Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
2026年の企業のサイバーセキュリティは、もはや単なる技術部門の業務ではありません。それは取締役会が統括するプログラムであり、オンプレミス、マルチクラウド、ID管理、SaaS、IoT/OT、エッジ、AIなど、組織が関わるあらゆる領域を同時に防御しなければなりません。この変化を裏付けるデータは明白です。世界経済フォーラム(WEF)の『Global Cybersecurity Outlook 2026』は、92カ国から316名のCISOおよび105名のCEOを含む804名のリーダーを対象に調査を実施し、回答者の94%がAIをサイバーセキュリティにおける最も重要な変革の原動力であると認識していることを明らかにしました。 87%がAI関連の脆弱性を最も急速に拡大しているリスクとして指摘し、73%が過去1年間にサイバーを悪用した詐欺の被害を受けた組織の経営幹部を知っていると回答しています[1]。 これと並行して、ベライゾンの『2025年データ侵害調査報告書』では22,000件以上のインシデントを分析し、侵害への第三者の関与が前年比で2倍の30%に達したこと、脆弱性の悪用が34%増加したこと、そして攻撃の約80%malware、ツールではなく認証情報の悪用に基づくものであったことが判明した[2]。
本ガイドは、従業員数2,500~25,000人の企業において、セキュリティ分野全体を俯瞰できる単一の指針を必要とするセキュリティアーキテクト、CISO、およびSOCリーダーを対象に作成されています。本ガイドでは、定義、構成要素、アーキテクチャに加え、NIST CSF 2.0、ISO 27001、 SOC 2、PCI DSS、NIS2、DORAとのフレームワーク対応表、2024~2026年のケーススタディを含む脅威の動向、プログラム設計のベストプラクティス、取締役会が承認するKPIとROI、そして今後12~24ヶ月の見通しについて解説しています。
エンタープライズサイバーセキュリティとは、オンプレミス、マルチクラウド、ID管理、SaaS、IoT/OT、エッジ、AIなど、組織が関わるあらゆる領域において、大規模組織のデータ、ID、インフラ、および業務を保護するための、人材、プロセス、テクノロジー、ガバナンスを統合したプログラムです。これは、個々の制御カテゴリよりも広範な概念であり、取締役会やプログラムレベルで運用されます。
「エンタープライズ」という文脈において状況を一変させる要因は、その規模と多様性です。中堅企業では通常、数千のID、数万のエンドポイント、数百のSaaSアプリケーション、複数のクラウドプロバイダーに加え、明確なスケジュールで廃止できないレガシーなオンプレミスインフラが長期間にわたって運用されています。 さらに、中小企業ではめったに直面しない規制上のリスク要因——EUのNIS2、金融サービス向けのDORA、米国SECのForm 8-K Item 1.05サイバーセキュリティ開示規則、GDPR、HIPAA、PCI DSS——が重なり、測定可能なサイバーレジリエンスを求める取締役会レベルの説明責任の層も加わっています[3]。
このプログラムを理解する上で有用な視点として、エンドポイント、ネットワーク、アイデンティティ、クラウドおよびSaaS、OT/IoTという5つの領域を網羅する単一の基盤と捉えることができます。各領域にはテレメトリ、制御機能、検知機能が必要であり、攻撃者は単一の侵入攻撃において、これら任意の2つの領域間を移動することが可能です。そのため、企業のサイバーセキュリティは、単なるツールの積み重ねではなく、統合されたプログラムとして捉えられるのです。
以下の3つの用語は、しばしば混同して使われていますが、本来は区別されるべきものです。 サイバーセキュリティとは、デジタルシステムを攻撃から防御する包括的な分野であり、総称です。情報セキュリティとは、紙、音声、デジタルを含むあらゆる媒体において、データの機密性、完全性、可用性を保護する分野です。エンタープライズ・サイバーセキュリティとは、大規模な組織のあらゆる接点を保護するプログラムレベルの取り組みであり、取締役会レベルで統治され、単一の技術層や資産クラスではなく、組織の範囲によって定義されます。
ネットワークセキュリティとの境界も同様に明確です。ネットワークセキュリティとは、ネットワーク層に属する要素――境界制御、セグメンテーション、トラフィック検査、横方向の移動の検知――を指します。これは企業のサイバーセキュリティを構成する一要素であり、その同義語ではありません。この論理は、エンドポイントセキュリティ、クラウドセキュリティ、IDセキュリティにも同様に当てはまります。それぞれが、より広範なプログラムの中にある一つの領域なのです。
中小企業におけるサイバーセキュリティとの違いは、主に規模、ガバナンス、および規制上のリスクにあります。中小企業であれば、厳重な境界防御、EDRエージェント、および市販のメールセキュリティサービスを導入するだけで、十分な防御体制を構築できます。 一方、大企業は、数千に及ぶID、数百のシステム連携、複数の法域にわたるコンプライアンス、そしてしばしば実際の攻撃経路となるサードパーティベンダー基盤から生じるサイバーセキュリティの脅威を管理しなければなりません。攻撃対象領域(アタックサーフェス)の管理——インターネットに接続された資産および内部資産の継続的な検出とインベントリ管理——は、大企業にとっての基本的な能力ですが、中小企業では通常、これを省略できる場合があります。
2026年の課題は、経営陣レベルで捉えられ、定量化可能であり、かつ深刻化しつつある。5つの主要なデータ指標が、事業環境を規定している。
