サイバー2026：進化する脅威への対応に求められる戦略的リーダーシップ

2026年、AIによる脅威と規制当局からのプレッシャーにより、サイバーリスクは取締役会レベルの優先事項となっています。
今こそ、リーダーは断固として行動し、レジリエンスを強化し、有利な保険市場環境を活用する時です。

主なポイント

AIの活用、サプライチェーンの複雑化、ランサムウェアなどにより、サイバー脅威が進化し、企業のリスク環境が大きく変化しています。

規制や法的圧力が強まっており、取締役会レベルでの積極的なサイバーリスク管理が不可欠となっています。

これまで以上にリスクが高まっている中、2026年の有利な市場環境の下で、レジリエンスを構築し統制を強化する機会を得ています。

サイバーリスクはもはや最高情報セキュリティ責任者（CISO）だけの課題ではありません。今日の環境において企業は、高度で大規模な損害をもたらし得る脅威に絶え間なくさらされ、サイバーリスクに係る責任は経営幹部や取締役会全体に及んでいます。

人工知能（AI）とデジタル技術の急速な進歩により、サイバーリスクは単にITの課題ではなく戦略的なビジネス課題へと進化しています。2024年にはデータ漏えいの世界平均コストは約500万ドルに達しました。これは、このリスクがいかに重大なものになっているかを改めて示しています。¹

「組織がサイバー態勢を改善し続ける一方で、懸念と警戒心はかつてないほど高まっています」と、エーオンカナダのサイバー推進リーダー、Ady Sharmaは述べています。「サイバーリスクはこれまで以上に取締役会で議論されています。」

2025年からの教訓：主要なテーマと市場動向

1. サイバーリスクは依然として企業の最大の脅威

エーオンのグローバルリスクマネジメント調査は、この現実を裏付けています。サイバー攻撃やデータ漏えいは、2026年まで依然として企業のトップリスクであり、この傾向は2028年まで続くと予想されています。

2026年のサイバーリスクは、AIを活用したサプライチェーンやサードパーティの脅威から規制、プライバシー、訴訟の圧力に至るまで、さまざまなビジネス課題と交差します。ランサムウェア攻撃の増加と、体系的かつ壊滅的な事態の可能性により、取締役や役員、そして組織全体が機敏で十分な情報を確保し、団結し続ける必要があります。

サイバーレジリエンスを達成するには様々な人々の協力が必要です。サイバーレジリエンスを推進するには、企業全体が一丸となって動く必要があります。サイバーは本質的に分散型の問題です。サイバーリスクが見えにくく、かつ対処が難しいのは、それが本質的に相互依存的なリスクであるためです。

Greg Case

エーオンの最高経営責任者（CEO）、第31回リスクマネジメント会議での基調講演にて

チャンスととらえることはできないでしょうか？決断力のある行動、明確なリーダーシップ、協働的なマインセットにより、組織はサイバー脅威を、レジリエンスと持続的成長の機会へと変えるための有利な立場にあります。

2026年の6大予測

サイバー保険市場に引き締めの兆し

保険料は一部の地域では下げ止まってきており、買い手はより厳しい交渉に備えねばなりません。

サプライチェーンとシステミックリスクが新たな解決策を生み出す

リスク移転やベンダー管理におけるイノベーションが期待されます。

AIリスクが新たな補償とガバナンスを促進する

保険会社と取締役会は、ガバナンス、より良い統制、明確さを求めていきます。

キャプティブおよび代替リスク移転の増加

より多くの組織が自家保険を検討し、新しいモデルの検証を行っています。

保険約款の明確さと補償の差別化

保険による補償の質は、価格よりも重要です。教育は依然として重要です。

サイバーレジリエンスを測定可能なKPIとして

組織はビジネスの必須課題としてレジリエンス指標の追跡と報告を行います。

リスクリーダーが2026年とそれ以降の施策を踏み切る中で、エーオンは、市場、進化する脅威、実行可能な洞察を明確に提供し、組織のレジリエンスを強化し、有利な保険市場環境の活用を支援します。

2. サイバーマーケット: 買い手有利、2026年には引き締めの兆し

サイバー保険を購入するのには今が良い時期です。2022年末以降、買い手有利で資本が充実した市場が、世界的にサイバー保険の保険料を手頃にしました。

2026年はソフト市場が続くと予想されますが、2025年末には、一部の市場では損害発生頻度の上昇と損害率の悪化の影響を受けて、引き締めの兆候が見え始めました。保険会社は、自社の最大キャパシティを（場合によっては全く）提供できない下限レートも明確にしています。これは高い限度額を求める買い手にとって重要な考慮事項です。

