クリスマスの翌日にコーヒーを半分ほど飲んだところで、あるメッセージが届きました。
それは季節の挨拶でもなければ、バックログのリマインドでもありません。
CVEアラートでした。
数分のうちに Slack が騒然となりました。本来オフラインのはずだったアナリストたちが次々と復帰。ダッシュボードが更新され、露出範囲の評価、対象システムの特定、隔離、パッチ適用……すべてが慌ただしく進みました。
これが、セキュリティチームにとっての「本当の 2026 年の始まり方」です。
抱負から始まるわけでも、
戦略資料から始まるわけでもありません。
攻撃者は休暇を取らない、という現実から始まります。
さて、新年を迎えるにあたり、新年の抱負を考える時期です。個人的には、たいてい「コーヒーを減らして睡眠を増やす」ことを意味します。しかし仕事の上では、まったく別の意味を持ちます。予測です。
ネタバレすると、2025 年はすでに AI 一色でした。
しかし、もし「ピークの誇大宣伝(あるいはピークの影響)に達した」と思っているなら、それは見誤っています。
2026 年は、さらに大きくなります。勢いは衰えるどころか、むしろ加速しています。AI は攻防の両側で、ほぼ毎日のように新たな能力を解き放っています。それはワクワクする一方で……非常に不安でもあります。
では、これから何が起きるのかを見ていきましょう。
予測1:AIを利用する攻撃がさらに拡大(そして非常に恐ろしいものになる)
まずは、明白な警告から始めます。
AI を使った攻撃的セキュリティは、防御側にとって非常に厳しい状況をもたらします。
2025年、私たちは重要な節目を越えました。完全に自律的な AI 主導型のペネトレーションテスター XBOW が、HackerOne で #1 に到達したのです。これは単なる PoC ではありません。明確なシグナルでした。
この 1 年を通じて、以下の分野で AI レッドチーム研究やツールが爆発的に増えました。
・カスタムLLM
・単一エージェントシステム
・マルチエージェントアーキテクチャ
・LLM のコンテキスト制限などを回避する長期記憶の工夫
そして、このペースは落ちていません。実際、一部のシステムは人間の専門家を競争的に上回る成果を出し始めています。より賢いモデルと組み合わさることで、これらのツールは成熟度と高度さを増し、キルチェーンのあらゆる段階に AI を適用できるようになっています。
同時に、大手 AI ベンダー自身からも、身の引き締まる研究結果が公開されています。例えば Anthropic は、マルウェア開発から大規模なソーシャルエンジニアリングまで、モデルが現実世界でどのように悪用されているかを詳細に示しました。(こちら とこちらは、私たちが直面している現実を知るために読む価値があります。)
ガードレールは役に立ちます。しかし、まだ十分に強固とは言えません。オープンソースモデルには、そもそもガードレールがありません。
AI攻撃とは:
・実行が容易(スキル障壁が低い)
・より複雑(多段階、多領域)
・より回避的(多態性ペイロード、適応的挙動)
・自律型(自動運転)
・適応型
・容赦がない(睡眠不要、何度でも試行)
・圧倒的にスケーラブル
AI 主導の攻撃が進化し、効率を高めるにつれて、攻撃件数と実行速度は大幅に増加するでしょう。初期侵入から侵害までの時間は、2025 年よりさらに短くなる可能性があります。
攻撃者は、もはやチームを必要としません。エージェントの軍隊を立ち上げることができます。これは、防御側がすでに理解していながら、もはや無視できない現実を突きつけます。AI 主導の検知、トリアージ、優先順位付けは、もはや選択肢ではありません。必須です。
スピードとスケールが重要です。そして、人間だけでは追いつけません。
予測 #2: AI SOC は現実のものとなる
AI エージェントは、2025 年に静かに SOC に現れたわけではありません。爆発的に登場しました。
The emergence of agentic architectures, combined with the rise of Model Context Protocol (MCP), fundamentally changed what’s possible. AI agents can now connect to tools, query live data, enrich context, and even take action. At Vectra AI, we leaned into this reality by releasing MCP servers for our platforms (here and here) because if AI is going to help operate the SOC, it needs first-class, programmatic access to security data.
2025 年には、以下のような動きが見られました。
既存の SIEM / SOAR ベンダーが「AI 主導の SOC」へとポジショニングを転換
・AI専用SOCプラットフォームとして登場する新たなスタートアップ企業
・アラート過多、調査時間、アナリストの疲弊・離職という終わりのない課題を背景に、CISO や取締役会レベルの関心が高まる
ニーズは明白です。Gartner の 2025 年サイバーセキュリティ・イノベーション調査によれば、46% の組織が 2026 年にセキュリティ運用で AI エージェントを使い始める予定です。
ただし、落とし穴があります。
採用は成熟度に遅れるでしょう。理由は、技術が未熟だからではありません。信頼、ガバナンス、スキルが追いついていないからです。
この 1 年で多くのセキュリティリーダーと話してきましたが、共通のパターンが見えます。誰もが「AI は SOC に必要だ」と考えています。しかし、本番環境で自律的に動かすことに本当に踏み出せる組織は、ほとんどありません。
そしてその躊躇は当然のことです。
エージェント指向 SOC インフラの構築、展開、保護、維持は困難です。MCP は、セキュリティが追いつくよりも速く採用されています。ほぼすべての SaaS プロバイダーが何らかの MCP 機能を公開しています。AI エージェントは、もともとエージェント利用を想定していないツールへのアクセスを与えられています。2025 年にはすでに警告サインがありました。Asana MCP の脆弱性は、その目覚まし時計でした。
取締役会は今、不快だが必要な問いを投げかけています。
・当社のAIエージェントは実際にどのような権限を持っているのか?