まず、AIが最大の推進力となっています。世界経済フォーラム(WEF)の「2026年見通し」によると、回答者の94%がAIをサイバーセキュリティにおける最も重要な変化の推進力と見なしており、87%がAIの脆弱性を最も急速に拡大しているリスクとして挙げています。また、AIツールの導入前にセキュリティ評価を実施している組織の割合は、前年比で37%から64%へとほぼ倍増しました [1]。Help Net Securityの報道によると、同調査では、経営幹部の64%が現在、調達やアーキテクチャの決定において地政学的サイバーリスクを考慮に入れていることも明らかになった[4]。
第二に、コスト曲線は地域によって二極化しています。ポネモン研究所の「データ侵害のコストに関する調査(2025年)」によると、世界平均の侵害コストは444万ドルに低下しました。これは、1件あたりの侵害につき190万ドルのAIおよび自動化によるコスト削減と、検知までの期間が80日短縮されたことが主な要因であり、488万ドルから5年ぶりに減少しました。 しかし、米国の平均コストは過去最高の1,022万ドルに上昇し、米国の医療業界では平均742万ドル、内部関係者による侵害では平均499万ドルとなり、シャドーAIの利用により侵害コストは平均で67万ドル増加した[4]。
第三に、脅威の分布は「IDを標的としたもの」であり、サードパーティによって増幅されています。22,000件以上のインシデントを分析した「2025年ベライゾンDBIR」によると、サードパーティの関与は30%近くに上り(前年比で2倍)、侵害事例の44%でランサムウェアが確認され、脆弱性の悪用は34%増加し、認証情報の悪用と脆弱性の悪用を合わせたものが、初期侵入経路の42%を占めていました。 攻撃の約80%はmalwareものであった[2][5]。
第四に、これに伴いセキュリティ関連の支出も増加している。業界の予測をまとめた報告書によると、企業のセキュリティ支出は2026年には2,440億ドルに達する見込みであり、これは2025年比で290億ドル(13.3%)の増加となる [6]。 独立したマクロ予測によると、2025年の世界のサイバー犯罪による被害額は10.5兆ドル近くに達すると見込まれている(これは実測された損失ではなく方向性を示す予測であるが、規模の目安として有用である)[7]。
第五に、規制による圧力がコスト増を招いています。NIS2指令は、2024年10月17日の国内法への移行期限を経て、EUによる本格的な監督が開始されました。また、ドイツのBSIへの登録期限である2026年3月6日もすでに過ぎているため、組織は最大1,000万ユーロまたは世界売上高の2%の罰金に処される可能性があり、経営幹部には個人責任も問われることになります[8]。デジタル・オペレーショナル・レジリエンス法(DORA)は、2025年1月17日よりEUの金融サービスおよびICTサードパーティプロバイダーに適用される[9]。 米国証券取引委員会(SEC)のフォーム8-K項目1.05サイバーセキュリティ開示規則は、2023年12月から施行されており、重大なインシデントについて4営業日以内の開示を義務付けています。これに対し、取締役会は対応を講じており、現在77%の取締役会がサイバーインシデントの財務的影響について議論しており、これは2022年比で25ポイント増加しています[4]。経営陣レベルの成果としてのサイバーレジリエンスへのシフトは、現在、取締役会の議題において主要な枠組みとなっています。
2026年のWEFデータは、その年を象徴する転換点の一つをも浮き彫りにした。サイバー技術を利用した詐欺(認証情報を利用したなりすまし、ビジネスメール詐欺、ボイスフィッシングの深刻化、AiTM(Adversary-in-the-Middle)攻撃など)は、調査対象となったCISOやCEOの間で最大の懸念事項としてランサムウェアを追い抜き、77%が詐欺活動の増加を報告し、73%が同業他社のリーダーが個人的に被害を受けたと報告している。Infosecurity Magazineの分析によると、この状況は2026年の取締役会における議論の枠組みを、ランサムウェアのみを扱うものから、IDと詐欺の融合へと再構築することになる[10]。過去5年間にわたりランサムウェア対策のプレイブックを構築してきたプログラムは、今や、認証情報窃取の連鎖、ヘルプデスクチームへのソーシャルエンジニアリングによるエスカレーション経路、およびSaaSテナントの詐欺チェーンへとその対象を拡大する必要がある。
企業のサイバーセキュリティプログラムは、NIST CSF 2.0の6つの機能、多層防御、zero trust、およびSOC可視性の三要素に基づいて構築されています。このアーキテクチャは、5つの構成要素から成り立っています。
NIST CSF 2.0の6つの機能。2024年2月にバージョン2.0へと改訂されたNISTサイバーセキュリティフレームワークは、以下の6つの機能を中心にプログラムを構成しています。 GOVERN(2.0で新設 — 取締役会レベルの監督、ポリシー、サプライチェーンのリスク許容度、説明責任)、IDENTIFY(資産、リスク、ビジネス環境)、PROTECT(統制、意識向上、データセキュリティ)、DETECT(継続的監視、異常検知)、RESPOND(インシデント対応、コミュニケーション、緩和措置)、およびRECOVER(復旧計画、改善)。2026年3月にNIST CSRCから公開された2つの新しいCSF 2.0クイックスタートガイドは、中堅企業がプログラム設計に直接適用できる平易な実装ガイダンスを提供しています[11][12]。
多層防御。境界、ネットワークのセグメンテーション、アイデンティティ、アプリケーション、データといった各層の制御は、いずれかの層が突破されることを前提に設計されています。この原則は理論上のものではなく、実運用におけるものです。つまり、エンドポイントの制御が失敗した場合、ネットワーク層が横方向の移動を阻止し、両方が失敗した場合でも、データ層がデータの持ち出しを遅らせるべきです。多層防御こそが、避けられない単一層の失敗を乗り越え、プログラムを存続させる鍵なのです。
