Skyhigh Security ：2026年、AIが企業セキュリティの新たな青写真を迫る年となる

By Thyaga Vasudevan - EVP of Product

2025年12月12日 7 分読み

企業が2026年を迎えるにつれ、議論は急速に変化している。過去10年間は デジタルトランスフォーメーションによって特徴づけられた。次の10年は AI変革によって特徴づけられるだろう。しかしこの転換は、大規模言語モデルを導入したり社内AIコパイロットを立ち上げるほど単純ではない。組織の運営方法や データの保護方法、そして イノベーションと信頼・安全性のバランスを取るか。

アーキテクチャ、製品、セキュリティ研究の分野を横断して、いくつかのテーマがすでに浮上しています。以下は、今後の1年を形作るSkyhigh Security 。

1. デジタル変革を後にして：2026年はAI変革の年となる

2026年、企業はAIの採用が AIの導入は 技術競争ではなく 業務変革であることを理解するだろう。従業員はガバナンスが追いつかないほど速くAIツールを利用しており、強力なデータ保護がなければ、組織は機密情報が共有されているか、どこへ行き、どのように残存しているかの可視性を失う。

AIモデル、コパイロット、エージェントがワークフローに組み込まれるにつれ、重大な現実が浮上する：AIはあくまで 相互作用するデータと同様に安全かつ正確である従来のセキュリティはトラフィックを監視できるが、AIシステムが消費し、それに基づいて動作するコンテンツ、機密性、系譜、主権要件までは把握できない。

セキュリティソリューションは今、理解しなければならない：

• プロンプトに入力されるデータの内容と、それが適切かどうか
• 能動的AIシステムが意図を解釈し自律的な意思決定を行う方法
• MCPまたはAPI駆動型ワークフローが操作、移動、または生成を許可されているコンテンツ
• 機密データまたは主権データが外部モデルに送信される場合
• AIが情報を時間をかけてどのように保存、保持、または再利用するか

2026年、組織は安全なAI導入にはアクセス保護をはるかに超えたセキュリティが必要だと認識する。求められるのは：

• プロンプトレベルの可視性と強制
• インタラクション発生時のコンテンツ分類
• 安全な操作と危険な操作を区別する意図認識型制御
• ユーザーに代わって行動する能動的AIワークフローのためのガバナンス
• モデルの入力、出力、および長期保持に対する継続的な監視
• ブラウザ、SaaS、クラウド、オンプレミス、AI環境を横断した統一ポリシー

繁栄する組織は、AI変革を 規律あるデータ優先の取り組みとして位置付ける AIが管理され正確でコンプライアンスに準拠したコンテンツのみとやり取りすることを保証する。そうしない組織は、信頼性の欠如、情報漏洩、不適切なAI成果に苦しむことになる。

2. クラウドセキュリティのコスト、複雑性、データ還流が2026年にアーキテクチャを再構築する

企業は、クラウドのみの検査がもはや財政的にも運用上も持続可能ではないことに気づき始めている。 クラウドのみによる検査は、もはや財務的にも運用上も持続可能ではない。2026年には、四つの力が衝突する：

• AI駆動のデータ増加によるクラウド検査コストの上昇
• 主権およびコンプライアンス規則により、機密データの域外転送がブロックされる
• AIワークロードが生成するコンテンツとトラフィックは、クラウドツールが検査するために構築されたものよりもはるかに多い
• データ還流の急増——組織が機密性や高負荷のワークロードをオンプレミスに引き戻す動きが加速。管理性の確保、コスト予測可能性、パフォーマンス向上が目的である。
• これらの圧力により転換点が訪れる：特に規制産業において、すべての検査を集中型クラウドエンジン経由で処理することは、コストがかかりすぎ、リスクが高すぎ、制約が強すぎるようになる。