また、保険料に過度な圧力をかければ、主要なサイバー保険引受会社の有望な引受能力が失われることもあります。

「保険会社、特に市場をリードしてきた保険会社においては損失が蓄積し、収益性に圧力をかけている」と、エーオンのグローバルサイバーリーダー、Brent Riethは述べています。「彼らはプレッシャーを感じていますが、過去5年間で市場に参入した膨大な量の新規保険キャパシティがそれに対抗しています。」

2026年に大きく迫るサイバー脅威

1. 第三者およびサプライチェーンのリスク

サプライチェーンや流通の中断は、世界トップ10のリスクであり、エーオンのグローバルリスクマネジメント調査でも、2028年まで高い水準が続くと予測されています。CDKやChange Healthcareを含む注目度の高いインシデントは、体系的なリスクや事業中断の影響の規模と深刻さを明らかにしました。

ある大手製造業者の事業がサイバー攻撃で中断された際、数千のサプライヤーやディーラーが大きな財政的負担を抱えたため、政府がサプライチェーンの安定化に介入しました。これらのインシデントは、深刻になりつつある問題を浮き彫りにしています。

サードパーティの関与は、2024年の全データ漏えい事故の30%を占め、前年の15%から増加しました。² CrowdStrikeのような悪意のないイベントも、サイバー攻撃と同等の深刻さを持つことが多く、サイバー保険の対象となることがあります。

サプライチェーンが拡大し相互接続が高まる中、組織はサプライヤーのセキュリティ成熟度や技術障害に対するレジリエンスを把握し続けることがますます難しくなっています。 Riethは、「サードパーティがどのようにリスクを管理し、それが貴社ビジネスにとって何を意味するのかを評価するだけでも、解決が難しい複雑な網となります」と言い足しています。

「より広範なサードパーティエコシステムにおける最も弱い部分が引き金となり、複数の企業に非常に壊滅的なレベルで影響を及ぼす、という状況が続くでしょう。」と、サイバーソリューション部門責任者（ヨーロッパ、中東、アフリカ）のDavid Molonyは述べています。

サードパーティやオープンソースのAIモデルの採用が急速に増えることにより、AIサプライチェーンという新たな攻撃領域が生まれました。サプライチェーンが拡大する過程で、しばしば脆弱性が生じます。特に、サードパーティのコンプライアンスの検証が困難な場合や、オープンソースコードが使用されている場合に、その傾向が強まります。

導入前にサードパーティのAIツールのセキュリティを評価するためのプロセスを備えている組織はわずか37%です。³ 2025年には、複数の研究機関が、モデルの学習データのわずか0.1%を変更しただけで、ターゲットを絞った誤分類が引き起こされることを示しました。例えば、AIの画像認識システムに停止標識を誤認識させるといったものです。

サイバーセキュリティの分野では、これは、侵入検知モデルが悪意のあるペイロードを「無害」と誤分類してしまうことを意味します。⁴ 今後も私たちは、サードパーティエコシステムにおける1つの障害点が体系的なインシデントへと連鎖的に拡大し、複数の企業を同時に混乱させ、損失を増幅させる事象を見続けることになるでしょう。

今後も私たちは、サードパーティエコシステムにおける1つの障害点が体系的なインシデントへと連鎖的に拡大し、複数の企業を同時に混乱させ、損失を増幅させる事象を見続けることになるでしょう。

David Molony

サイバーソリューション部門責任者（ヨーロッパ、中東、アフリカ）

2. AI主導による脅威の拡大

AIがサイバーに与える影響は、他の攻撃ベクターにも及びます。AIはデジタル時代の両刃の剣であって、企業に大幅な効率向上をもたらすと同時に、攻撃者がかつてない速度と洗練度で攻撃を拡大・自動化できるようにもしています。AIが業務に深く統合されるにつれて、組織はサイバーリスクの新たな時代に直面しています。自律的で適応的な脅威が従来型の防御策の対応速度を上回ってしまう時代です。

エーオンのグローバルリスクマネジメント調査によると、AI主導型のサイバー攻撃は現在、世界中のビジネスリーダーにとってトップ10のリスクとなっています。これらの攻撃が他と一線を画しているのは、人間の攻撃者が追随できない規模の速度、自律性、知能を兼ね備えているためです。