Zero trust。「決して信用せず、常に検証せよ。」 Zero trust は、アイデンティティを最優先とし、条件付きかつ継続的なアプローチです。すべてのアクセス要求はコンテキストに基づいて認証および承認され、マイクロセグメンテーションによってワークロードが分離され、信頼はセッション終了とともに失効します。2025年のポネモン研究所の調査によると、成熟したゼロトラストの導入により、平均的な侵害コストが176万ドル削減されたとされています[4]。
SOC可視化のトライアド。エンドポイント(EDR)+ネットワーク(NDR)+ログ(SIEM)――これらは相互に重なり合い、補完し合う3つのテレメトリ層です。 CISAのレッドチーム調査結果、およびVerizon DBIR 2025における「攻撃の約80%malware」という知見、さらに「大規模な情報漏洩の約50%で攻撃者がエンドポイント制御を回避している」という業界データは、単一のテレメトリ情報源への過度な依存が、予測可能なセキュリティの隙間を生む理由を裏付けています[2][5]。
「侵害はすでに発生している」と想定する。これは、攻撃者がすでにシステム内に侵入している、あるいは今後侵入すると想定した上でプログラムを設計すべきだという原則である。検知と封じ込めは、予防策のみよりも優先される。NIST CSFの「DETECT」および「RESPOND」、多層防御のより深い層、zero trust継続的な検証、SOC可視化の三要素など、その他のあらゆる構成要素は、この前提の下でのみ運用上の意義を持つ。
エンドポイント、ネットワーク、アイデンティティ、クラウドおよびSaaS、OT/IoTという5つのエンタープライズ領域には、それぞれテレメトリ、制御機能、および検知機能が必要です。いずれの領域も死角にしてはなりません。
SOC可視化の「トライアド」という枠組みは、意図的にベン図のような形に設計されています。各層は、他の層ではカバーできない部分を補完しています。
エンドポイント検出・対応(EDR)は、監視対象のエンドポイントにおけるプロセスの実行状況、ファイルの動作、レジストリの変更、およびメモリ上の痕跡を把握します。ただし、ホスト間のネットワークプロトコルの動作、IDプロバイダーへのサインイン、およびエージェントがインストールされていないデバイス(管理対象外、一時的なデバイス、IoT、またはOTシステム)での動作は把握できません。EDRは必要不可欠ですが、それだけでは不十分です。
ネットワーク検知・対応(NDR)は、境界防御ツールが設計上検知できない暗号化されたフローパターン、ビーコン送信、横方向の移動、およびイースト・ウエスト・トラフィックを検知します。ただし、エンドポイントの状態(プロセスツリー、レジストリ、メモリなど)は把握できません。NDRは、攻撃者が内部に侵入した後、支配権を確立する前の段階で検知する検知層です。
SIEM(セキュリティ情報およびイベント管理)は、これら両方のレイヤーに加え、ID管理、クラウド監査、アプリケーション、およびビジネスシステムにわたるログを相互に関連付けます。しかし、SIEMはログに記録されていない事象を把握することはできません。そして、最も甚大な被害をもたらすハイブリッドID攻撃の多くは、単一のログソースでは確実に捕捉できない一連のイベントの中に潜んでいるのです。
拡張型検知・対応(XDR)とは、これら3つの要素を単一のアナリストワークフローに統合し、生のアラートではなく優先順位付けされたインシデントを可視化するアーキテクチャパターンです。これらが一体となって多層的な検知メッシュを形成し、SOCが攻撃の断片的な情報ではなく、攻撃者のタイムライン全体を把握できるようにします。企業全体を見渡す視点において、脅威検知は「規律」として、可視性のトライアドは「実用的なアーキテクチャ」として機能します。
企業の約81%が少なくとも1つのパブリッククラウドワークロードを運用しており、27%がパブリッククラウドにおけるセキュリティインシデントを報告しています。その大半は、新たなエクスプロイトによるものではなく、設定ミスに起因するものです[2]。現代のエンタープライズアーキテクチャでは、ハイブリッド環境は例外ではなくデフォルトと見なされており、そこには5つの共通パターンがあります:
その基本原則はzero trust でありzero trust これはアイデンティティを基盤とし、あらゆる接点で一貫して適用され、継続的に検証されるものです。
NIST CSF 2.0とISO 27001、SOC 2、PCI DSS、NIS2、DORAを相互参照させることで、管理措置を再利用でき、監査の負担を大幅に軽減できます。競合する各ガイドラインにおいて、最も優先度の高いコンテンツの不足点は、統一された比較表の欠如です。以下のマトリックスは、まさにその比較表です。
NIST CSF 2.0、ISO 27001、SOC 2、PCI DSS、NIS2、およびDORAについて、適用範囲、実施頻度、地域、罰則、および統制項目の重複という観点から比較対照した表。
セキュリティフレームワークの ::プログラムの基盤としてNIST CSF 2.0から開始します。国際的なISMS認証のためにISO 27001を重ねます。顧客による証明が調達要件となる場合はSOC 2を追加します。カード会員データを処理する場合はPCI DSSに準拠します。EUの重要または不可欠な事業体である場合はNIS2を満たします。 EUの金融機関または重要ICTサードパーティである場合は、DORAに準拠する。規範的な実装にはCIS Controls v8を、連邦政府レベルの深度にはNIST SP 800-53 Rev. 5を、サプライチェーンリスクの詳細にはNIST SP 800-161 C-SCRMを使用する。