・誰が自らの行動を監査できるのか?
・エージェントが侵害された場合の被害範囲はどの程度か?
・どのツールを呼び出しているのか、可視化できているのか?
ここで議論は転換します。
2026 年、AI エージェントのガバナンスは、それ自体が新たなセキュリティ課題となり、独立した製品カテゴリーになります。
すでに初期の兆候が見られています。
・RunLayerやAira Securityのようなスタートアップは、MCPの可視性と制御に焦点を当てている
・中心となる能力:
o MCPサーバー接続の監査
o 監視エージェントのツール呼び出し
o AIエージェントに対する最小権限の適用
クラウドセキュリティが急速に成熟する必要があったように、エージェントインフラストラクチャも以下が必要となります。
・ガードレール
・ポリシーの施行
・可観測性
・設計段階からのコンプライアンス
2025 年が「AI エージェントをあらゆるものに接続する年」だったとすれば、2026 年は制御を取り戻す年になります。
Vectra AI のようなプラットフォームにとって、この進化は極めて重要です。Vectra AIプラットフォームはすでに、高精度データ、攻撃シグナル、ネットワークメタデータ、ID 挙動、調査コンテキストを豊富に保持しています。これらを LLM に対して、プログラム的かつ効率的に提供することです。
単なる設計選択ではなく、機能する AI SOC の前提条件です。数週間前に公開した、SOC ユースケースにおける LLM の有効性についてのブログもぜひご覧ください。
AI SOC は現実です。しかし 2026 年には、ガバナンスが「実験」と「本番」、「野心」と「レジリエンス」を分ける境界線になります。
予測 #3:シャドー AI とエージェント型 IAM がアタックサーフェスを再定義する
2025 年に静かに爆発した 2 つの課題があります。そして、これらは消えません。
・主体的なアイデンティティ・アクセス管理(IAM)
・シャドーAI
従業員は、セキュリティ部門の関与なしに、コパイロット、LLM、自律エージェントを導入しています。これらのシステムはデータにアクセスし、意思決定し、ユーザーに代わって行動します。これは、従来の IAM が想定していなかった振る舞いです。
その影響は甚大である。
ID はもはや「人間 vs 機械」ではありません。
何かの代理として行動するエージェントです。
シャドー AI は、単なるガバナンスの問題ではありません。
アタックサーフェスを増幅する存在です。
もし今でも脅威モデルを、
ユーザー → デバイス → アプリケーション
で考えているなら、すでに遅れています。
2026年、セキュリティチームは次を強いられることになります。
・エージェントのIDを明示的に追跡する
・データエージェントがアクセスおよび移動できるデータを理解する
・侵害に見えない「悪用」を検知する
この変化を過小評価することは……控えめに言っても致命的です。
そして、ここでも再び、完全なネットワーク可視性がセーフティネットとなります。
「未知の未知」が、最終的に姿を現す唯一の場所だからです。
予測 #4:ハイブリッドかつマルチベクター攻撃が標準になる
最後に、すべてをまとめましょう。
攻撃者は、次のことを気にしません。
・組織図
・ツールの境界
・SOCサイロ
攻撃者が見るのは、ひとつの巨大なアタックサーフェスです。
これは新しい話ではありませんが、2025 年には否定しようのない現実になりました。
Scattered Spider、Storm-0501、APT41、Volt Typhoon といったグループは、次を組み合わせたキャンペーンを実行しました。
・クラウドとオンプレミスの侵害
・ID 悪用とマルウェア
・詐欺の手口と侵入戦術
Ransomware groups are evolving into fully automated extortion platforms:
・標的を自動発見
・エクスプロイトを連鎖
・暗号化と流出
・必要に応じて DDoS 圧力を加える
この変化を促している要因はいくつかあります。
・可視性が断片化されたユビキタスなハイブリッド環境
・複雑なキャンペーンのAI支援によるオーケストレーション
· 通常の活動に溶け込むLiving-off-the-land (LOTL) 手法と資格情報の悪用
2026年の予測は以下のとおりです。
可視性と防御は、キルチェーン全体で統合されなければなりません。
サイロ化したツール、サイロ化したチームは、この変化を生き残れません。
ハイブリッド攻撃には、ハイブリッドな思考が必要です。
最後に
2026 年に向かう今、確かなことがひとつあります。セキュリティの課題は、もはや技術だけの問題ではありません。アーキテクチャの問題です。
AI は、攻撃、防御、ID、運用を同時に再構築しています。明確な境界、人間ペースの調査、静的な信頼モデル、こうした古い前提は、多くの組織がプレイブックを更新できる速度よりも速く崩れています。
次のフェーズで成功する組織は、ツールを増やすことで勝つのではありません。可観測性があり、適応的で、設計段階からレジリエンスを備えたセキュリティプログラムを構築できるかどうかです。たとえ、その一部が機械によって運用されていたとしてもです。
AI はすでに存在します。問題は、貴社のセキュリティ戦略が追いついているかどうかです。