2026年1月、世界経済フォーラムとアクセンチュアは、世界各国のCEOやCISOを対象に、サイバーセキュリティに関する視点や優先事項を調査した最新レポート「グローバル・サイバーセキュリティ・アウトルック 2026」を公開しました。

　今回は、このレポートをもとに、2026年に企業が直面する最新のサイバー脅威の実態と、激化する攻防を生き抜くために不可欠な防衛戦略の要点を解説します。

生成AIの進化がもたらすサイバー犯罪の巧妙化と経営層の危機感

　2026年のサイバーセキュリティを大きく揺さぶっているのが、急速に普及するAI（人工知能）です。調査対象となった回答者の94％が、今後1年間のサイバーセキュリティに最も大きな影響を与える技術としてAIを挙げています。

　防御側は、脅威の検知や運用の自動化、インシデント対応の迅速化にAIを活用し、防御力を高めています。一方で攻撃側もAIを使い始めており、大規模なデータを悪用した標的の絞り込みや、説得力のあるフィッシングメール、ディープフェイク音声の自動生成によって、ソーシャルエンジニアリングの規模と精度を引き上げています。

　このような状況下で、組織のトップが抱く懸念も大きく変化しました。2025年にはCEOの最大の懸念はランサムウェア攻撃でしたが、2026年にはサイバー詐欺やフィッシングへと移りました。

　実際、回答者の73％が、過去12カ月の間に自身または自組織の関係者がサイバー詐欺の被害に遭ったと答えており、身近な脅威としての認識が急速に広まっていることがわかります。

　AIに関する懸念も変化しており、生成AI経由での機密データ漏えいや、攻撃手法そのものの高度化に対する不安が経営陣の間で広がっています。

　一方で、現場の防衛を指揮するCISO（最高情報セキュリティ責任者）の最大の懸念は、依然としてランサムウェア攻撃とサプライチェーンの途絶です。経営層が経済的損失の防止や新たな詐欺手法への対応を重視するのに対し、現場はシステムの安定稼働や事業継続の維持を重視している構図が浮かび上がります。

　AIがもたらす高度な脅威に対抗するには、こうした組織内の視点の違いを埋め、全社的な方針としてAIの安全な運用ルールを整備する姿勢が求められます。すでにAIツールの導入前にセキュリティ評価を行う組織は、前年の37％から64％へと倍増しており、警戒から具体的な行動へと移行する企業が増加しています。

CEOとCISOのサイバーリスクに対する懸念事項のランキング。経営層と現場で優先する脅威が異なります。画像は論文より。

地政学リスクがあぶり出す重要インフラの弱点とデータ主権の課題

　サイバー攻撃の標的や手法は、国際情勢の緊張と深く連動しています。全体的なサイバーリスク緩和戦略において、地政学的な要因をトップの考慮事項として挙げる組織は多く、回答者の64％が重要インフラの破壊やスパイ活動といった国家の関与が疑われるサイバー攻撃を警戒しています。

　紛争や制裁、技術覇権をめぐる争いが激化するなかで、サイバー空間は国家間の競争を繰り広げる新たな外交・影響力行使のツールとなっています。

　調査によれば、自国が重大なサイバーインシデントに適切に対応できると確信している民間企業のCEOは45％に届きませんでした。また、回答者全体の31％が自国の対応能力に対する信頼度が低いと回答しており、昨年の26％からさらに悪化する結果となりました。

　エネルギーや交通、水道といった生活に直結するインフラが攻撃を受けた場合、その被害は一つの企業にとどまらず社会全体へと波及します。

　これに対応するため、多くの国家や企業が海外の技術プロバイダーやグローバルなクラウドインフラへの依存度を見直し、データの主権やシステムの自律性を確保しようとする動きを加速させています。

　たとえば欧州の複数の自治体や連邦機関は、データ保護基準を遵守し外部からの管理リスクを軽減するため、地域で管理されるソブリンクラウドソリューションへの移行を始めています。課題は、オープンで相互接続されたデジタル環境の利便性を保ちながら、外部からの干渉や遮断に耐えられるだけの主導権をどう確保するかです。多くのリーダーが、この難題に直面しています。

サイバーリスク緩和戦略で考慮すべき事項の調査結果です。地政学的なサイバー攻撃への警戒が最上位です。

複雑に絡み合うサプライチェーンと隠れたリスクに対するエコシステム全体の防衛

　現代のビジネス環境において、一つの組織が単独でサイバーリスクを完全にコントロールすることは不可能です。大規模な収益を上げる大企業の65％が、サードパーティおよびサプライチェーンの脆弱性をサイバーレジリエンス構築における最大の課題として挙げており、前年の54％から大きく増加しています。

