Gartner、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表

ビジネスおよびテクノロジのインサイトを提供するガートナージャパン株式会社 (以下Gartner) は、2026年に押さえておくべき日本におけるセキュリティの重要論点を発表しました。

サイバー攻撃や内部脅威といったセキュリティの脅威に加え、昨今では、AI、サイバー・フィジカル、サードパーティ／サプライチェーン、量子コンピューティングのリスクや法規制への対応が急務になっています。

バイス プレジデント チームマネージャーの礒田 優一は、次のように述べています。「日々変化するサイバーセキュリティ領域においては、場当たり的な対応をただ続けるのみでは、多様な情報に振り回され、いつか疲弊します。サイバーセキュリティ・リーダーは、視野を広げ、単なる作業計画ではなく、未来の価値創造のための戦略を設計する必要があります」

サイバーセキュリティ領域における2026年の重要論点は以下の通りです。

論点1. 新たなセキュリティ・ガバナンス

世界的なサイバーセキュリティの脅威やAIを含めた新たなリスクの高まりと法規制強化を背景に、日本企業でも経営層の意識が変化しています。サイバーセキュリティ・リーダーには、経営層への質の高いインプットや投資判断材料の提供、戦略立案など、より高度な役割が求められています。

クラウド、AI、サードパーティ／サプライチェーン、サイバー・フィジカルなど新たなリスクへの対応には、従来のガバナンスでは限界があり、セキュリティ人材の育成と戦略の再構築が急務です。企業は今、新しい時代に適応するためのセキュリティ体制を見直す必要があります。

論点2. 新たなデジタル・ワークプレースとセキュリティ

AIエージェントの普及は業務効率を高める一方、乗っ取りによる不正アクセスのリスクが高まる可能性があります。企業は、AIエージェントのインベントリ管理、認証、権限管理などのガバナンス強化に加え、AI共生時代に対応したポリシーの策定とガイドラインの再整備が必要になります。

生成AIやデータ活用を前提とした働き方においては、セキュリティ意識を高める教育とセキュリティ・アウェアネスの再設計が急務となっています。

論点3. セキュリティ・オペレーションの進化

国内企業では、AIによるセキュリティ運用の自動化や異常検知への期待が高まる一方、実際に効果的な導入を実現している企業は依然として少数です。機械学習を活用した脅威分析の高度化が進む中、早期検知に課題を抱え、被害発生後にインシデントを把握するケースも散見されます。

また、アタック・サーフェス・マネジメント (ASM) による脅威の可視化が広がりつつあるものの、予算や人材不足から十分な対策が取れない企業も多く、テクノロジの活用に限界が見られます。さらに、「境界防御」から「内部侵入を想定した防御」への転換が進む中、さまざまな取り組みを進化させる重要性は増していますが、実効性のある運用体制構築は依然として大きな課題になっています。

論点4．インシデント対応の強化

国内企業で相次ぐランサムウェア攻撃は、甚大な損失をもたらす一方、セキュリティ・インシデントを重大なビジネス・リスクとして捉える契機となっています。こうした事態を受け、既存のBCPやIT-BCPの見直しが必要になっています。

システム停止時に業務継続を可能にするコンティンジェンシ・プランの整備や、属人化した対応ノウハウの排除が求められています。さらに、身代金支払い方針、情報公開方針、バックアップや復旧プロセスの強化など、従来十分に議論されてこなかった領域の再検討が急務となっています。

論点5. サイバー攻撃／マルウェアへの対応

昨今のランサムウェア攻撃は、業務停止や身代金要求に加え、情報公開の脅迫など複数の被害をもたらし、企業経営や信用に深刻な影響を及ぼしています。こうした状況にもかかわらず、基本的なセキュリティ対策の徹底が依然として課題となっています。