この相互参照による経済効果は甚大である。ISO 27001とSOC 2は、AICPA SOCサービススイートによって認められているように、約80%のコントロールが重複しており、多くの場合、単一の証拠セットで両方の保証を裏付けることができる[13]。 NIS2とDORAはいずれも、NIST CSF 2.0の新しいGOVERN機能に明確にマッピングされるGOVERN機能のアンカーを有しており、組織は一度設計するだけで複数の規制枠組みへの報告が可能となる[14]。SecurityWeekのリスクおよび規制に関する報道によると、規制当局は、2026年のコンプライアンスを定義するのは、ポリシー文書ではなく、実証可能で証拠に基づいた統制であるということを明確にしている[15]。
フレームワークは制御側を規定する; MITRE ATT&CK は攻撃者の手法側を規定します。あらゆる検出範囲評価において明らかになる、2025年から2026年にかけての4つの標準的な企業向け手法:
T1078 — 有効なアカウント (TA0001 初期侵入) — 2025年DBIRにおける初期侵入経路の22%を占める、認証情報の悪用パターンT1110 — ブルートフォース (TA0006 認証情報のアクセス)T1021 — リモートサービス (TA0008 横方向の動き)T1486 — データはインパクトのために暗号化されています (TA0040 影響)検知結果をATT&CKの手法にマッピングすることで、監査担当者や取締役会に対し、組織再編やベンダー変更があっても揺るがない、説得力のあるカバレッジのベンチマークを提供できます。
2025年から2026年にかけての企業の脅威情勢は、IDを標的とし、サードパーティによる影響が拡大し、SaaSのみの環境がますます増加する傾向にあります。 Verizon DBIR 2025の攻撃ベクトル内訳が基準を示している:サードパーティの関与が30%(前年比2倍)、侵害事例におけるランサムウェアの割合が44%、脆弱性悪用が34%増加、初期ベクトルの20%で脆弱性悪用と組み合わされた認証情報の悪用が22%、そして攻撃の約80%malware[2]。 AiTM(AIによる標的型攻撃)やトークン窃取攻撃は、従来の多要素認証(MFA)を迂回するケースが増加しています。Help Net Securityの2026年トレンドレポート およびCybersecurity DiveのID駆動型攻撃分析は、この傾向を裏付けています。エンドポイントのみの防御では、今や予測可能な防御の隙間が生じているのです[16][17]。
建築に関する教訓は、6つの事例研究を軸に構成されています。それぞれの事例は、センセーショナルなインパクトを狙うのではなく、防衛担当者に何を教えるかという観点から取り上げられています。
1. Snowflake / UNC5537(2024年6月)。攻撃者は、多要素認証(MFA)未導入のアカウントから盗んだ認証情報を使用して、165以上のSnowflake顧客テナントにアクセスし、AT&TやTicketmasterを含む数百の組織からデータを持ち出した。教訓:SaaS認証における手抜き——MFA未導入のアカウント、共有されたサービスID、デフォルトでパスワード認証となる顧客管理型認証——は、シングルテナント環境での侵害とは異なり、マルチテナントプラットフォーム全体に波及する。クラウドセキュリティアライアンス(CSA)の分析によれば、この失敗の原因は技術ではなくガバナンスにあった。SnowflakeはMFAを提供していたものの、その適用を強制していなかった[18]。
2. 米国財務省/ベンダーツールへの不正アクセス(2024年12月)。米国財務省のワークステーションに管理者レベルのアクセス権を持つサードパーティの特権アクセスベンダーが侵害され、外国資産管理局(OFAC)を含むシステムがさらされた。教訓:高い特権アクセス権を持つサードパーティのツールは、調達チェックリストに埋もれるべきではなく、取締役会レベルのサイバーガバナンスで扱うべき最優先のリスクである。サプライチェーン攻撃のリスクは、今やCEOレベルの懸念事項となっている。
3. SAP NetWeaver CVE-2025-31324(2025年4月)。SAP NetWeaver Visual Composer に存在する重大な認証前リモートコード実行(RCE)の脆弱性(CVSS 10.0)は、公開から数日以内に積極的に悪用されました。教訓:主要なエンタープライズプラットフォームにおける重大な認証前RCEに対しては、迅速なパッチ適用に加え、パッチ適用期間中はネットワーク層での検知による対策が求められます。悪用がパッチの公開に先立つ場合、脆弱性管理だけではもはや不十分です。
4. Instructure / ShinyHunters(2026年5月)。2026年5月、LMSベンダーであるCanvasへの侵害により、約9,000の組織にまたがる2億7,500万件のレコード、約3.65TBのデータが流出しました。ヘルプデスクスタッフへのボイスフィッシング →phishing IDプロバイダーのFastPass登録 → SSOバースト → SaaS限定のデータ流出という侵入の連鎖は、今や繰り返し使用される手口となっています。The Hacker Newsの報道および TechCrunchのレポートによると、この結果生じた身代金支払いに関する議論は現在、経営陣レベルで検討されている[19][20]。教訓:2026年において高等教育機関およびK-12(幼稚園から高校)は最優先の標的であり、SaaS限定のデータ流出は、従来のツールでは検出できないオンプレミス上の痕跡を残さない。phishing やソーシャルエンジニアリングの攻撃チェーンを通じた認証情報の窃取の拡大が、主要なパターンとなっている。
5. SD-WAN管理プレーンの認証バイパス(CVE-2026-20182、2026年5月)。大手ネットワーク機器ベンダーのSD-WAN管理プレーンに、CVSS 10.0の認証バイパス脆弱性が存在し、脅威グループ「UAT-8616」によって実際に悪用されていた。教訓:単一ベンダーによる管理プレーンの統合は、企業全体に及ぶ影響範囲を生み出す。これは、MSP/RMMの侵害と同様のコントロールプレーン攻撃パターンである。管理プレーンにおけるアーキテクチャの多様性は、非効率性ではなく、防御可能な設計原則である。CISAの「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」 アラートおよびCISA KEVカタログは、権威ある追跡情報源である[21][22]。
