年における勝ち筋は、完璧な予防ではない。圧倒的に不利な状況でも踏みとどまるレジリエンスである。強固なレジリエンスの枠組みを構築してこそ、組織は危機を乗り越えられる。
