前編のおさらい

前編では、従来型のセキュリティモデルがなぜ機能しなくなったかを見てきました。組織化したサイバー犯罪集団、生成AIによるフィッシングの精密化、そしてMFAバイパスという3つの崩壊——これらはすでに現実のものとして起きています。後編では、その先にある脅威と、組織が戦略的に取るべきアクションを掘り下げます。

セクション4：組織内部のAI脅威——あなた自身が持ち込んだリスク

多くの組織でAI導入に関する生産性向上や競争優位性、変革に関するの議論が活発に行われています。しかし、はるかに少ない組織でしか行われていない別の議論があります——AI導入が攻撃対象領域に何を意味するか、という問いです。この二つの議論は、本来一体である必要があります。

あなたのAIツールがデータを扱うとき、何が起きているか

大規模言語モデルとエージェント型AIシステムが強力なのは、まさにデータと深く関わるからです。パターンを見つけ、複数ソースの情報を統合し、最小限の人数による監視で指示に従って行動します。しかしこの同じ能力——データにアクセスし、統合し、行動する能力——は、設定ミス、過剰な権限付与、またはプロンプトインジェクションによる悪用があったとき、まさに危険の源となります。

プロンプトインジェクション攻撃——AIシステムが処理するコンテンツに悪意のある指示が紛れ込む——は、そのシステムにデータを流出させたり、アクセス制御を迂回させたりする可能性があります。メール、カレンダー、ドキュメントストレージにアクセスできるAIアシスタントは、権限が厳格に制御されていなければ、攻撃者にとって最強の偵察ツールになりえます。AIは自分が武器化されていることを知りません。ただ、指示に従っているだけです。

「あなたのAIアシスタントは従業員が知るすべてを知っています——そして人なら絶対に承認しない方法でその知識を共有するよう、指示されます。」

Hornetsecurityの調査によれば、CISOの61%が今やAIが自組織のランサムウェアリスクを直接高めたと確信しています。管理されていない内部AIツールとAIを武器化した外部攻撃者の組み合わせは、自組織のテクノロジーインフラが内外から同時に脅威にさらされる環境を生み出します。

誰も語らないシャドーAIの問題

ほとんどの組織では、従業員がすでにIT部門が審査・承認・把握すらしていないAIツールを使い始めています。法人メールアカウントに接続され、社内ドキュメントへのアクセスを付与されたこれらのツールは、攻撃対象領域の未踏の拡大を意味します。審査されていないすべての接続は潜在的なリスクです。あなたの組織は今この瞬間も、おそらく何十ものリスクを抱えたままにしているはずです。

⚠ 今この瞬間、どのAIツールが組織のデータにアクセスしているか正確に把握していないなら、すでにリスク境界の可視性を失っています。

このリスクへの警戒は、日本の公的機関も明確に示し始めています。IPAの2026年版10大脅威で特筆すべきは、「AIの利用をめぐるサイバーリスク」が今回初めて第3位として選出されたことです。LLMへのプロンプトインジェクション、AIを通じたデータ漏えい、ガバナンスの欠如——これらは日本のセキュリティ専門家約250名が「組織が今直面している現実の脅威」として公式に認定した課題であり、グローバルな動向と完全に一致しています。シャドーAIの問題は、日本においても「対岸の火事」ではありません。

セクション５：エージェント型脅威——人が直接操作していない攻撃

次の段階の脅威はすでに始まっています。エージェント型AI——自律的に行動し、複数ステップにわたって目標を追求し、抵抗に適応するシステム——が攻撃的なオペレーションに組み込まれています。かつては各意思決定ポイントに人の攻撃者が必要でしたが、今やAIエージェントが偵察、悪用可能な脆弱性の特定、カスタマイズされたペイロードの作成、そして攻撃の実行を——人の指示なしに——行うことができます。攻撃の頻度、速度、規模はもはや攻撃者が展開できる人数によって制約されません。