6. サイバーセキュリティベンダーのソースコードリポジトリへの侵入(2026年5月)。大手エンドポイントセキュリティベンダーのソースコードリポジトリが侵害され、RansomHouseグループによってデータが脅迫の材料として利用された。教訓:セキュリティベンダーでさえも侵害される可能性がある。ベンダーに対するデューデリジェンスは、自社を守るベンダーを含め、あらゆる企業のサードパーティリスク登録簿に記載されるべきである。BleepingComputerの報道によると、下流の防御担当者に対するサプライチェーンへの影響については、現在も調査中である [23]。
全体像としては、2026年のサイバー攻撃の連鎖が、新たなゼロデイ脆弱性を起点とするケースは稀である。その多くは、認証情報の悪用、ベンダーの侵害、あるいはパッチが適用されていない境界機器から始まり、IDを足がかりにSaaSやクラウドへと侵入し、そこでデータが持ち出されることで、フォレンジック調査の痕跡を最小限に抑えるという流れとなる。
2025年のDBIR(データ侵害報告書)におけるインシデントのうち、サードパーティが関与したものは30%に達し、前年比で2倍となった。Help Net Securityの2025年サプライチェーンに関するレポートによると、62%の組織が、自社のサイバーセキュリティ要件を満たしているベンダーは半数未満であると回答しており、51%の組織では完全なベンダー目録が整備されていないという[24]。 サードパーティ・リスク管理(TPRM)のライフサイクル(発見、評価、契約、監視、契約解除)は、現在NIST SP 800-161 C-SCRMに規定されている。企業レベルにおいて、TPRMはもはや調達部門だけの機能ではなく、セキュリティ、法務、および事業部門が共同で担う継続的な取り組みとなっている[25]。
AIエージェントの導入率は3年以内に企業の76%に達すると予測されているが、現在、適切な管理体制を整えている組織は10%未満にとどまっており、非人間アイデンティティの数はすでに人間アイデンティティの80倍に達していると推定されている。The Hacker Newsの「AIエージェントはすでに内部に存在する」という報道によると、NHI(非人間アイデンティティ)およびAIエージェントのアイデンティティガバナンス分野は、2026年に2億2000万ドル以上の資金調達を集め、その年最大のカテゴリー創出イベントとなった[26]。 適切なガバナンスの枠組みは、NIST CSF 2.0のGOVERN機能である。これには、すべてのエージェントIDの登録、権限を必要最小限に限定すること、認証情報のローテーション、実行時の動作の監視、および廃止時のIDの削除が含まれる。この枠組みは、エージェント型AIのセキュリティおよびより広範なAIセキュリティ体制に直接対応する。内部脅威と非人間IDのリスクは、現在、ガバナンスの基盤の大部分を共有している。
2026年の企業のサイバーセキュリティ戦略は、アイデンティティを最優先とし、ガバナンス主導で、SOCトライアド全体に多層的に展開され、取締役会への報告に向けて継続的に評価が行われるものである。8つのベストプラクティスが、プログラム設計の基盤となっている。
各プラクティスは実証データに基づいています。2025年のポネモン研究所の調査によると、検証済みのインシデント対応計画による平均的な侵害コストの削減額は266万ドル、成熟したzero trustによる削減額は176万ドル、AIと自動化による削減額は190万ドルとされており、これらを合わせると、前述のプログラム設計の有効性を裏付ける数百万ドル規模の根拠となります [4]。 2026年3月に公開されたNIST CSF 2.0クイックスタートガイドでは、8つの実践手法に沿った、すぐに適用可能な実装プロファイルが提供されています[11]。
「アイデンティティこそが新たな境界線」です。2025年のDBIR(データ侵害報告書)によると、侵害事例の22%が認証情報の悪用から始まっており、AiTM(AIによる標的型攻撃)がSMSやプッシュ通知ベースの多要素認証(MFA)を回避するケースが増加していることから、設計上の優先事項は、phishing認証と、継続的なアイデンティティ・コンテキストの検証となります。2026年水準のアイデンティティ層を定義する5つの投資分野は以下の通りです:
2026年において、ヘルプデスクのプロセスはID管理における最大の弱点となっている。文書化された研修、折り返し確認、および二重管理による多要素認証(MFA)登録の変更により、既知の弱点が測定可能な管理策へと変わる。
ガバナンスのパターンは、説明は簡単だが実行は困難である。具体的には、エージェントのIDを登録し、ツールの使用範囲と実行時の権限を定義し、エージェントの動作テレメトリを監視し、人間の承認プロセスを介して危険な動作を制限し、廃止時には運用を終了させる。 監査のトレーサビリティを確保するため、各ステップをNIST CSF 2.0のGOVERN機能活動にマッピングする。技術的な機能の詳細については、エージェント型AIセキュリティのページに委ねる。プログラムレベルでの目標は、管理対象外となるエージェントIDが存在しないことを保証することである。
「発見」「評価」「契約」「モニタリング」「離職」という5つの段階は、順序立てて進められるものの、継続的なプロセスです:
リソースが限られている中堅企業においては、マネージド・ディテクション・アンド・レスポンス(MDR)やハイブリッドクラウドセキュリティサービスを活用することで、運用負荷を軽減しつつ、ガバナンスは社内のプログラムが担うことができます。クラウドセキュリティという広範な分野は、ライフサイクルを支える技術的機能の多くを基盤としています。全5つの段階を通じて、インシデント対応プレイブックを共同の成果物として扱う必要があります。つまり、ベンダーのインシデント対応プロセスは、自社の対応プロセスと同じタイミングで開始されるのです。
