ガートナー社 2025年 SIEM部門のマジック・クアドラント
Splunkが11回連続でリーダーに選出された理由をこちらからご確認ください。
2026年の予測:SOCでリスクを受け入れてAIの成果を獲得
「責任感が強すぎる」ということはあるのでしょうか?セキュリティリーダーの多くは、入念なリスク管理を誇りにしています。しかし、今日の環境では、過度な慎重さがいつの間にか競争上の足かせとなる場合もあるのです。
2026年に、セキュリティチームはリスクを進んで受け入れるようになるでしょう。なぜなら、世界がAIによって大きく変わっていくなか、職務で優れた成績をあげる土台となってきた慎重な姿勢によって、今やチームは危険にさらされているからです。
Anthropic社の最近の報告によると、中国政府の支援を受けた可能性が高いグループが指揮するサイバースパイ活動では、作戦の80~90%がAIによって自律的に実行されていました。偵察、エクスプロイトの開発、認証情報の収集、データの窃取といったタスクはすべて、機械の速度、規模、勢いで実行され、そのレベルは人間のチームが到底及ばないものだったのです。
攻撃者がこうした新たなスピードで活動する一方、多くのセキュリティ組織は、依然として慎重に考えすぎて行き詰っています。アップグレードについて議論し、新技術の導入をためらい、慎重を期してレガシーツールに頼っているのです。攻撃者がかつてない速さでイノベーションを進める世界において、真のリスクは、適応を先延ばしにすることかもしれません。
レジリエンスは戦略から始まる
デジタルレジリエンスに関する経営幹部向けの最新のインサイトをメールで直接お届けいたします。
サイバーセキュリティにおける慎重さのパラドックス
セキュリティの専門家は、リスクを回避するよう訓練されています。それがこの職務に期待されているからです。昇進が得られるのは、先陣を切ったことではなく、正しい判断をしたことによってのみです。そのため、プラットフォームの新バージョンがリリースされると、本能的に待ちの姿勢をとります。そして、他の人にテストを任せ、安全が確認されて初めて、行動を起こします。
この本能が機能したのは、脅威が人間の速度で起きていた時代のことです。しかし、AIによって数年相当のイノベーションが数週間に短縮されるなか、そうした考えでいると2026年は、サイバーセキュリティチームに破滅をもたらしかねません。
Anthropic社の調査が明らかにしたのは、将来起きることではなく、すでに起きている事象の一端です。AIが完璧に役割をこなしたわけではありません。認証情報を誤生成したり、公開情報を機密情報と誤認したりしていました。しかし、それでも問題ないのです。規模と速度が、不完全さを補って余りあるものだったからです。
セキュリティチームは通常、防御にAIを導入する際、事前に完璧であることを求めます。しかし、攻撃者は「これで足りる」レベルで運用し、スピードと規模で優位に立っています。リスク許容度において、攻撃者のほうが1周先を進んでいるのです
四半期ごとに新たな機能の導入を先延ばししていれば、それだけ市場への対応が遅れ、法規制コンプライアンスに違反するリスクが高まります。防御側と攻撃側のリスク許容度の差が、今では両者の能力の差となっています。すべてのCISOは、このことに危機感を抱くべきです。
AI活用の壁から新たな攻撃対象領域が生じる
MITの「プロジェクトNANDA」が発表した調査結果によると、生成AIに投資した組織の95%が、リターンをまったく得ていません。リターンが低いのではなく、ゼロなのです。原因は、技術そのものではありません。ほとんどのシステムが学習も適応もせず、実際の業務ワークフローと統合されてもいないことが問題なのです。
ただし、この数字では、重要な点が見えにくくなっています。MITが示す「GenAI Divide (生成AIの壁)」を乗り越えた5%の組織が手にしているのは、生産性の向上だけではありません。
その壁を乗り越えた組織は、以下のことを実現しています。
- 脅威に応じて進化する適応型の防御を構築
- 検出機能をコードとして導入
- 攻撃を受けるたびに学習を進めるシステムを開発