攻撃の高度化に伴い、脅威を事前に阻止し、攻撃者を欺く「先制的サイバーセキュリティ対策」への注目が高まっています。また、リモート・アクセスにおけるVPN利用の懸念を背景に、ゼロトラストの仕組みを内包するゼロトラスト・ネットワーク・アクセス (ZTNA) の導入を検討する企業が改めて増えています。企業は予測能力を強化し、防御戦略を抜本的に見直す必要があります。

論点6. 内部脅威への対応：増加する内部脅威、企業に求められる検知体制の強化

国内企業では、退職者による情報持ち出しや削除、いわゆる「手土産転職」や「リベンジ退職」、さらに出向者による顧客情報の持ち帰りなど、内部脅威が深刻化しています。こうした不正は、外部からのサイバー攻撃と異なり、絶対的な脅威指標がなく検知が難しいことが課題となっています。

PC操作ログだけでは正規の行動との区別が困難なため、ユーザーの振る舞いを検知要素に取り入れるなど、より広範囲を対象とした検知メカニズムの整備が急務となっています。企業は内部脅威への対応を強化し、情報漏えいリスクを最小化する体制構築を進める必要があります。

論点7. 規制／サードパーティ／サプライチェーン・リスクへの対応

世界各国で法規制や安全保障に関する動きが加速する中、日本企業が国内基準だけで判断することは、ビジネス・リスクを高める要因となっています。越境データの取り扱いやグローバル・セキュリティ・ガバナンスへの対応は、今や企業戦略の重要課題です。

さらに、サードパーティやサプライチェーンの脆弱性は、企業だけでなく顧客や取引先を含む社会全体のオペレーションに甚大な影響を及ぼす可能性があります。こうした背景から、多くの企業で長年手つかずとなっていたサイバーリスク・マネジメントを本格的に開始することが急務となっています。

論点8. クラウド／CPS／量子コンピューティングのリスクへの対応

クラウド・セキュリティ・ツールの急速な進化により、適切な選択が難しくなっている中、日本企業では導入に踏み切れずに、脆弱性や設定ミスによるリスクを抱えたままクラウドを利用するケースが見られます。

また、1日24時間／週7日の稼働やレガシー機器を前提とするサイバー・フィジカル・システム (CPS) は、従来のITセキュリティでは対応しきれない課題を抱えています。さらに、2030年までに現行の暗号技術が量子コンピューティングで破られる可能性が指摘される中、暗号化技術の段階的な移行計画策定は多くの企業にとって大きな課題になっています。

企業は、複雑化するリスクを的確に把握し、リスク・ダッシュボードなどを活用して経営層と戦略的な議論を進める体制を整える必要があります。

論点9. AI/D&Aのリスクへの対応

AIの導入が進む中、多くの企業は利用ガイドライン策定や従業員教育を進めています。一方で、SaaSや独自構築のAI増加によりアタック・サーフェスが拡大し、リスク・アセスメントや継続的な管理に課題を抱えています。AIエージェントの登場により、市民開発の議論も再燃している中、新たなAIリスク・マネジメントへの対応が必要になります。AI TRiSM (AIのトラスト／リスク／セキュリティ・マネジメント) の整備が急務です。

また、データ／アナリティクス (D&A) 領域では「データの過剰共有」への対応が依然として課題になっています。ユーザーがデータ・オーナーとして主体的にリスクに対処できる環境の整備の必要性から、セキュリティ部門とデジタル推進部門の連携強化がより重要になっています。

Gartnerのサービスをご利用のお客様は、日本における重要論点：2026年企業は何をすべきかで詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

ガートナー セキュリティ&リスク・マネジメント サミットについて
Gartnerのアナリストは、7月22～24日に開催するガートナー セキュリティ&リスク・マネジメント サミットにおいて、セキュリティおよびリスク・マネジメント・リーダーに向けて最新のインサイトを提供します。コンファレンスに関するニュースや最新情報は、XやLinkedInで#GartnerSECを使用してご覧いただけます。