- AI がサイバー脅威・防御の双方で主役となり、「AI セキュリティ」という分野が確立。AI エージェントに よる膨大な API トラフィックとボットに対し、内部ゼロトラストの徹底と監視が重要に
- データ保護において、ポスト量子暗号(PQC)への対応が「任意」から「必須」に。データの急増に対 し、データ保護と暗号化は「自立制御」による運用フェーズに
- 多くの重大インシデント要因が、認証・ID 管理の更新遅れなど基本対策の不徹底によるもの。ゼロトラストの徹底や PQC 認証への移行を通じ、レジリエンス前提の ID・アクセス管理へ
世界をリードするテクノロジーとセキュリティのプロバイダーであるタレスは、この度、2026 年のサイバーセキュリティのトレンドを展望する最新予測を発表しました。AI、量子コンピューティングなど最新技術が普及 する中、セキュリティの基本原則を徹底することが、企業のレジリエンスと競争力を左右する決定的なポイントになると指摘しています。
アプリケーション/API セキュリティ―AI が新たな攻撃面と防御インフラを形成
生成 AI、大規模言語モデル、自律型エージェントの企業内利用が急拡大する中で、プロンプトインジェクション、データポイズニング、不正なモデル挙動といった AI 特有のリスクが顕在化しています。10 年前、「アプリケーションセキュリティ」が新しいセキュリティ分野であったように、2026 年は「AI セキュリティ」が専門分野として確立されると予測します。企業は、AI モデルを監視し、不正な入力や出力を除去し、必要に応じてサンドボックス化するガバナンスレイヤーを導入しなければなりません。その中で、モデルの誤用やドリフトを検知し、AI 基盤そのものを「守るべき重要資産」として扱う姿勢が求められます。
同時に、AI エージェントが大量の組織内 API トラフィックを生み出すことで、従来の WAF や境界型アプリケーションセキュリティでは捉えきれない「内部の死角」が拡大しています。2026 年には、ネットワーク内部のトラフィックも「信頼できないもの」とみなし、内部 API の常時モニタリングや、サービスメッシュと統合された WAF の活用、侵害・操作されたエージェントの異常挙動を見抜く分析基盤を整えるといった、「内部ゼロトラスト」の取り組みが加速すると見込まれます。
AI 駆動型ボットやスクレイピングもアプリケーションセキュリティの前提を変えつつあります。自己学習・自己適応 する「プレデターボット」が、マルチクラウド環境や多数の API を足場に進化することで、ボット対策は、単にボット を見つけてブロックする段階から、ボットの意図を見抜き、挙動を特徴づけ、アプリケーション層に到達する前に妨害する段階へと進みます。企業は、常時のボット分析や異常検知、AI 対 AI のカウンターメジャーへの投資を強化し、ボットによる不正行為や認証情報乱用、API 悪用の急増に備える必要があります。
さらに、攻撃者は LLM ベースのエージェントを使ってパッチの解析やロジックバグの探索を高速化しており、ゼロデイの発見から武器化までの時間は「分」単位にまで短縮されつつあります。対応力にばらつきのあるサプライチェーン全体が、AI 駆動型の「弱い部分を狙い撃つ攻撃」の標的になりつつあります。防御側はエクスプロイトパターンをその場で検知し、誤設定を自動修正し、侵害範囲を自動的に封じ込めるといった「継続的かつ適応型の防御」へと移行することが求められます。
データセキュリティ―ポスト量子暗号対応の必須化と、データ保護の自律化フェーズへ
標準化団体による PQC の勧告が進む中、タレスは 2026 年を「量子対応が任意から必須に変わる転換点」と位置付けています。2030 年頃までに旧暗号方式の段階的廃止が進み、2035 年頃には使用禁止のタイムラインが見え始めることで、企業は「どのシステムで、どの暗号を、どこに、どのような形で使っているのか」を正確に把握し、対応に向けたロードマップを描く必要に迫られます。