ハイブリッドセキュリティは2026年までに主流モデルとなる。企業は以下のことを期待するようになる：

• 制御をローカルまたは地域内で実施する 必要に応じて
• クラウド検査は選択的に使用する普遍的にではなく、選択的に
• 維持する クラウド、オンプレミス、ブラウザ、SaaS、AIを横断する クラウド、オンプレミス、ブラウザ、SaaS、AIを横断して
• 執行を最も コンプライアンスと費用対効果の高い場所に

ハイブリッドはレガシーではない——それは 主権、コスト効率、AI規模のセキュリティを実現する新たなアーキテクチャである。

3. 今や世界はブラウザ上で動いている——その保護は絶対条件である

2026年までに、 ブラウザは現代企業にとって主要な作業環境となった。 現代企業にとって。SaaSの導入、クラウド移行、AIアシスタントの急速な普及により、ビジネス活動、コラボレーション、データ分析、コード生成、文書処理、さらには規制対象のワークフローに至るまで、従来型アプリケーションよりもブラウザ内で処理されるケースが増加している。

この変化により、ブラウザは 真の最終段階となる。機密コンテンツは閲覧、編集、コピー、アップロード、AIツールへの貼り付け、統合されたSaaSエコシステム間での共有が、すべてブラウザセッションを通じて行われる。その結果、ブラウザはもはや単なるWebアプリケーションの配信手段ではなく、 データガバナンス、AIの安全性、ユーザー行動の洞察、リアルタイムポリシー適用の中核的な制御ポイントへと進化した。

この新たな現実がもたらすいくつかの新たなリスク：

• AIおよびSaaSコパイロットが機密情報と直接やり取りする
• 既存のネットワークまたはエンドポイント制御を迂回するシャドウAIの使用 またはエンドポイント制御
• アップロード、ダウンロード、コピー＆ペースト、 または画面共有による監視されていないデータ移動
• 規制対象データまたは主権データがグローバルなクラウドAIサービスに流入する
• 機密データを扱う請負業者および第三者ユーザー 非管理デバイス経由で

大企業は一貫して、ユーザーの抵抗、強制的なブラウザ移行に伴う運用負担、非ブラウザワークフローやレガシーシステムへの対応範囲の制限といった課題を挙げている。

ほとんどの組織にとって、2026年の優先事項は新しいブラウザの導入ではなく、 既に依存しているブラウザに対して一貫性のある拡張可能な制御を確立することです。具体的には以下の保護が求められる：

• どのように ユーザーがデータとどのようにやり取りするか
• AIツールがコンテンツを消費し保持する方法
• SaaSアプリケーションが機密情報を交換・保存する方法
• 管理対象外またはハイブリッドデバイスが企業ワークロードにアクセスする方法

企業は、既存のブラウザ環境を強化し、ユーザー行動やコンテンツとのインタラクションをリアルタイムで可視化し、 ゼロトラストの原則を データが使用される地点に直接適用するセキュリティモデルを求めるようになる。 

4. DSPMは検知から予防へ進化し、中核的なセキュリティ層となる 

2026年、DSPMは可視化ツールから リアルタイムコンプライアンスおよび予防レイヤーへと進化するへと進化する。これは、高まる地政学的緊張、拡大するデータ主権規則、そして世界的な新たなプライバシー規制の波によって推進される。

インドのDPDPAが2025年に正式施行されるにあたり、 企業は既に、より厳格なデータ居住地要件、利用目的の制限、同意要件への適応を進めている。同様の動きは欧州でも見られる。EUはGDPRとAI法の規定に基づきガバナンスを強化し、GCC諸国は更新された国家プライバシー枠組みを導入中だ。シンガポール、日本、オーストラリア、韓国などのアジア太平洋地域も、越境データ処理や情報漏洩通知に関する規制を強化している。米国では十数州がCCPAに倣った法律を制定中であり、 ますます規範的なデータガバナンスの期待を伴って。

こうした世界的な背景のもと、CIOやCISOは新たな現実に向き合わねばならない： コンプライアンスはもはや、管理策を文書化することではない。  それは～についてである 絶えず証明し続けている データがどこにあるか、どのように利用されるか、そしてそれが法律、契約、地政学によって定義された境界内に留まるかどうか。

