現在、ほとんどの成熟したセキュリティ組織のサイバーセキュリティ戦略を見ると、その戦略は、ユーザーが誰であるかを確認できれば、その組織の行動を信頼できるという前提に基づいて構築されています。その前提は通用しません。
2026年までに、業界は「正面玄関」が攻撃対象領域の中で最も興味深い部分ではないという現実を考慮に入れざるを得なくなるでしょう。私たちは、攻撃者が侵入するのではなくログインするだけで済む、高速でアイデンティティ中心の侵害の時代に移行しつつあります。マルウェアをデプロイする代わりにネイティブのワークフローを悪用し、毎週行われる脆弱性スキャンよりも早く、マルウェアを悪用します。
2026年にセキュリティ環境が変化すると予想されることは次のとおりです。
1。ID 攻撃はマルウェアを上回る
IDベースの攻撃が、成功したすべての侵害の60%を公式に超えることは初めてです。これには、認証情報の盗難、トークンの再生、セッションの悪用、MFA の回避などが含まれます。マルウェアは、知識のない攻撃者に限った騒々しい戦術か、徹底した設計による高度に洗練されたものかのどちらかと見なされるという分岐点に達するでしょう。
経済学がこの変化を後押ししています。ダークウェブではセッション Cookie を 5 ドルで購入できるのに、攻撃者がゼロデイで何百万ドルも稼いだり、カスタムバイナリで EDR アラートをトリガーするリスクを冒したりする必要があるのはなぜでしょうか。個人情報の悪用によるROIは単純に高いです。攻撃者がユーザーのように見えて、ユーザーに割り当てられたツールを使用した場合、エンドポイント保護は見えなくなります。
セキュリティチームは、ID を IT 衛生管理タスクではなく、アクティブな攻撃対象領域として扱う必要があります。SOC チームは、開発者と財務担当副社長の行動基準を理解する必要があります。また、行動が変化したらすぐにグローバルにアクセス権を取り消す機能も必要です。
2。MFA は静かに必要になるが、それだけでは十分ではない
MFA は実施され、MFA は設計どおりに機能し、とにかく違反が発生したと事後分析で結論付けられる、注目度の高いインシデントが次々と登場します。業界は、認証は信頼に等しいという考えを廃止せざるを得ないでしょう。
過去10年間、私たちはログイン前のエクスペリエンスを最適化するために費やしましたが、ログイン後の監視への投資はひどく不足していました。攻撃者は先に進んでいます。攻撃対象はセッションクッキー、OAuth グラント、アクセストークンです。SaaS から SaaS へのラテラルムーブメントを利用しているため、人間とのやり取りは不要です。
正当なユーザーが認証しても、そのセッショントークンがハイジャックされるシナリオを考えてみましょう。あるいは、OAuth アプリに過剰な権限が付与されることもあります。このような場合、MFA プロンプトは有効だったのに、それ以降のアクティビティは悪質なものです。攻撃者は信頼されたセッションの軌道に乗っています。
セキュリティチームは、認証を承認と信頼から切り離す必要があります。ユーザーがゲートを通過したからといって、監視されずに城を歩き回れるわけではありません。セキュリティチームは継続的なセッション評価を実施する必要があります。技術的に重要な特権アクションを可視化する必要があります。 許可された しかし文脈的には 異常な。例としては、マーケティングマネージャーがエンジニアリングリポジトリをダウンロードした場合や、信頼できる API インテグレーションから Salesforce へのエクスポートが急増した場合などがあります。
3。90日間の検出ギャップの解消
ドウェルタイムの概念は根本的に圧縮されようとしています。AI を活用した攻撃者は、初期アクセスからデータ漏洩までの時間を数か月から数日、あるいは数時間に短縮します。毎週の脆弱性スキャンや毎月の脅威ハンティングに依存している組織は、スキャン間隔の合間に攻撃が開始および終了するため、深刻な情報漏えいの被害に遭うことになります。
攻撃者はAIエージェントを使用して、発見、列挙、権限昇格などのハッキングの退屈な部分を自動化しています。以前は人間のオペレーターが注意深く調べるのに3週間かかっていたものが、自動スクリプトによって30分で実行されるようになりました。
重要な指標は速度だけです。検出ロジックは、一晩でログの一括処理に頼ることはできません。セキュリティチームには、異常行動を可能な限り早期に検出できるストリーミング分析が必要です。ID の動作がおかしい場合は、対応を自動化する必要があります。
4。ディープフェイクのソーシャルエンジニアリングが当たり前になる
音声や動画のディープフェイクが承認を迂回する主な手段であった侵害が、少なくとも5件は公開される見込みです。これは、CEOになりすました電信送金にとどまらず、外見も音声も実在の人物とまったく同じビデオ通話で、必死の副社長にだまされて MFA トークンをリセットさせるヘルプデスク技術者も含まれます。
オーディオとビデオのジェネレーティブAIはコモディティ段階に入りました。これらはすぐに入手でき、かなり安価で、トレーニングも最小限で済みます。悪役に必要なのは、ポッドキャストの30秒間のサンプルと、20ドルのサブスクリプションだけです。本人確認に頼る検証ワークフローは、今や時代遅れです。