　デジタルサプライチェーンは複雑に絡み合っており、どこか一つの取引先やサービス提供者が侵害されれば、その影響は瞬く間にドミノ倒しのように全体へと広がっていきます。

　特に問題視されているのが、外部から導入したソフトウェアやハードウェア、サービスの安全性を自社で直接確認できないという不透明さです。多くの業界で取引先や委託先から持ち込まれるリスクや、拡張されたサプライチェーンに対する視認性の欠如が上位の懸念として挙げられています。

　こうした供給網の脆弱性は、ソフトウェアやベンダー管理だけの問題ではありません。通信インフラそのものにも、深刻な集中リスクがあります。

　国際電気通信連合事務総長のドリーン・ボグダン＝マーティン氏は、「私たちのデジタル世界は海深く横たわるケーブルを通じて動いており、国際データトラフィックの99％が流れるこの生命線は、たった一箇所の切断が数十億人の生活を混乱させる可能性がある」と警鐘を鳴らしています。

　システムや通信の基盤を一部の重要なプロバイダーに過度に依存することは、リスクの集中を招きます。サイバーセキュリティにかかるコストは莫大であり、ある試算では大規模な攻撃による損失が自社だけでなく関連サプライヤーを含めた経済全体で数十億ドル規模に達する事例も報告されています。

　自社だけの防壁を高くするのではなく、取引先を含めたエコシステム全体で防御力を底上げする協調的なアプローチが不可欠になっています。

レジリエンス水準別のサプライチェーンリスク管理手法です。高い組織ほどエコシステム全体を防御します。

サイバー対応能力の格差を生み出す深刻な人材不足とレジリエンスの分断

　技術や脅威が高度化する一方で、それを防御するためのリソースや専門知識へのアクセスには、地域や組織の規模によって大きな偏りが生じています。この「サイバーインエクイティ（サイバー対応能力の格差）」を押し広げている最大の要因が、深刻なセキュリティ人材不足です。

　調査結果を見ると、サイバーレジリエンスが不十分だと自覚している組織の実に85％が、目標達成に必要な人材やスキルが欠けていると回答しています。対照的に、高いレジリエンスを誇る組織でスキル不足を課題として挙げたのはわずか22％でした。

　脅威分析を担うアナリストや、開発・運用の段階からセキュリティを組み込む専門人材の不足は、各所で深刻化しています。AIツールの導入によって一部の作業を自動化する動きは進んでいますが、そのAIを安全に統制し、戦略的かつ倫理的な判断を下すための人間の専門知識は依然として欠かせません。

　格差を縮めるためには、単なる技術の導入だけでなく、教育プログラムの拡充や、リソースに余裕のある大企業がサプライチェーン内の中小企業に対して専門的な支援や助言を行うといった、相互扶助の仕組みづくりが急務となっています。

組織のレジリエンス水準とサイバー人材やスキル不足の関係です。低い組織ほど深刻なスキル不足を抱えます。

すべての組織に求められる戦略的投資と協調的な防衛へのシフト

　2026年のサイバー空間は、AIの台頭による攻撃の自動化や地政学的な対立の激化によって、予測困難な領域へと突入しています。さらに2030年に向けて、自律型ロボティクスシステムやデジタル通貨、宇宙技術、そして気候変動による物理的インフラへのダメージなど、次世代の脅威ベクトルが水面下で静かに力を蓄えています。

　もはやサイバーセキュリティは、情報システム部門の技術的な課題として片付けられるものではありません。企業の競争力やブランドの信頼を左右し、ひいては国家の経済活動や社会基盤の安定に直結する、極めて戦略的かつ経済的な経営課題になっているのです。

　単独でこの複雑な脅威に立ち向かうことは難しく、サプライチェーン全体を見渡し、パートナー企業や政府機関とも積極的に情報を共有し合うエコシステム型の防衛が求められています。

　人材や資金の不足に悩む組織をどう支援し、社会全体の防御力の底上げを図るかという課題に向き合うことも、デジタル経済を牽引するリーダーたちの重要な責務です。

　自社のシステムや事業基盤を守り、被害を受けても素早く立て直す力、すなわちサイバーレジリエンスを強化することこそが、この不確実な時代を生き抜く鍵になります。自社だけでなく、見えにくいサプライチェーンの末端まで含めて防衛の網を広げられているかが、今、あらためて問われています。

解説画像