ガートナー、2026年の日本企業における「セキュリティの重要論点」9つを発表

　ガートナージャパン（以下、Gartner）は、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表した。

【論点1】新たなセキュリティ・ガバナンス

　世界的なサイバーセキュリティの脅威やAIを含めた新たなリスクの高まりと法規制強化を背景に、日本企業でも経営層の意識が変化しているという。サイバーセキュリティ・リーダーには、経営層への質の高いインプットや投資判断材料の提供、戦略立案など、より高度な役割が求められているとのことだ。

　クラウド、AI、サードパーティ／サプライチェーン、サイバー・フィジカルなど新たなリスクへの対応には、従来のガバナンスでは限界があり、セキュリティ人材の育成と戦略の再構築が急務だという。企業は今、新しい時代に適応するためのセキュリティ体制を見直す必要があるとしている。

【論点2】新たなデジタル・ワークプレースとセキュリティ

　AIエージェントの普及は業務効率を高める一方、乗っ取りによる不正アクセスのリスクが高まる可能性があるとのこと。企業は、AIエージェントのインベントリ管理、認証、権限管理などのガバナンス強化に加え、AI共生時代に対応したポリシーの策定とガイドラインの再整備が必要になるとしている。

　生成AIやデータ活用を前提とした働き方においては、セキュリティ意識を高める教育とセキュリティ・アウェアネスの再設計が急務だという。

【論点3】セキュリティ・オペレーションの進化

　国内企業では、AIによるセキュリティ運用の自動化や異常検知への期待が高まる一方、実際に効果的な導入を実現している企業は依然として少数だという。機械学習を活用した脅威分析の高度化が進む中、早期検知に課題を抱え、被害発生後にインシデントを把握するケースも散見されるとのことだ。

　また、アタック・サーフェス・マネジメント（ASM）による脅威の可視化が広がりつつあるものの、予算や人材不足から十分な対策が取れない企業も多く、テクノロジの活用に限界が見られるという。加えて、「境界防御」から「内部侵入を想定した防御」への転換が進む中、様々な取り組みを進化させる重要性は増しているものの、実効性のある運用体制構築は依然として大きな課題だとしている。

【論点4】インシデント対応の強化

　国内企業で相次ぐランサムウェア攻撃は、甚大な損失をもたらす一方、セキュリティ・インシデントを重大なビジネス・リスクとして捉える契機になっているという。こうした事態を受け、既存のBCPやIT-BCPの見直しが必要になっているとのことだ。

　システム停止時に業務継続を可能にするコンティンジェンシ・プランの整備や、属人化した対応ノウハウの排除が求められているという。また、身代金支払い方針、情報公開方針、バックアップや復旧プロセスの強化など、従来十分に議論されてこなかった領域の再検討が急務だとしている。

【論点5】サイバー攻撃／マルウェアへの対応

　昨今のランサムウェア攻撃は、業務停止や身代金要求に加え、情報公開の脅迫など複数の被害をもたらし、企業経営や信用に深刻な影響を及ぼしているという。こうした状況にもかかわらず、基本的なセキュリティ対策の徹底が依然として課題になっているとのことだ。

　攻撃の高度化にともない、脅威を事前に阻止し、攻撃者を欺く「先制的サイバーセキュリティ対策」への注目が高まっているという。また、リモート・アクセスにおけるVPN利用の懸念を背景に、ゼロトラストの仕組みを内包するゼロトラスト・ネットワーク・アクセス（ZTNA）の導入を検討する企業が改めて増えているとのこと。企業は予測能力を強化し、防御戦略を抜本的に見直す必要があるとしている。

【論点6】内部脅威への対応：増加する内部脅威、企業に求められる検知体制の強化

　国内企業では、退職者による情報持ち出しや削除、いわゆる「手土産転職」や「リベンジ退職」、さらに出向者による顧客情報の持ち帰りなど、内部脅威が深刻化しているという。こうした不正は、外部からのサイバー攻撃と異なり、絶対的な脅威指標がなく検知が難しいことが課題だとしている。

　PC操作ログだけでは正規の行動との区別が困難なため、ユーザーの振る舞いを検知要素に取り入れるなど、より広範囲を対象とした検知メカニズムの整備が急務だという。企業は内部脅威への対応を強化し、情報漏えいリスクを最小化する体制構築を進める必要があるとのことだ。

【論点7】規制／サードパーティ／サプライチェーン・リスクへの対応

　世界各国で法規制や安全保障に関する動きが加速する中、日本企業が国内基準だけで判断することは、ビジネス・リスクを高める要因になっているとのこと。越境データの取り扱いやグローバル・セキュリティ・ガバナンスへの対応は、今や企業戦略の重要課題だとしている。

　加えて、サードパーティやサプライチェーンの脆弱性は、企業だけでなく顧客や取引先を含む社会全体のオペレーションに甚大な影響を及ぼす可能性があるという。こうした背景から、多くの企業で長年手つかずとなっていたサイバーリスク・マネジメントを本格的に開始することが急務だと述べている。

【論点8】クラウド／CPS／量子コンピューティングのリスクへの対応

　クラウド・セキュリティ・ツールの急速な進化により、適切な選択が難しくなっている中、日本企業では導入に踏み切れずに、脆弱性や設定ミスによるリスクを抱えたままクラウドを利用するケースが見られるという。

　また、1日24時間／週7日の稼働やレガシー機器を前提とするサイバー・フィジカル・システム（CPS）は、従来のITセキュリティでは対応しきれない課題を抱えているとのことだ。加えて、2030年までに現行の暗号技術が量子コンピューティングで破られる可能性が指摘される中、暗号化技術の段階的な移行計画策定は多くの企業にとって大きな課題だとしている。

　企業は、複雑化するリスクを的確に把握し、リスク・ダッシュボードなどを活用して経営層と戦略的な議論を進める体制を整える必要があるとのことだ。

【論点9】AI/D&Aのリスクへの対応

　AIの導入が進む中、多くの企業が利用ガイドライン策定や従業員教育を進めている一方で、SaaSや独自構築のAI増加によりアタック・サーフェスが拡大し、リスク・アセスメントや継続的な管理に課題を抱えているという。AIエージェントの登場により、市民開発の議論も再燃している中、新たなAIリスク・マネジメントへの対応が必要になるとのことだ。AI TRiSM（AIのトラスト／リスク／セキュリティ・マネジメント）の整備が急務だという。

　また、データ／アナリティクス（D&A）領域では「データの過剰共有」への対応が依然として課題になっているとのこと。ユーザーがデータ・オーナーとして主体的にリスクに対処できる環境の整備の必要性から、セキュリティ部門とデジタル推進部門の連携強化がより重要になっていると述べている。

【関連記事】
・2026年の世界におけるAI支出は2.5兆ドル、前年比44％増──Gartner予測
・データ活用の十分な成果を全社的に得られている日本企業は2.4％のみ──Gartner調査
・2028年までに70％の日本企業は「時代錯誤な言葉」を使い続けて衰退する──Gartner予測