AI-Driven Social Engineering Top Cyber Threat for 2026, ISACA Survey Reveals
2025/10/20 infosecurity — ISACA の最新レポートによると、AI を悪用するソーシャル・エンジニアリングが、2026年の最も深刻なサイバー脅威の一つになると予想されている。2025年10月20日に発表された “2026 ISACA Tech Trends and Priorities” レポートによると、調査対象となった 3,000 人の IT/Security 専門家のうちの 63% が、この種の AI 脅威を主要な課題と認識している。
2026 ISACA Tech Trends and Priorities:PDF ダウンロード
AI を悪用するソーシャル・エンジニアリングが、ISACA レポートの調査結果でトップに立ったのは今回が初めてのことである。それに続くのが、ランサムウェアや恐喝攻撃の 54% と、サプライチェーン攻撃の 35% である。
このレポートによると、AI は新たな機会をもたらすが、それと同時に、対応の準備ができていない新たな脅威をもたらすと、数多くの IT/Security 専門家が認識しているという。
GenAI のリスク管理については、適切な準備が整っていると回答した組織は 13% に過ぎず、ある程度準備ができているとの回答は 50%、あまり準備ができていないが 25% となる。
ISACA のレポートには、「IT/Security 専門家の多くは、ガバナンス/ポリシー/トレーニングを策定中であり、重大なギャップが残っている」と記されている。
回答者の大多数は、将来の AI 投資の必要性を認識しており、AI と機械学習を 2026 年の最重要の技術課題としている組織は、全体の 62% に達している。
米国における AI 規制とコンプライアンスの悪夢
ISACA の VP of Content Development である Karen Heslop は、10月16日に開催された ISACA ヨーロッパ会議の記者会見で、特に AI の安全性とセキュリティに関する規制の存在が、準備におけるギャップを埋めるために役立つと述べている。同氏は、サイバー・セキュリティと AI セキュリティを含む技術コンプライアンスをリードしているのは EU であると強調した。
Karen Heslop は、EU の AI 法を原則的に歓迎し、EU で事業を展開する企業にとって AI コンプライアンスの明確化につながると述べている。
その一方で、米国の連邦法が存在しない中で、複数の州が AI のセキュリティに関する法律の策定に取り組んでいる状況を、コンプライアンス上の悪夢であると表現した。
同氏は、「たとえば、米国の 12 州で事業を展開している小規模の企業があるとする。その企業は、1つの国で 12もの法律を遵守しなければならない状況に陥る。それは、きわめて大きな負担である」と付け加えた。
ISACA の Chief Global Strategy Officer である Chris Dimitriadis は、AI 規制の影響については、結論が出ていない状況にあるが、EU の AI 法は “良い試金石” になり得ると指摘した。同氏は、「完璧な規制など存在しない。厳格な規制が、経済に影響を与える可能性もある。その一方で、規制が全く存在しないと、顧客の信頼が損なわれる可能性があり、最終的には AI の導入に悪影響を与えるだろう」と説明している。
Chris Dimitriadis は、「EU の新しい AI 法が、実際にどのように機能するのかを誰もが見守っている。こうした規制の制定と、現実世界での実施は別問題である。それと同様に、企業が自社の評判を守り、顧客の信頼を確保するために、社内で何をするのかは別の問題である」と付け加えている。
ISACA の調査によると、IT/Security 専門家の 66% が規制遵守を極めて重要と評価している。しかし、32% の回答者は、 2026年には規制の複雑さと世界的なコンプライアンス・リスクが大きな悩みの種になると回答している。
サイバー人材における強力な軍隊の必要性
ISACA の調査において、回答者が提示したもう一つの大きな懸念は、深刻化する人材不足である。自社に強力な人材パイプラインがあると考えているのは、わずか 18% に過ぎなかった。
Chris Dimitriadis は、デジタル・エコシステムを守るために、より強力な軍隊を創設する必要があると述べている。それにより、各国におけるレジリエンスの向上と、革新的な技術への安全な適応が支援される。
しかし、多くの IT/Security 専門家たちは、この目標を極めて困難なものと捉えているようだ。デジタル・トラスト関連職種の採用について、2025年と 2026年を比較すると、全体の 39% は増えると回答したが、44% は難しいと回答している。
2026 年に向けた準備と推奨
ISACA のレポートは、5つの重要なポイントをまとめ、来年に向けて組織が準備すべきことを示している。
- 堅牢な AI ガバナンスとリスク管理のためのフレームワークを確立する。
- 従業員のスキルアップと人材パイプラインの育成を加速し、継続的な学習/資格取得/社内異動に投資する。
- レガシー・システムの刷新とインフラの近代化により、脆弱性の低減と俊敏性の向上を目指す。
- インシデント対応計画/ランサムウェア復旧戦略/部門横断的な危機管理プロトコルを策定し、定期的にテストすることで、サイバー・レジリエンスと事業継続の計画を強化する。
- 規制の変更に対する監視と、専門家コミュニティとの連携、コンプライアンス・ツールとフレームワークへの投資により、規制の複雑さと国際的なコンプライアンス要件に備える。
“2026 ISACA Tech Trends and Priorities” のための調査は、2025年8月22日〜9月4日に ISACA 会員およびデジタル・トラスト分野の 2,966人を対象に実施された。
AIを悪用するソーシャル・エンジニアリングが急速に高度化する一方で、防御側の備えが追いついていないという現状があります。GenAI の安全運用やポリシー整備が不十分な組織が多く、精巧な生成文や偽装メディアにより誤認や情報流出が誘発されやすくなっています。さらに、各国で規制が分断されコンプライアンスが複雑化し、人材不足も重なって防御体制の構築が遅れがちです。ISACAの調査でも準備完了は少数派で、2026年の優先課題としてAIガバナンスやスキル育成が示されていると、この記事は指摘しています。よろしければ、カテゴリ Statistics を、ご参照ください。
2026 ISACA Tech Trends and Priorities:PDF ダウンロード
IoT OT Security News 
You must be logged in to post a comment.