DSPMが不可欠となる理由は、以下のことを可能にするためです：

• クラウド、SaaS、オンプレミスデータストアを横断した統一的な可視性
• データ移動のリアルタイム理解、機密性、およびデータ系譜
• 地域主権と目的制限に基づく自動執行
• 監査役および規制当局向けの継続的なコンプライアンス 監査人および規制当局向けの証拠
• 事後的な発見ではなく、事前的な予防による情報漏洩・不正利用・越境流通の防止

AIワークロードが拡大しハイブリッドアーキテクチャが再び主流となる中、組織はDSPMを受動的な発見ツールとして受け入れることはなくなる。ポリシーを強制し、リスクのある移動を遮断し、違反が発生する前に防止するDSPMを求めるようになる。

2026年、DSPMは基盤となるセキュリティおよびコンプライアンス管理手段となる—AI変革を可能にするだけでなく、企業が地政学的・規制的・主権に基づく次の圧力波を乗り切れることを保証する。

5. ポスト量子リスクが戦略的セキュリティ計画に組み込まれる — 暗号技術が移行するずっと前から

量子耐性暗号技術は2026年までに企業での広範な導入には至らないが、組織が「今収集し、後で復号する」という手法の影響を認識するにつれ、量子リスクは戦略的計画の議題となる。脅威アクターは既に暗号化されたアーカイブを窃取しており、量子コンピューティングが成熟した段階で復号する意図を持っている。そのため、暗号技術そのものではなく、長期保存される機密データや主権データこそが真の脆弱性となる。

2026年に準備を開始する企業は、アルゴリズム移行よりもデータ存続性とライフサイクルガバナンスに重点を置くようになる。具体的には以下の通り：

• 不要なデータの保持を削減する
• シャドーまたは孤立したアーカイブの特定
• 長期的な機密性を有する主権的または規制対象コンテンツのフラグ付け
• ライフサイクルポリシーの適用とアクセス最小化
• SaaS、ブラウザ、AIプロンプト、およびサードパーティ間におけるデータ移動の制御

ポスト量子暗号（PQC）への対応は、将来の暗号規格だけでなく、継続的なデータ態勢とライフサイクル管理の実施から始まる。データファーストのガバナンスとハイブリッドな実施手法を採用する組織は、アルゴリズムのアップグレードが完了するはるか以前に、長期的な量子攻撃リスクを大幅に低減できる。

要するに：2026年にはPQCの導入優先度は高くないが 規制上の保存義務、主権データ義務、または高度に機密性の高いアーカイブを扱う業界では、PQC対応準備が計画上の必須要件となる。そして最も早期の対策経路は明らかだ：量子コンピューティングが脅威となる前に、既存データを管理せよ。

要するに：セキュリティはネットワーク接続だけでなく、データとアプリケーションを保護する必要がある

2026年を再構築する力——AI導入、セキュリティソリューションのコストと複雑性の増大、データ還流、ブラウザファーストワーク、拡大するグローバルコンプライアンス、そして新たなPQCリスク——は、企業が環境を保護する方法を再定義している。 AIはイノベーションを加速させる一方で、データガバナンスの脆弱性を露呈している。クラウドの経済性と主権圧力は、組織をハイブリッドアーキテクチャへと向かわせており、そこでは 施行はデータが実際に存在する場所と一致させる必要がある。現在、ほとんどの 作業がブラウザ内で発生する中、ユーザーインタラクション、SaaSワークフロー、AIプロンプトの保護が不可欠となる。 DSPMは可視化から継続的コンプライアンス強制へ移行する 。またPQCはまだ初期段階だが、組織は 将来を見据えた保護を必要とする長期保存データの準備を進める必要がある。

成功する組織は セキュリティをデータ規律として扱う―クラウド、オンプレミス、ブラウザ、SaaS、AIワークフロー全体で、情報の使用方法、移動先、保存期間を管理する。

ブログへ戻る