CISOには、NIST CSF 2.0に準拠したKPIカタログと、金額で算出されたコスト削減効果が求められます。取締役会は技術的な深さではなく、ビジネス価値に基づいてプログラムを承認するからです。以下のKPIカタログは、CSFの6つの機能に直接対応しており、1ページにまとめたCISOスコアカードの基礎となります。
NIST CSF 2.0の機能に対応付けられたKPIカタログ(指標、計算式、目標範囲を含む)。
ROI(投資対効果)という枠組みこそが、取締役会の承認を得る鍵となります。ポネモン研究所の2025年の調査によると、AIと自動化により、情報漏洩によるコストを平均190万ドル削減し、検知までの時間を80日短縮できます。また、実証済みのインシデント対応計画では266万ドル、成熟したzero trust 176万zero trust 、不正なシャドーAIは情報漏洩コストを67万ドル増加させます [4]。 2026年の企業セキュリティ支出予測が2,440億ドル(13.3%増)であることは、取締役会におけるCFOとの対話が、もはや抽象的なリスク用語ではなく、測定可能なコスト削減額に基づいて行われるようになったことを意味します[6]。これらの金額を、NIST CSFの機能に紐づいたサイバーセキュリティ指標や UEBAから導き出された行動ベースラインと組み合わせることで、取締役会に対して最も説得力のある説明が可能になります。 検証済みのシナリオに基づいてインシデント対応プレイブックを継続的に改善することで、MTTR(平均復旧時間)およびATT&CKカバレッジの目標値が四半期ごとに信頼性を維持できるようになります。
現代の企業のサイバーセキュリティは、AI、ID中心のSOC、量子コンピューティングへの対応、および規制ガバナンスを統合しており、その設計原則として「侵害を前提とする」という考え方が採用されています。今後数年間は、12~24か月ごとに訪れる4つの転換点がその行方を左右することになります。
セキュリティ運用におけるAIの導入は、すでに試験運用段階を過ぎています。WEFの調査回答者の94%が、AIを変化の最大の原動力と捉えています。ポネモン研究所が算出した情報漏洩によるコスト削減額190万ドルのうち、AIと自動化によるものが占めています。小規模なSOCチームは、AIを活用して実効的な対応能力を飛躍的に高めています。2026年の議論の焦点は、もはや導入の是非ではなく、ガバナンスと測定方法にあります[1][4]。LLMアプリケーション向けのOWASP Top 10およびNIST AIリスク管理フレームワークは、プログラムレベルの指針を提供している[27][28]。
エージェント型AIのガバナンスは、新興段階から正式な枠組みへと移行しつつある。 Dark Readingによるエージェント型AIとアイデンティティ・ガバナンスに関する分析によれば、2026年は、AIエージェントが人間やサービスアカウントのアイデンティティと同様のガバナンス範囲に組み込まれ、責任者の指名、文書化されたポリシー、および監査証跡の要件が求められるようになる年となる[29]。
今後の規制上のマイルストーンは具体的である。 EU AI法の段階的な施行は継続しており、2025年2月から禁止行為が適用され、2025年8月からGPAI(一般目的AI)に関する義務が適用され、2026年8月2日から高リスクシステムに関する義務が施行される[30]。 NIS2の最初の正式な調査結果は2026年第3四半期に発表される見込みであり、対象となるEUの金融機関に対してはDORA TLPT審査が現在進行中である。NISTのPQC(ポスト量子暗号)規格の策定が進んでいることから、量子技術への対応(ポスト量子暗号)は2026年のインベントリおよびロードマップの議題に含まれるべきである。
テレメトリとアイデンティティの融合こそが、アーキテクチャの核心です。統合型サイバーセキュリティソリューションは、NDR、EDR、SIEM、ITDR、およびクラウド検知機能を、単一のアナリストワークフローに統合します。最新のNDRツールでは、ネットワーク信号とアイデンティティ、クラウドのコンテキストを、単なる追加機能ではなく、デフォルトとして統合する傾向が強まっています。
現代の企業のサイバーセキュリティプログラムでは、組織をオンプレミス、マルチクラウド、ID、SaaS、IoT/OT、AIインフラストラクチャにまたがる単一の攻撃対象領域として扱います。 ベンダー中立的なアプローチは、成熟したプログラムにおいて一貫しています。特定の単一レイヤーに過剰な投資を行うのではなく、「SOC可視化トライアド」を構築すること。ガバナンスをNIST CSF 2.0に定着させ、必要に応じてNIS2、DORA、ISO 27001、SOC 2、PCI DSSへのマッピングを文書化すること。phishing多要素認証(MFA)と、認証後の監視のためのITDR(侵害検知・対応)を導入し、「IDファースト」設計を制度化すること。 AIエージェントや非人間アイデンティティを第一級のプリンシパルとしてガバナンスする;TPRMを単なる調達手続きではなく、継続的なライフサイクルとして運用する;そして、CSF機能にマッピングされたKPIに基づき、四半期ごとに取締役会へ報告する。中堅企業向けのパターンでは、プラットフォームベースの検知、運用負荷を軽減するMDR、そしてアーキテクチャ、ガバナンス、インシデント対応チェーンに注力する精鋭の社内チームを組み合わせたアプローチへの依存度が高まっている。