5%と95%を隔てる高い壁の原因は、リソースや要員ではありません。それは、意欲です。つまり、初日から完璧ではないものを繰り返し改良し、実験し、リリースする意欲の差によるものです。先進的な組織は、セキュリティ技術の捉え方が違います。完成して終わりの単発プロジェクトではなく、進化する製品だと考えているのです。
導入を先延ばしして次のバージョンを待っていると、リスクは軽減されません。むしろ増大します。レガシーシステムを1カ月長く使い続けると、攻撃者が組織の防御策を偵察し、学習し、突破するために使える時間も1カ月増えます。組織は動く標的ではなく、逃げ場のない状況に置かれた獲物となってしまうのです。
計算されたリスクは無謀ではない
ここで申しているのは、リスクの然るべき調査を事前に行うこともなく、未検証のコードを週末直前に本番環境に導入すべきということではありません。無謀であることと、計算されたリスクをとることには、大きな違いがあります。成功が観察されている組織は、内部でインキュベーターを構築しています。たとえば、サンドボックス環境です。これによって、新機能を広範に展開する前に、実際のワークロードでストレステストを行います。そうした組織は、セキュリティイノベーションを調達業務ではなく、エンジニアリングの一環と捉えているのです。
レースの合間のF1チームに例えてみましょう。McLaren社は、モナコグランプリが始まる前に、新しい空力パッケージをテストします。風洞でのテストによりシミュレーションを行います。制御された環境で失敗のコストを低く抑えつつ、すばやく学習するのです。そのうえで、自信を持って本番に臨みます。
SOCも、このように運用されるべきです。「この新機能を導入すべきかどうか」という話ではありません。大切なのは、「どれほどすばやくこの新機能を安全に検証できるか」です
スピードこそ新たなセキュリティ態勢
Splunkの「2025年のセキュリティの現状」調査レポートによると、SOCチームの46%が実際に組織を防御するよりも既存ツールの保守管理に多くの時間を費やしています。このアプローチが生み出すのは、効果的なセキュリティ運用ではありません。保守要員と、脅威インテリジェンスのサブスクリプションだけです。
先行しているチームは、その比率を逆転させています。ツールを統合するとともに、差別化につながらない負担の大きい作業を自動化することで人材を解放し、その余力を、四半期ごとにスピードを増す攻撃者に先手を打つことに振り向けているのです。
攻撃者は、組織の体制が整うまで待ってはくれません。変更リクエストも出さなければ、導入スケジュールも設定しません。手法をリアルタイムで繰り返し試行して改良し、そのためにAIを駆使しています。
セキュリティリーダーへの厳しい問い
すべてのセキュリティリーダーは、責任を持ってリスク管理を行っているつもりのようです。しかし、敢えておたずねします。慎重さということが、いつの間にか組織の最大の弱点となっていないでしょうか?
ここで、不愉快な現実を示します。
攻撃者がマシンスピードで動き、あなたが議論のスピードで動いているなら、それは慎重とは言いません。周回遅れということです
迅速に動き、完成前のバージョンを小刻みにリリースして改良を重ねることに伴う痛みを受け入れるほうが、壊滅的なサイバー攻撃による巨大な痛みに苦しむよりも断然良いのです。今後10年間でレジリエンスを定義する側に立つ組織は、ことの成り行きを見守っていた組織ではありません。そうなれるのは、厳密さを損なうことなく、迅速にテストし、学習し、展開するための体制をすでに整えつつある組織です。
待つことは戦略ではありません。それは、意識せずに選択したリスク態勢です。
別の選択肢をとりましょう。
Splunkの「2026年の予測」シリーズから他のレポートをご覧ください。このシリーズでは、セキュリティ、オブザーバビリティ、AIの未来を展望しています。トピックには、生成UIインターフェイス、SOCとNOCの運用の統合、適応型AIの台頭などを取り上げています。
このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。