この過程で、「暗号アジリティ」と「暗号インテリジェンス」の重要性が高まります。量子コンピューティングが現実味を帯びる中、暗号アルゴリズムを数年単位のプロジェクトとして入れ替えるのではなく、数時間から数日のオペレ ーションとして入れ替えられるかどうかが、レジリエンスの鍵になります。2026 年には、暗号データ資産の全社的な棚卸しと可視化、継続的モニタリング、手動と自動を組み合わせた暗号設定の是正・更新が進み、「暗号ポスチャー管理」が企業アーキテクチャの常設機能として位置づけられていくと予測されます。
一方、データ保護と暗号化自体も、「自律制御」の段階へ向かっています。爆発的に増えるデータ量と複雑な利用形態に対し、人手ベースの管理はすでに限界を迎えつつあります。2026 年には、AI が構造化・非構造化データを横断して機微情報を自動的に発見し、その文脈や価値、リスクを解釈しながら自動でラベリングと分類を行い、必要に応じて暗号化やトークナイゼーション、アクセス制御を適用する、といった「自律型データセキュリティ」「自律型暗号化」への移行が進むと見込まれます。これにより、データの見落としから生じるリスクを抑えつつ、限られた人材で広範なデータ環境を守ることが可能になります。
ID・アクセス管理(IAM)―「基本対策の不徹底」が最大のリスク要因に
2025 年に発生した多くの重大インシデントは、AI や量子コンピューティングといった先端技術ではなく、弱い認証情報や IAM の誤設定、レガシーソフトウェアの継続利用といった基本的なセキュリティ対策の不徹底が主因であることが明らかになっています。Ponemon Institute の調査によれば、侵害の 4 分の 3 以上は ID 関連の脅威に起因し、クラウドにおけるインシデントの約 44%は IAM の誤設定に紐づいています。
こうした中で、ゼロトラストと ID 管理の考え方も、被害を抑え事業継続を守るための「現実的なレジリエンス」へフォーカスされていきます。言い換えると、2026 年、CISO は「すべての攻撃を防ぐ」ことを目指すのではなく、「障害前提の設計」と「事業継続性」を重視するようになります。ベンダー向けアクセス権を最小限に抑えるゼロトラストの原則を徹底し、重要データについてはマルチクラウドやマルチリージョンによる冗⾧化を行い、IAM ポリシーのチューニングと継続的なテストによって、第三者障害や設定ミスが発生しても事業への影響を最小限にとどめるアプローチが広がると考えられます。
量子時代の ID 管理という観点では、金融、ヘルスケア、重要インフラなどの分野で、ID・認証基盤そのものをポスト量子暗号に対応させる動きが加速します。2026 年には、先進的な企業が、ポスト量子認証フレームワークのパイロットを開始し、より広範な暗号アジリティプログラムに IAM を統合していくと予測されます。商用量子コンピュータがまだ存在しないとしても、HDNL 攻撃(Harvest Now, Decrypt Later:今収集し後で解読)が現実の懸念である以上、ポスト量子認証は「将来の課題」ではなく「現在進行形の必須要件」となっています。
タレス DIS ジャパンサイバーセキュリティプロダクト事業本部⾧兼子晃は次のように述べています。
「AI の爆発的な拡大と量子コンピューティングという大きな潮流の中、データを保護するために必要なセキュリティ対策の基本が、これまで以上に重要度を増しています。ポスト量子時代に向けた対応は、単なる技術的な課題にとどまらず、データガバナンス全体を再構築する機会であり、同時に顧客からの信頼を維持・強化するための経営戦略でもあります。日本は国際的に慎重な対応が指摘される一方で、2026 年度はシステム全体を見直し、統一的な最新セキュリティ基盤への移行を検討する好機です。オンプレミス、クラウド、マルチクラウドといった多様な環境に散在するデータを横断的に発見・分類・保護する仕組みを整えることで、持続的な競争優位を築くことができます。この変革を主体的に進められるかどうかが、デジタル社会における信頼とセキュリティを左右すると考えています。」
報道関係の方からのお問い合わせ
タレス サイバーセキュリティ部門 広報代理
ホフマンジャパン株式会社
担当 : 白木/松崎/石田/小倉
Email: ThalesJP@hoffman.com