これは、サイバーセキュリティの従来のコスト構造——組織への攻撃に必要なコストと労力が自然な抑止力を提供していた——がもはや成立しないことを意味します。AI活用型の攻撃者は、数千の組織に対して同時に、小規模な組織でも商業的に採算が取れるコストで、標的を絞った高度な攻撃を展開できます。あなたの組織を攻撃する攻撃者の限界コストは、ゼロに近づいています。

「攻撃者があなたの組織をターゲットにする限界コストはゼロに近づいています。問題は、あなたの防御コストがその現実に見合っているかどうかです。」

エージェント型脅威への防御は、セキュリティ態勢のアーキテクチャを根本から見直すことを求めています。静的な防御——ルール、シグネチャ、定期スキャン——はAI駆動攻撃の適応速度に追いつけません。組織には、異常な振る舞いをリアルタイムで検知し、流出前に不審なデータアクセスパターンを検知し、人のアナリストがアラートを処理するよりも早く異常に対応できる、AI搭載の防御機能が必要です。これはオプションの高度機能ではありません。眠らず、焦りによるミスを犯さず、諦めない脅威に対する最低限の防御です。

自動化された攻撃の加速は、日本でも脅威のイメージを塗り替えつつあります。IPAが第4位に挙げるシステムの脆弱性を悪用した攻撃は、AIによって脆弱性の発見から悪用までのサイクルが人のパッチ適用速度を大幅に上回るリスクとして捉え直す必要があります。8年連続第2位のサプライチェーンへの攻撃も、自動化された攻撃チェーンが一つの脆弱性から数百の組織へ連鎖的に波及するシナリオを考えれば、その危険性はさらに増します。さらに2年連続第6位となった地政学的リスクに起因するサイバー攻撃（情報戦を含む）は、国家支援型の高度自動化攻撃という文脈において、日本の組織にとって看過できない現実的脅威です。

セクション6：レジリエンスはテクノロジーの購入ではありません。戦略的なコミットメントです。

これほど深刻な脅威の状況に直面したとき、問題を解決してくれる製品やプラットフォーム、ツールを本能的に探したくなります。その本能は理解できますが、攻撃者が当てにしていることの一部でもあります。いかなる単一のテクノロジー購入も、ほとんどの組織が今いる場所と、脅威が要求する場所との差を埋めることはできません。必要なのはアーキテクチャへの、文化への、そして継続的改善へのコミットメントです。

ゼロトラスト：侵害を前提とするアーキテクチャ

ゼロトラストは製品ではなく設計哲学です。侵害は不可避であり、したがってセキュリティアーキテクチャは、侵害が「もし」ではなく「いつ」起きるかを想定して被害を封じ込め、限定するように設計されなければなりません。すべてのユーザーが検証され、すべてのデバイスが検証され、すべてのAIエージェントが高リスクとして扱われます。いかなるリクエストも、ネットワークの場所や過去の認証だけを根拠に信頼されることはありません。

最小権限の原則は特に強調に値します。ほとんどの組織では、アクセス権限は時間とともに蓄積します——特定のプロジェクトのためにアクセスが付与され、そのアクセス権は取り消されず、年月をかけて典型的なユーザーアカウントは正当なビジネス目的以上のアクセス権を持つようになります。それらの余剰アクセス権が、侵害発生時の潜在的な被害増幅装置です。

セキュリティ文化：迂回できない防御

すべての技術的コントロールは、攻撃者が人を操作できれば迂回されます。ソーシャルエンジニアリング、フィッシング、ビッシング、プリテキスティング攻撃が成功するのは、人の心理——助けたいという欲求、対立への不快感、見かけの緊急性というプレッシャー——を悪用するからです。これらの攻撃経路に対してファイアウォールは機能しません。守れるのは人だけです。

