ヒューマンリスクとエージェンティックAIのリスクマネジメントを包括的に支援する世界的サイバーセキュリティプラットフォームベンダーであるKnowBe4（ノウビフォー、本社：米国フロリダ州タンパベイ、社長兼CEO：ブライアン・パルマ（Bryan Palma））は、当社のCISO（最高情報セキュリティ責任者）アドバイザー・チームによる「2026年サイバーセキュリティ予測」を公開しました。2026年もサイバーセキュリティにおいてAIは支配的な影響力を持ち続け、サイバー防御における活用が一段と進展する一方で、攻撃者側もまた、AIを我々に対する武器へと転じていくことが予想されます。

当社のセキュリティエキスパートは、2026年のサイバーセキュリティ動向について、以下の主要なトレンドによって形成されると予測しています。

1.AIエージェントがMTTR（平均復旧時間）を少なくとも30％短縮する

攻撃者によるAIの武器化は進みますが、エージェンティックAIシステムがより高度化することで、防御側が圧倒的に優位になります。多くの主要なソフトウェアやサービスは、エージェンティックAIとして再構築され、従来のシステムと比較して、サイバーセキュリティ・リスクの低減において明確な成果を示すようになるでしょう。

SOC（セキュリティ・オペレーション・センター）チームにおいては、トリアージ、ポリシーによるガードレールを設けた自律型システムによって、情報の集約および封じ込め措置が実行されるようになれば、経験を積んだSOCチームでは、MTTR（平均復旧時間）が30%から50%短縮されます。また、これらのAIセキュリティ・エージェントは、すべての操作の監査証跡を改ざんできないような形で残し、規制当局へ提出するインシデント概要を自動生成できるため、コンプライアンス対応にかかる負担を軽減し、インシデント発生後のレビューを迅速化させます。

その一方で、サイバー攻撃者もAIを活用したツールを駆使し、成功確率の高いハッキング攻撃をより広範囲に仕掛けてくるでしょう。LLM（大規模言語モデル）で使用されるMCP（Model Context Protocol）サーバーが主要な攻撃ベクター（経路）となるほか、ブラウザ・エージェントやプロンプト・インジェクション攻撃がエクスプロイトの中心となります。AI、自動化、および生成AI機能の普及に伴い、標的型攻撃は「量」よりも「質」に重点を置いたものへと進化し続け、検出が困難な、より巧妙なものになっていくと予想されます。

2.AIエージェントは人と協働する新しい仲間となる

2026年は、AIが単なる便利なツールから、セキュリティチームの能動的で自律的なメンバーへと進化する大きな転換点となります。組織は、共に働く仲間の概念を根本から変えなければなりません。エージェンティックAIシステムが検証段階を経て、運用の核を担うチームメンバーへと移行するにつれ、エージェンティックAIを導入する組織は、「従業員トレーニング」の定義を拡張しなければならなくなります。そこには、AIエージェントに対するポリシー、ガードレール、そして行動規範（期待される振る舞い）の設定が含まれることになるでしょう。

3.「Q-Day」が到来する

プライバシーへの懸念から、デジタルIDの義務化はこれまでほとんど進んでいませんでしたが、2026年にはすべてのEU市民が利用できる「欧州デジタルIDウォレット」などの大規模な地域プログラムの導入により、実際の人間のアイデンティティに紐づけられたデジタルIDが普及するでしょう。これらのプログラムは義務化される可能性は低いものの、デジタルサービスへのアクセスにおいて、ますます必要になると予想されます。

「Q-Day」、つまり、量子コンピュータが現在の大半の非対称暗号を解読できる能力を得る日は、2026年に到来する可能性が高いと考えられます。こうしたシステムのセキュリティはかつてないほど重要になります。組織は、パスキーやデバイスに紐づく認証情報を通じて人の認証を強化するだけでなく、サービスアカウント、APIキー、そしてAIエージェントの認証情報といった「マシンアイデンティティ」に対しても、人間と同様の厳格なガバナンスを適用しなければなりません。

4.シャドウ・シンジケートが地政学的リスクを標的にする

組織犯罪グループとサイバー犯罪組織が結託し、「シャドウ・シンジケート」とも呼ぶべき共同戦線が形成されると予想されます。この新たな脅威は、サイバーツールを用いてあらゆる地域の地政学上の要衝や重要インフラを標的とした物理的な活動を展開するでしょう。

KnowBe4のCISOアドバイザーであるエリック・クロン（Erich Kron）は、「2026年の米中間選挙は、攻撃グループがソーシャルメディアとAIを利用して、ミスインフォメーションやディスインフォメーションの拡散キャンペーンを展開することによって引き起こされる深刻な課題に直面するだろう」と予測しています。「これは2028年の大統領選挙に向けた訓練となり、将来の攻撃の形態、およびミスインフォメーション・ディスインフォメーションキャンペーンに対して必要とされる防御の道筋を開くでしょう」。さらに、KnowBe4のCISOアドバイザーであるジェームズ・マクイガン（James McQuiggan）は、一部の州が独自のAI関連法を制定し、規制上の混乱が生じると予想しています。

これらの予測トレンドは、サイバーセキュリティ分野で数十年の経験を持つKnowBe4のグローバルCISOアドバイザー・チームによってまとめられました。

KnowBe4の専門家チームに関する詳細は、こちら(https://www.knowbe4.com/speakers#meetouradvocates)をご確認ください。

