2026年サイバーセキュリティの6大トレンド——AIが攻守を再定義し、「信頼」が新たな防衛線になる
「壁を作れば守れる」時代は終わり、2026年のセキュリティは「デジタル信頼の構築」へと主戦場が移りつつある。中国メディア36氪が公開したトレンドレポートは、その全体像を6つの軸で整理している。
出典: 2026网络安全六大新趋势:AI重构攻防,信任成为新防线
要点 (事実のみ)
- IDCは2026年までに70%の組織が生成AI・処方型AI・予測AI・Agentを組み合わせた複合AIを採用すると予測
- AI AgentはID詐称・権限管理の混乱・通信設定の欠陥という3類型のリスクを拡大させる
- AIを使った攻撃は「完了まで数日」を「数分」に短縮すると報告されている
- Gartnerは2030年までに企業のセキュリティ支出の50%を「前置式(プロアクティブ)セキュリティ」が占めると予測
- OpenAI ChatGPT AtlasやPerplexity CometなどAIブラウザ・AIスマートフォンが新たな内部脅威の入口として挙げられている
- 中国信通院は「高品質データセット建設ガイドライン」を発表し、データ品質と合規性をAgenticAI信頼の基盤と位置づけている
徐 聖博の見解
このレポートを読んで最初に感じたのは、「攻撃側がAIを使うなら防御側も使う」という対称構造の話ではなく、問題の本質がアーキテクチャの変化にあるという点だ。
私が関わるAIエージェント開発で最近実感しているのは、Agentはそれ自体が「権限を持つ実行主体」になるという点だ。従来の認証モデルは「人間 → システム」を前提に設計されており、「Agent → Agent」「Agent → API」のような非同期・連鎖的な呼び出しには根本的に向いていない。このレポートが指摘するように、権限管理の混乱や令牌(トークン)検証の欠如は、構成要素の数だけリスク面が広がる。これは「セキュリティ設定をちゃんとしましょう」という話ではなく、信頼の設計をシステムの最初から組み込まないと後付けでは対処しきれないという構造的な問題だ。
発注側の中小・中堅企業にとっては、特に2点が現実的な検討事項になると思う。第1に、AIブラウザやAIスマートフォンを業務に取り入れる際の「過度な権限付与」リスクは、エンドポイント管理の延長では追いつかない。用途別の権限スコープを設計段階で切り分けることが前提になる。第2に、ランサムウェアの「自動化2.0」は、標的をスクリーニングするコストが下がることを意味する。これまで「規模が小さいから狙われにくい」という楽観論があったが、自動化で中小企業が標的になりやすくなる傾向は今後さらに強まるはずだ。
AIエージェントを受託開発・自社サービスとして提供していく側として、セキュリティは「後から足す機能」ではなく「要件定義の最初のブロック」として扱う必要があると改めて認識した。
(編集レンズ: 実装・運用視点、発注側/中小企業への含意、AIを「作る側」の目線)