「AIには乗数効果があり、悪意のあるアクターが企業に対して非対称な「戦い」を仕掛けることが可能になります」と、エーオンのグローバルサイバーリスクコンサルティングリーダー兼APAC地域リスクコンサルティング&サイバーソリューション責任者、Adam Peckmanは述べています。「攻撃者は最新の脆弱性を迅速に武器化し、大規模な人員や計算能力に投資を行わずに大規模に展開することができます。」

サプライチェーンやデータモデルのポイズニング（汚染）にとどまらず、これらの脅威はサイバーリスクの様相そのものを変えつつあります。

自律型AI攻撃：機械エージェントは自立的に連携しながら複数段階にわたるキャンペーンを企画・実行することができ、従来型のセキュリティモデルにとって大きな課題となっています。
適応型マルウェアの製造：自己進化する悪意あるコードは、数秒で機能するユニークなマルウェアの亜種を生成できるため、検出や対応を一層困難にしています。
合成インサイダーの脅威：漏えいした従業員データと音声サンプルをもとに作成されたAIエージェントは、実在のユーザーをもっともらしく模倣し、極めて正確な言語パターンや行動パターンによって各種プラットフォームに侵入することができます。⁵

AIは物理的なセキュリティも再構築しています。自律型ドローンやディープフェイク対応の認証システムなどの技術によって新たな脆弱性が露呈し、従来型のセキュリティの境界は時代遅れになりつつあります。攻撃者は衛星画像、建物のレイアウト、ソーシャルメディア、さらには従業員の行動パターンに至るまで、オープンソース・インテリジェンスを活用して、高度な侵入を仕掛けています。

これらの能力により、攻撃者は、弱点を正確に特定し、警備巡回を仮想的に再現し、物理的なセキュリティ制御を回避できるようになっています。保険会社も、攻撃者によるAIの利用方法だけでなく、組織がサイバーレジリエンスを強化するためにAIをどのように活用しているかについても注視しています。

エーオン北米のサイバーソリューション責任者、Matt Chmelは「AI技術を開発しているなら、組織を守るために専門業務E&O保険やテクノロジーE&O保険が必要です」と言い足しています。
「企業はまた、AIの活用方法を見直し、ビジネス慣行、プロセス、安全対策、コンプライアンス措置が堅牢であることを確実にする必要があります。」

3. ランサムウェアの復活

頻度と損害規模が低減した時期を経て、2025年にはランサムウェア攻撃の激しさが増加し、世界中の企業にさらなる圧力をもたらしました。

95%

2025年の世界平均ランサムウェア支払額の増加

出典 : エーオンデータ

74%

2025年の世界的なランサムウェアによる保険請求の増加

「ランサムウェアは新しい脅威ではありませんが、増大している脅威です」と、エーオンのヨーロッパ、中東、アフリカにおけるサイバー保険補償条件交渉およびクレーム責任者のパブロ・コンステンラ氏は述べています。「新しいランサムウェアグループが存在していることに加えて、以前から活動していたグループもさらに攻撃的になっています。」

規制や法的動向が企業の主要な関心事に

規制および法的リスクは、経営者およびリスク管理責任者にとって、依然として最重要課題であり、エーオンのグローバルリスクマネジメント調査では4番目に高いリスクにランクされています。
組織が変化し続ける複雑な規制環境に直面する中、この傾向は少なくとも2028年まで続くと見られています。

米国証券取引委員会（SEC）による新たなサイバーセキュリティ開示規則や、欧州連合における「高い共通レベルのサイバーセキュリティ」を確保することを目的としたNIS2指令など、各政府機関による新たな規制は、インシデント報告と説明責任に対する要求水準を一段と引き上げています。

「SECの規制では、開示事項を4日以内に報告することが求められており、サプライチェーンに対する懸念を踏まえて、保険市場もより多くの情報を求めるようになっています」と、エーオン北米サイバーソリューション担当シニアバイスプレジデント、Stephen Viñaは述べています。「これらの動向が、サイバーリスクを経営アジェンダの最重要項目に押し上げています。」

世界的にプライバシー規制が厳格化される中で、訴訟リスクも高まっています。特に米国では、トラッキング技術やデータ収集に関する集団訴訟が継続的に提起されており、市場に影響を与え続けています。保険会社は、不適切なまたは違法なデータ収集に関する補償範囲について、約款文言の見直しや補償の絞り込みによって対応しています。

