Five identity-driven shifts reshaping enterprise security in 2026
2025/12/24 HelpNetSecurity — 2026 年は人工知能 (AI) がサイバー・リスクを根本的に再構築し始める転換点となる。数年にわたる広範な普及を経て、2026 年の AI は、働き方に影響を与える段階を超え、企業の構造や運営そのものを変革し始めるだろう。現在の AI は、組織のあらゆるレイヤーに組み込まれている。具体的には、ワークフロー/アプリケーション/カスタマー・エクスペリエンス/DevOps/IT 自動化/戦略的意思決定といった領域を網羅している。ただし、この変化の速度にガバナンス/セキュリティ管理/アイデンティティ保護は追いついていない。
その結果、可視性という面で盲点が拡大し、攻撃対象領域が急速に広がり、自動化が進む攻撃者と防御側との間に圧倒的な速度差が生じている。
Delinea のリーダーたちは、2026 年には新たな ID セキュリティ戦略が求められると予測する。つまり、AI システム/マシン ID/自律エージェントが人間を凌駕し、マシン・スピードで動作し、人間の直接的な監視を超えて意思決定を行うという、新たな世界を前提とした戦略である。
以下は、Delinea のリーダーシップ・チームが予測する、今後の1年間における5つの ID 主導の変化であり、それにより、エンタープライズ・セキュリティが変革されるという。
1: ID が AI リスクのコントロール・プレーンとなる
AI システム/エージェント/マシン ID が自律的に動作して意思決定を行い、マシン・スピードで機密データへアクセスするようになると、従来のセキュリティ・モデルはその負荷に耐えられなくなる。
ID を静的なアクセス管理の問題として扱い続ける組織は、AI による自動化/認証情報の不正使用/ID の拡散を悪用する攻撃者に後れを取る。今後において成功を収める企業は、ID セキュリティをデータ主導のコントロール・プレーンとして、継続的に再構築できる企業である。そこでは、人間/マシン/AI が同等の厳格な基準で捉えられ、可視性と責任のもとで管理されるようになる。
2: シャドー AI が新たな ID 危機となる
長年にわたり、シャドー IT がセキュリティ・チームを悩ませてきた。しかし、2026 年のシャドー AI は、可視性の欠如および侵害リスクの両面で、これまで以上の問題を引き起こすと予測される。
CEO が AI の急速な導入を推進し、ほぼすべての部門が AI ツールを試験的に導入しているが、その多くはセキュリティ・ガードレールを備えていない。半数以上の組織がシャドー AI の問題に直面しており、使いやすい AI システムが事業部門全体に普及するにつれて、その件数は増加している。
従来のシャドー IT と比較すると、シャドー AI の方が、より強力であり、より危険である。従業員たちは、機密性の高い企業データでトレーニングされた、高度なモデルを使用している。そこで用いられる AI ツールは、権限を持つ認証情報/API キー/サービス・トークンを、監視から逃れながら保存/送信する。
承認済みの AI ツールであっても、ミスコンフィグや社内ワークフローとの接続により、リスクが発生する。それにより、ID 管理に新たな盲点が生じる。
CISO は、以下の2つの課題に直面している。
- 組織全体における AI 使用状況の把握が不可欠。既知のツールを保護するだけでは不十分である。
- AI をブロックするのではなく、安全な導入のために管理する。
優先すべきは、AI の保護だけではなく、AI を見つけることである。可視性が 2026 年の最重要の課題となる。
3: AI は小国をサイバー超大国に変える
AI の能力により、高度なサイバー攻撃への参入障壁が劇的に引き下げられている。この変化により、2026 年には、地政学的な脅威の環境が大きく変化すると予測される。
小国であったとしても、もはや大規模な情報インフラは不要である。AI を活用するツールと精鋭サイバー部隊があれば、以下のような高度な攻撃が可能となる。
- 窃取した認証情報の大規模な兵器化
- 合成ペルソナ/ディープフェイクを用いた影響力の行使
- 偵察および脆弱性悪用の自動化
- 重要インフラに対する AI を活用した遠隔攻撃
すでに、非対称サイバー・パワーの兆候が確認されている。ウクライナが示したのは、高度なサイバー戦術を用いる小国が、遠隔から深刻な被害を与え得ることだ。