Vectra AIは、ある一つの前提から始まります。それは、「賢い攻撃者は必ず侵入してくる」ということです。現代のネットワークは攻撃対象領域そのものであり、オンプレミス、マルチクラウド、ID、SaaS、IoT/OT、AIインフラストラクチャを網羅する単一の統合された基盤となっています。 「侵害を前提とする(Assume Compromise)」という考え方と、malware 持ち込むmalware だけでなく、侵入後に示す行動を特定する「Attack Signal Intelligence™」を基盤とする企業のサイバーセキュリティプログラムは、2026年の現実——攻撃の約80%malware、IDを悪用し、複数の攻撃対象領域を横断する——に合致しています。このプログラムの目標は、アラートの数を増やすことではなく、ノイズの中からシグナルを抽出し、横方向の移動(ラテラルムーブメント)の前に攻撃を封じ込める、情報に基づいた行動をとることにあるのです。VectraのAIプラットフォームは、この方法論に基づいて構築されています。
2026年のエンタープライズサイバーセキュリティは、ガバナンス、アーキテクチャ、運用が交差する領域に位置する単一の分野である。 脅威の状況——IDを標的とし、サードパーティによって増幅され、AIの影響を受け、ますます詐欺主導となっている——により、単一の制御戦略は時代遅れとなった。フレームワークの状況——NIST CSF 2.0を基盤とし、その上にNIS2、DORA、ISO 27001、SOC 2、PCI DSSが重ねられたもの——は、かつてないほど要求が厳しく、かつ再利用性が高まっている。 経済的なメリットはかつてないほど明確です。AIと自動化による190万ドルのコスト削減、検証済みのインシデント対応計画による266万ドルの削減、成熟したzero trustによる176万ドルの削減に対し、世界平均の侵害コストは444万ドル、米国平均では1,022万ドルに上ります。
防御側の戦略は明確です。NIST CSF 2.0を基盤とし、GOVERNを取締役会レベルのガバナンスエンジンとして位置づけます。単一のテレメトリ層に過度な投資を行うのではなく、「SOC可視化トライアド」を構築します。phishing(多要素認証)とITDR(IT脅威検知・対応)により、アイデンティティを新たな境界線とします。AIエージェントや非人間的なアイデンティティを適切に管理します。TPRM(脅威対策リスク管理)を継続的なライフサイクルとして運用します。 侵害を想定した計画を策定し、年4回その計画を検証し、取締役会が理解できるKPIに基づいて四半期ごとに報告を行う。
より詳細な技術的背景については、「ネットワークの検知と対応」、「脅威の検知」、「ID関連の脅威の検知と対応」、およびzero trust をご参照ください。また、SOCアナリスト向けトレーニングリソースでは、本プログラムの基盤となる運用ノウハウについて解説しています。
エンタープライズサイバーセキュリティとは、オンプレミス、マルチクラウド、ID管理、SaaS、IoT/OT、エッジ、AIなど、組織が関わるあらゆる領域において、大規模組織のデータ、ID、インフラ、および業務を保護するための、人材、プロセス、テクノロジー、ガバナンスを統合したプログラムです。 エンドポイントセキュリティやネットワークセキュリティといった単一の制御分野とは異なり、エンタープライズサイバーセキュリティはプログラムおよび取締役会レベルで運用されます。これは、NIST CSF 2.0などのフレームワークを基盤とし、NIS2、DORA、SOC 2、PCI DSS、GDPR、HIPAAなどの規制体制に準拠しながら、組織がサイバーリスクをどのようにガバナンスし、あらゆる接点にわたる資産を特定・保護し、攻撃を検知・対応し、インシデントから復旧するかを定義するものです。 実務的には、SOC、CISO機能、ガバナンス、およびアーキテクチャ上の意思決定を、ツールカテゴリごとに断片化させることなく、一貫性のあるものにするための分野である。
サイバーセキュリティとは、デジタルシステムを攻撃から守るための包括的な分野であり、総称として用いられる言葉です。一方、エンタープライズセキュリティとは、大規模組織においてサイバーセキュリティをプログラムレベルで適用したものであり、明確なガバナンス、取締役会への説明責任、そして中小企業ではほとんど直面することのない規制の適用範囲が伴います。両者の違いは、根本的に異なる概念というよりは、規模と構造にあります。中小企業も何らかの形でサイバーセキュリティプログラム(EDRエージェント、ファイアウォール、メールセキュリティサービス、パスワード管理など)を運用しています。 一方、大企業では、取締役会委員会によって統治され、フレームワークへの準拠によって実証され、CSF(サイバーセキュリティフレームワーク)にマッピングされたKPIを通じて測定され、数千ものIDや、それ自体が攻撃対象となるサードパーティベンダー基盤全体に対して説明責任を負うサイバーセキュリティプログラムが運用されています。大企業レベルでは、SOC(セキュリティオペレーションセンター)の運用、正式なインシデント対応プレイブック、継続的なサードパーティリスク管理が、オプションの機能ではなく、基本的な要件として求められます。
企業のサイバーセキュリティプログラムは、NIST CSF 2.0フレームワークに基づいて構成された6つの機能コンポーネントを基盤としています。「GOVERN」は、取締役会レベルの監督、ポリシー、およびリスク許容度を定めます。「IDENTIFY」は、資産、リスク、およびサードパーティによるリスクを洗い出します。「PROTECT」は、ID管理、アクセス制御、データ保護、意識向上、インフラの強化といった対策を提供します。 DETECTは、SOC可視化トライアド(ネットワーク検知・対応、エンドポイント検知・対応、SIEM)を通じて継続的な監視を行います。RESPONDは、インシデント対応プレイブック、コミュニケーション、および封じ込めを提供します。RECOVERは、復旧計画と改善ループを提供します。 これら6つの機能にわたり、本プログラムはエンドポイント、ネットワーク、ID、クラウドおよびSaaS、OT/IoTという5つの領域を網羅しており、各領域にはテレメトリ、制御、および検知プレーンが必要です。多層防御とzero trust 、これらを結びつけるアーキテクチャのzero trust 。「侵害を前提とする(Assume Compromise)」という原則は、DETECTおよびRESPOND機能に優先順位を与える運用上の前提条件です。