データプライバシーとサイバーセキュリティは、特にAIや高度な分析がビジネスモデルを変革し続ける中で、依然として各国規制当局の最重要課題となっています。

「生成AIは現在、特に取締役会レベルで大きなトピックになっています。経営陣は自社のリスクを理解しようとしています」と、エーオン北米サイバーセキュリティコンサルティングリーダーであるAllan Vogelは述べています。「従業員やクライアントに対してAIが誤った情報を提供してしまうことは、非常に大きな懸念事項の一つです。」

EUの2024年AI規則（Artificial Intelligence Act）は、2024年から施行され、高リスクAIシステムに対して厳しい要件を課し、違反した企業には全世界の売上高の7%を超える制裁金が科される可能性があります。

一方、米国の各州は独自のデータプライバシー法の整備を推進しており、中国のデータガバナンス政策はデータ制限やデータ規制、インターネット主権への影響をめぐる国境を越えた懸念を引き続き高めています。

これらの動きは、継続的なモニタリングと積極的なリスクマネジメントを必要としています。組織はビジネスを守りレジリエンスを維持するために、規制の変化を先取りして対応する必要があります。

2026年に注目すべき4つの主要なトレンド

AIは諸刃の剣

AIは、脅威としても防御のためのツールとしても、サイバーリスクに関する議論の中心となるでしょう。新たなガバナンス基準を促す「エージェント型AI」が関与する大規模な情報漏えいが発生し、それを契機に新たなガバナンス基準が策定されることが予想されます。

政府および規制への対応

規制は世界的に断片化されたままです。国際機関、各国連邦政府、州・地方自治体から新たなサイバーセキュリティおよびデータプライバシーに関する法律、規則、戦略が打ち出されるにつれて、法的・規制リスクは今後も進化し続けることが見込まれます。

量子コンピューティングと次世代脅威

ポスト量子暗号への投資は増加すると見込まれ、組織は「次の地平線（次世代）」リスクへの備えを進めなければなりません。

ランサムウェアやビジネスメール詐欺は依然として主要な脅威

新たな脅威が台頭する一方で、従来型のサイバー犯罪はより巧妙化し、コストがかかるものになっています。

レジリエンスの構築 : 来年に向けた実行可能な戦略

サイバーリスクを効果的に管理するために、組織は、以下の推奨事項を検討すべきです。

サイバーレジリエンスへの再投資

世界のサイバーリスク移転市場の環境は今後も良好な状態が続くと予想される中、組織は保険料削減分を活用してサイバー防御の強化、補償限度額の拡大、プログラム構成の最適化に再投資することができます。主要なリスクバイヤーは、統制の強化や、リスク許容度に見合った自己負担水準（免責金額）の調整を通じて、有利な市場環境を活用し続けています。

データドリブンなリスクマネジメントの導入

高度な分析は、リーダーがより質の高い意思決定をより迅速に行うことを可能にします。エーオンの Cyber Risk Analyzer や Cyber Quotient（CyQu）評価のようなツールは、サイバーリスクのエクスポージャーの理解と保険プログラムの最適化するために必要な定量的インサイトを提供し、持続可能かつスケーラブルなサイバーレジリエンスの構築を支援します。

インシデントレスポンスと復旧への投資

強固で統合された対応計画は、サイバーイベントの影響を最小限に抑える上で極めて重要です。定期的なレジリエンス訓練と部門横断的な連携により、組織は自信を持って事業を継続できるようになります。エーオンは、効果的なインシデントマネジメントを実現するために、戦略的な保険金回収の支援、保険会社との交渉、優先プロバイダーへのアクセス提供などを通じてクライアントを支援しています。

サイバーレジリエンスをKPIとして活用する

組織はサイバーレジリエンスを正式なビジネス目標として測定・報告し始めています。データ分析とリスクモデリングは、セキュリティコントロールへの投資、事業継続計画の策定、サイバー保険の購入判断を行う際の重要な判断材料となっています。

イノベーションによりリスク移転のプログラムを強化する

キャプティブや代替リスク移転ソリューションは、規制罰金、サプライチェーンの停止、その他のエクスポージャーを柔軟にカバーしたいと考える組織の間で注目を集めています。リスク管理の創造的な方法として、複数年契約、パラメトリック補償、共同保険構造などの代替ソリューションが台頭しています。