効果的なセキュリティ文化は、年1回のコンプライアンス研修で構築されません。継続的で、リアルで、結果と連動した実践によって構築されます。現在の攻撃者の手口を反映したフィッシングシミュレーション——経験豊富な従業員がすぐに見抜ける汎用テストメールではなく——は意識を鋭く保ちます。従業員がシミュレーションのフィッシングリンクをクリックしたときの即時かつ文脈豊富なフィードバックが、持続的な警戒心を構築する連想学習を生み出します。

「すべての従業員が自分は主要なターゲットであると理解したとき、彼らは主要な防御になります。その変革はいかなるテクノロジー購入よりも価値があります。」

日本のセキュリティ専門家の間でも、技術的対策だけでは不十分という認識は広まっています。IPAの10大脅威ではDDoS攻撃が2年連続第9位に選出されており、重要インフラや金融機関への攻撃が国内でも確認されています。しかしそれ以上に示唆的なのは、内部不正（第7位）やBEC（第10位）といった「人」を起点とするリスクが毎年リストに残り続けていることです。レジリエンスとは多層的な防御の総体であり、テクノロジーと人の両輪が揃って初めて機能します。その前提はグローバルでも日本でも変わりません。

今すぐ取るべきアクション

1：シャドーITを含む、すべてのAIツールの緊急棚卸し
2：フィッシング耐性MFA（FIDO2/Passkeys）を必須化し、レガシーMFAを廃止
3：例外なくすべてのユーザー・デバイス・AIエージェントにゼロトラストを適用
4：すべてのアカウントが侵害される前提で、最小権限アクセスの徹底
5：信頼するデータが汚染されることを前提として、不変バックアップを導入
6：年1回の形式的な研修ではなく、継続的なフィッシングシミュレーションの実施
7：IT・法務・リスク・事業部門横断のAIガバナンス委員会の立ち上げ
8：ID復旧をクライシスプロトコルとして位置づけ

リスクはもはや抽象論ではありません

2024年にAI時代の脅威を真剣に受け止めなかった組織は、2025年の事例になりました。今日それを真剣に受け止めていない組織は、2026年の事例になってしまうでしょう。Hornetsecurity Security Labsのデータから明白になったのは、脅威がピークを過ぎていないということです。精巧さはいまだ加速しています。管理されていないAI導入によって生み出される攻撃対象領域はいまだ拡大しています。そして組織が単に対応するのではなく、先手を打てるポイントはなくなりつつあります。

しかし、良いニュースもあります。身代金を支払う組織の数は13%まで減少しています。それはレジリエンスが可能だという証左です。アーキテクチャ、文化、能力に投資した組織が、破壊を続ける脅威から生き延びているという証拠です。そのレジリエンスは、無制限の予算を持つ大企業のためだけのものではありません。単に予算の一行とするのではなく、戦略的優先事項とする意志のあるあらゆる組織が手に入れられるものです。

あなたの取締役会が答えるべき——そして正直に答えるべき——問いはこれです。もし明日、組織が侵害されたとしたら、それを発見するのは数時間後でしょうか、それとも数ヶ月後でしょうか。身代金を支払わずに回復できるでしょうか。回復したデータを信頼できるでしょうか。これらの問いのいずれかに対する答えが不確かであれば、今日から取り組みを始める必要があります。

出典
・The Evolution of Cybersecurity — Andy Syrewicze, Security Evangelist, Hornetsecurity
・Evolution of Cyberattacks in 2026 — Dr. Yvonne Bernard, CTO, Hornetsecurity
・Resilience, Not Perfection: Confronting the AI-Driven Threat Explosion — Dr. Yvonne Bernard, CTO, Hornetsecurity
・How AI Adoption Is Reshaping the Cybersecurity Threat Landscape — Andy Syrewicze, Security Evangelist, Hornetsecurity
・AI in the Business Landscape — Hornetsecurity
・情報セキュリティ10大脅威 2026 — 独立行政法人情報処理推進機構（IPA）