「AIエージェント」や「量子」のリスクにどう備えるか。ガートナー、2026年のセキュリティ重要論点を発表

　ガートナージャパンは1月22日、2026年に向けて日本企業が押さえておくべき「セキュリティの重要論点」を発表した。

　近年、サイバー攻撃や内部脅威に加え、AI、サイバー・フィジカル・システム（CPS）、サプライチェーン、量子コンピューティングといった新たな領域でのリスク対応が急務となっている。同社バイス プレジデント チームマネージャーの礒田優一氏は、「場当たり的な対応を続けるだけでは疲弊する」とし、サイバーセキュリティ・リーダーに対し、作業計画ではなく未来の価値創造のための戦略設計が必要だと提言している。

　発表された9つの重要論点は以下の通り。

• 新たなセキュリティ・ガバナンス：クラウドやAIなどの新リスクに対応するため、従来の体制を見直し、経営層への投資判断材料の提供や戦略の再構築を行う。
• 新たなデジタル・ワークプレースとセキュリティ：AIエージェントの普及に伴う乗っ取りリスクへの対策（認証・権限管理）や、AI共生時代に対応したポリシー策定、従業員のセキュリティ意識改革を進める。
• セキュリティ・オペレーションの進化：AIによる運用自動化やASM（アタック・サーフェス・マネジメント）の導入を進め、「境界防御」から「内部侵入を想定した防御」への転換を図る。
• インシデント対応の強化：ランサムウェア被害などを想定し、BCP（事業継続計画）を見直すとともに、身代金支払い方針や情報公開方針など、従来議論されてこなかった領域を再検討する。
• サイバー攻撃／マルウェアへの対応：攻撃者を欺く「先制的対策」や、VPNに代わるZTNA（ゼロトラスト・ネットワーク・アクセス）の導入など、防御戦略を抜本的に見直す。
• 内部脅威への対応：退職者による情報持ち出し（手土産転職）やリベンジ退職などの内部不正に対し、PC操作ログだけでなく「振る舞い検知」などを取り入れた監視体制を強化する。
• 規制／サードパーティ／サプライチェーン・リスクへの対応：グローバル規制への対応や、取引先を含めたサプライチェーン全体の脆弱性管理（サイバーリスク・マネジメント）を本格化させる。
• クラウド／CPS／量子コンピューティングのリスクへの対応：クラウドの設定ミス防止、レガシーなCPSの保護に加え、量子コンピューティングによる暗号解読リスクを見据えた移行計画を策定する。
• AI/D&Aのリスクへの対応：AI TRiSM（AIのトラスト／リスク／セキュリティ・マネジメント）を整備し、SaaSや独自AIのアタック・サーフェス拡大に対処する。また、データの過剰共有を防ぐため、セキュリティ部門とデジタル推進部門の連携を強化する。

　なお、ガートナーのサービス利用顧客向けには、レポート「日本における重要論点：2026年企業は何をすべきか」にて詳細が公開されている。日本で提供されている同社のサービス一覧は公式サイトで確認できる。