従来は、一部の大国のみに制約されていた高度な戦略が、 AI 主導の自動化により、リソースが制限される国家/非国家であっても実行可能となる。競争環境が平準化されることで、ID を標的とする高度なサイバー攻撃を仕掛ける脅威アクターが増加していくだろう。
ID 戦争/合成情報/AI を活用する重要インフラの標的化により、2026 年の地政学的な混乱は、さらに拡大すると予測される。
4: マシン ID の拡散が転換点を迎える
2025 年が組織における AI 導入の年であったとすれば、2026 年は AI への統制が限界を迎える年となる。
ワークロード/サービス・アカウント/IoT デバイス/AI エージェントに至るまで、すでにマシン ID の数は、人間の ID を大きく上回っている。その多くは、過剰な権限で運用されていることに気付かれず、また、監視されていない。そして、ほぼすべてがシステムを稼働させるために不可欠である。
マシン ID は、権限の不正使用の主要因となっており、その増加に減速の兆しは見られない。AI 主導の自動化が加速し、IoT エコシステムが拡大するにつれて、組織はガバナンス上の転換点に到達する。
2026 年のセキュリティ・チームは、厳しい現実に直面するだろう。ID ファーストのセキュリティは、人間のみに限定されるものではない。多くのケースにおいて、マシンは人間よりも多くの権限を持ち、より多くのシステムへアクセスし、より多くのリスクを生み出す。
開発や運用を遅らせることなく、ID セキュリティ/最小権限/ライフサイクル管理を、すべての Non-Human Identity (NHI) へ向けて拡張できる組織が成功する。
5: 規制圧力はマシンと AI のガバナンスへ拡大する
AI がビジネス・オペレーションに影響を与え続ける中、規制当局が焦点を移す先は、ユーザー組織における AI 駆動型システムの承認/監視/監査である。
2026 年には、主要なコンプライアンス・フレームワーク全体において、それらの要件が大幅に拡大する。SOX 法/UK Corporate Governance Code/EU AI Act に加え、NIST/ISO の標準規格も進化し、Machine ID Hygiene (マシン ID の衛生管理) および AI による意思決定の透明性を包含する方向へと進むだろう。AI は単なる技術的リスクではなく、企業の説明責任に直結するリスクへと変化している。
マシン・ガバナンスは、技術的な課題から取締役会レベルでの優先事項へと移行する。経営幹部にとって必要なことは、AI の行動を監査し、ID 管理を強化し、AI 駆動型アクションの整合性を証明する能力を示すことになる。
CISO が取り組むべきこと
2026 年には、ID セキュリティに対して、根本的に異なるアプローチが求められる。CISO およびセキュリティ・リーダーは、以下を優先すべきである。
- 新たな規制要件に対応するガバナンス体制の整備:監査能力/説明能力/Machine ID Hygiene の確立が不可欠となる。
- すべての AI 利用状況の可視化:許可の有無を問わずに行う。シャドー AI は制御より先に発見が必要になる。
- マシン ID ライフサイクル管理の実装:すべての Non-Human Identity (NHI) に対して、最小権限/認証情報ローテーション/監視/ガバナンスを適用する。
- 攻撃者に対するスピード・ギャップを埋める防御 AI の導入:AI ネイティブの脅威に対抗するためには、AI を活用する検知と対応が不可欠となる。
- 人間/マシンを問わない継続的な ID 検証:人間であれマシンであれ、すべてのアクションをリアルタイムで検証する必要がある。
AI やマシンの活用スピードおよびガバナンスの強化などに、現状の ID 管理が追いついていないことを指摘する記事です。これまでは人間のログイン管理が中心でしたが、現在は AI や自動化ツールが人間以上の権限を持ち、高速でデータを扱っています。しかし、これらは従来の監視の目が届きにくい盲点になりやすく、攻撃者にとって格好の標的となっています。さらに、現場レベルにおいて無断で AI を利用するシャドー AI の広がりも、管理不備を深刻化させる大きな要因です。こうした新しい技術が、セキュリティのガードレールがないまま組織の深部まで入り込んでいることが、リスクの本質といえます。よろしければ、Shadow AI での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.