セキュリティチームが必要としているのは、感覚認識ではなく、共有秘密や暗号による証明に頼る帯域外検証です。「彼に話しかけたから彼だとわかった」というのは、もはやセキュリティ監査における有効な防御策ではありません。
5。次のReact2Shellは、バイブでコーディングされたPRまでトレースされます。
サプライチェーンやオープンソースの重大な脆弱性は、主にAIコーディングアシスタントが作成し、疲れすぎて微妙な欠陥を発見できなかった人間によってマージされたプルリクエストにまでさかのぼります。
コードは構文的には正しく、コードベースのスタイルガイドに従い、バグの修正や機能の追加には一般的に適しているように見えますが、論理エラーが含まれています。開発者が AI 生成への依存度を高めるにつれて、レビューが疲れてきます。違いは見栄えが良いため、脳はその違いを見過ごしてしまいます。
セキュリティチームは、AIが生成したコードを、外部業者のコードを扱うのと同じ疑いで扱う必要があります。統合前には、厳密な自動テストとセキュリティスキャンが必要です。さらに、依存関係のピンニングとソフトウェア部品表 (SBOM) 管理が重要になります。チームは、どのライブラリが環境に入ったかを正確に把握する必要があります。
6。第三者リスクはアンケートから実行時の行動に移る
ベンダーのリスク評価は、主に儀式的なものになります。2026年までに、成熟したセキュリティチームは、SOC 2 PDF、セキュリティアンケート、または静的証明書をはるかに気にしなくなるでしょう。彼らの焦点は、リアルタイム運用中のサードパーティ ID が本番環境でどのように振る舞うかにほぼ完全に移るでしょう。実行時のエビデンスは、約束よりも重要です。
静的文書では動的リスクを予測できないことに気付きました。あるベンダーは、紙の上では完璧なセキュリティスコアを持っていても、認証情報の漏洩によるデータ漏えいの被害に遭っている場合があります。6 か月前に署名されたアンケートを頼りにしても、現在使用されている API トークンが侵害されても、まったく保護されません。コンプライアンス監査から実際の脅威に至るまでの遅れは、無視できないほど大きいです。
セキュリティチームは、サードパーティインテグレーションを内部ユーザーと同様に精査して扱う必要があります。コントラクトを信頼するのをやめて、接続の監視を始めましょう。マーケティングツールインテグレーションがエンジニアリングデータにアクセスし始めたら、導入されているセキュリティシステムはその挙動を自動的に警告するはずです。ベンダーのリスクの将来は、ポリシーだけでなく、その行動を監視することでもあります。
7。コンプライアンスはインシデント対応から借りる
SOC 2、ISO 27001、PCIがなくなるわけではありませんが、監査の重点は変わるでしょう。監査に合格できるかどうかは、静的統制にかかっています。 そして 応答の成熟度について。監査人は、組織にエンドポイントエージェントがインストールされているかどうかを尋ねるだけでなく、複雑なインシデントが発生した場合の調整スピードを示すよう組織に求めます。
違反を受けたコンプライアンス企業の数が膨大なため、「チェックボックス」モデルへの信頼が損なわれています。利害関係者と保険会社は、レジリエンスの証拠を求めています。データ漏えいが起きることは受け入れますが、組織は対応に伴う曖昧さや混乱にどの程度うまく対処できるかを知りたいと思うでしょう。
コンプライアンスチームとIRチームはコラボレーションを始める必要があります。コンプライアンス統制をインシデント対応プレイブックに組み込む必要があります。侵害された仮想マシンを 1 時間以内に隔離できることを証明できますか?これが新しい標準になりつつあります。
運用上の真実
2026年には、セキュリティ体制は、組織がどのような対策を講じているかだけでなく、リアルタイムで何を証明できるかによっても評価されるでしょう。有効なセッション、OAuth 許可、正規の管理ワークフローによって、攻撃者が迅速に行動し、溶け込むことができれば、攻撃者は大音量のマルウェアを必要としません。AI は、偵察と侵入をスピードアップし、信頼できるなりすましを可能にし、サードパーティーの統合をラテラルムーブメントの効率的な経路に変えることで、その優位性をさらに高めます。
セキュリティへの対応状況は、多要素認証が適用されているかどうか、また、組織がログイン後に何が起こったのかを数分以内に回答できるかどうか、そしてそれが予想されるかどうかを正確に伝えることができるかどうかで判断されます。攻撃者が有効な認証情報を使用しても、エンドポイントアラートをトリガーしなかった場合でも、セキュリティチームはその動作を検知し、爆発範囲を検証し、アクセスを封じ込めることができるはずです。2026年に勝利を収めたチームは、IDとセッションを主要な攻撃対象領域として扱い、SaaSとクラウド全体で認証後の振る舞いを調整し、ストリーミング信号と自動ガードレールによって検知から封じ込めまでの時間を短縮します。
