WORLD TREND
2026年のサイバー脅威:AI型ソーシャルエンジニアリングが首位に躍り出る、ISACA調査で判明

2026年のサイバー脅威:AI型ソーシャルエンジニアリングが首位に躍り出る、ISACA調査で判明

テクノロジーAIセキュリティAIサイバーセキュリティソーシャルエンジニアリングISACAリスク管理

2026年、サイバーセキュリティの専門家たちが最も警戒すべき脅威として、AIを活用したソーシャルエンジニアリングが浮上しています。ISACAが2025年10月20日に発表した最新の技術トレンドと優先事項に関する調査報告書によると、ITおよびサイバーセキュリティ専門家の63%が、このAI駆動型攻撃を主要な課題と見なしています。これは、長年上位にランクインしていたランサムウェアや恐喝攻撃(54%)、サプライチェーン攻撃(35%)を凌ぐ結果であり、AIがサイバー攻撃の様相を大きく変えつつあることを示唆しています。

AIリスクへの備え:進むも課題山積

AIリスクへの準備状況

調査対象となったITおよびサイバーセキュリティ専門家のうち、生成AIのリスク管理に「非常に準備ができている」と回答したのはわずか13%でした。「ある程度準備ができている」が50%、「あまり準備ができていない」が25%という結果から、多くの組織がAIの急速な進化に対して、まだ十分な対応策を講じられていない現状が浮き彫りになりました。ISACAの報告書は、「ほとんどのITおよびサイバーセキュリティ専門家は、ガバナンス、ポリシー、トレーニングをまだ開発段階にあり、重大なギャップが残っている」と指摘しています。

AIへの投資意欲と技術的優先事項

一方で、将来的なAIへの投資の必要性は多くの専門家が認識しており、回答者の3分の2(62%)が2026年の技術的優先事項としてAIと機械学習を挙げています。これは、AIがもたらす機会と脅威の両側面を認識し、その活用を模索する動きが加速していることを示しています。

各国のAI規制の現状と課題

AIの安全保障と規制に関する議論も活発化しています。特にEUでは包括的なAI法(AI Act)が施行され、企業にとってAIコンプライアンスの明確化に寄与すると期待されています。しかし、米国では連邦レベルでの統一的な規制がなく、各州が個別に法整備を進めている状況が、「コンプライアンスの悪夢」と評されています。複数の州で事業を展開する企業にとって、州ごとに異なる規制への対応は大きな負担となり得ます。

サイバー人材不足とISACAの推奨事項

サイバー人材の獲得競争

ISACAの調査では、サイバー人材の不足も深刻な懸念事項として挙げられています。回答者のわずか18%が、強力な人材パイプラインを有していると認識しています。デジタル信頼(Digital Trust)関連の職務で2026年に採用を増やすと回答した専門家は39%いる一方で、44%は適格な候補者を見つけることに困難を予想しており、サイバー人材獲得競争の激化が示唆されます。

2026年に向けたISACAの推奨事項

ISACAは、2026年に向けた組織の準備のために、以下の5つの主要な提言を行っています。

  • 堅牢なAIガバナンスとリスクフレームワークの確立
  • ワークフォースのスキルアップと人材パイプライン開発の加速、継続的な学習、認定、社内異動への投資
  • 脆弱性の低減と俊敏性の向上に向けたレガシーシステムとインフラの近代化
  • インシデント対応計画、ランサムウェア復旧戦略、部門横断的な危機管理プロトコルの開発と定期的なテストを通じたサイバーレジリエンスと事業継続計画の強化
  • 規制変更の監視、専門家コミュニティとの連携、コンプライアンスツールとフレームワークへの投資による規制の複雑性と国際コンプライアンスリスクへの対応

考察:AI時代のサイバーセキュリティ戦略の転換点

AIによる脅威の巧妙化と対策の緊急性

AI型ソーシャルエンジニアリングが2026年の最重要サイバー脅威として浮上したことは、サイバー攻撃がより高度化、個別化、そして巧妙化していくことを意味します。AIは、人間の心理的な隙を突くための精巧な偽情報やフィッシングメールの生成、さらにはディープフェイク技術を用いたなりすましなど、従来の手法を遥かに凌駕する能力を持っています。この変化に対応するためには、技術的な対策だけでなく、従業員一人ひとりのセキュリティ意識の向上と、AIの挙動を理解した上での防御策が不可欠となります。

規制とイノベーションのバランス

AI規制は、その恩恵を享受しつつリスクを管理するための重要なツールですが、過度な規制はイノベーションを阻害する可能性も指摘されています。特に米国のような規制の多様性は、グローバルに事業を展開する企業にとって大きな課題です。今後は、効果的なAIガバナンスを確立しつつ、技術革新を促進できるような、国際的に調和のとれた規制の枠組みが求められます。ISACAの提言にあるように、組織は規制の動向を注視し、柔軟に対応できる体制を構築する必要があります。

人材育成と「デジタル信頼」の強化

サイバー人材の不足は、AI時代のセキュリティ課題をさらに深刻化させます。AI技術の進展は、新たなセキュリティリスクを生み出すだけでなく、それに対応するための高度なスキルを持つ人材の需要も高めます。組織は、単に採用を増やすだけでなく、既存の人材のリスキリングやアップスキリングに積極的に投資し、継続的な学習文化を醸成することが急務です。AIを活用したセキュリティソリューションの導入と並行して、人間の専門知識と判断力を高めることが、「デジタル信頼」を確保する上で不可欠となるでしょう。

参照元: https://www.infosecurity-magazine.com/news/ai-social-engineering-top-cyber/
画像: AIによる生成