「SOC可視性の三要素」とは、効果的なセキュリティ運用には、エンドポイント、ネットワーク、ログという3つの相互補完的なレイヤーからの相関付けられたテレメトリデータが必要であるという原則です。エンドポイント検出・対応(EDR)は、監視対象のエンドポイントにおけるプロセス、ファイル、レジストリ、メモリの活動を把握できますが、暗号化されたイースト・ウエストのネットワークトラフィックやIDプロバイダーのイベントは捕捉できません。 ネットワーク検知・対応(NDR)は、EDRでは把握できないビーコン送信、ラテラルムーブメント、暗号化されたフローパターンを検知できますが、エンドポイントの状態は把握できません。SIEM(セキュリティ情報イベント管理)は、これら両方のログに加え、ID、クラウド監査、ビジネスシステムのログを相関分析しますが、実際にログに記録された内容に限定されます。拡張検知・対応(XDR)は、これら3つを統合し、優先順位付けされたインシデントを含む単一のアナリストワークフローへと結びつけるアーキテクチャパターンです。 この3つの枠組みが重要となる理由は、Verizon DBIRによると2025年の攻撃の約80%がmalware、また大規模な侵害の推定50%において攻撃者がエンドポイント制御を回避していることにある。いずれかのレイヤーへの過度な依存は、予測可能な脆弱性を生み出すことになる。
ISO/IEC 27001:2022は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であり、人、プロセス、技術にわたる93の附属書Aのコントロール項目を規定しており、認証サイクルは3年、さらに年次サーベイランスが実施されます。 SOC 2は、AICPA(米国公認会計士協会)が定義した「トラスト・サービス基準」(セキュリティ、可用性、処理の完全性、機密性、プライバシー)に基づく保証フレームワークであり、主に米国中心のSaaSプロバイダーが、顧客に対してコントロールの有効性を証明するために、タイプI(特定時点)またはタイプII(6~12ヶ月)の形式で利用しています。 PCI DSS v4.0は、ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード(Payment Card Industry Data Security Standard)であり、ペイメントカードデータを保存、処理、または送信するすべての組織に義務付けられており、レベル1加盟店に対しては年次評価に加え、四半期ごとのスキャンが求められます。 ISO 27001とSOC 2は、約80%の統制項目が重複しており、しばしば併せて導入されます。PCI DSSは適用範囲(カード会員データ環境)が狭く設定されていますが、その範囲内ではより詳細な規定が設けられています。NIST CSF 2.0はこれら3つの規格すべてと明確に整合しており、それらを支えるプログラムレベルの基盤として活用できます。
NIS2は、エネルギー、運輸、医療、デジタルインフラ、行政など18のセクターにわたる「不可欠」かつ「重要」な事業体を対象としたサイバーセキュリティに関するEU指令2022/2555であり、加盟国による国内法への組み込み期限は2024年10月17日であり、EU27カ国全域で現在、積極的な施行が進められている。 罰金は1,000万ユーロまたは世界全体の売上高の2%に達し、経営幹部には個人責任が問われる。ドイツのBSIへの登録期限である2026年3月6日は既に過ぎ、監督当局による検査の第1弾が開始されている。 DORA(デジタル・オペレーショナル・レジリエンス法、EU規則2022/2554)は2025年1月17日から適用され、EUの金融サービス事業者およびその重要なICTサードパーティプロバイダーを対象としています。ICTリスク管理、脅威主導型侵入テスト(TLPT)、厳格な期限を伴うインシデント報告、および正式なサードパーティ登録簿の整備が求められます。 罰則は全世界の売上高の2%に加え、継続的な不遵守に対しては日割りの罰金が科されます。両制度とも、NIST CSF 2.0と明確にマッピングされるGOVERN機能のアンカーを備えており、「一度設計して複数回報告する」というプログラムパターンをサポートしています。
AIエージェントとは、ユーザーやシステムに代わって行動するソフトウェアエンティティであり、APIの呼び出し、ツールチェーンの実行、データの生成、状態の変更などを行います。これらは定義上、人間以外のアイデンティティであり、業界レポートによると、企業での導入率は3年以内に76%に達すると予測されています。 これには2つのセキュリティ上の影響が伴います。第一に、エージェントにはID、認証情報、および権限範囲が必要です。しかし、多くの企業では、人間のIDを管理するのと同じ方法でこれらを管理・統制できておらず、非人間IDの数はすでに人間のIDの約80倍に達していると推定されています。第二に、エージェントは迅速に行動し、破壊的な行動を取り、従来のID異常検知が想定していなかった方法で攻撃対象を横断的に移動することが可能です。 2026年のガバナンス・パターンは、NIST CSF 2.0の「GOVERN」に準拠しています。具体的には、すべてのエージェントIDを登録し、権限を最小限に制限し、認証情報をローテーションし、エージェントAIセキュリティ機能を用いて実行時の挙動を監視し、廃止時にはリタイアさせることです。現在、適切な管理体制を整えている組織は10%未満であり、このギャップを埋めるために、2026年には2億2,000万ドル以上の資金が市場で評価されています。