Claude Mythosがもたらすセキュリティビジネス激変の可能性 二極化していく“業界のこれから”（4/5 ページ）

[久松 剛，ITmedia]

セキュリティ業界の今後　脆弱性診断、監視、AI統合の三層で変化

　もちろん、セキュリティベンダーやコンサルタントにも影響が及ぶでしょう。筆者は現時点で「セキュリティ業界そのものが消滅することはないが、質が問われる方向で再編される」と予想しています。

　例えば脆弱性診断の領域は、ツールの自動化と公開によって価値構造が大きく変わります。単に脆弱性をリストアップして報告する“スキャンだけ”の仕事は、AI対応により急速にコモディティ化し、価格は下がります。一方で、ナショナルクライアントや重要インフラのように「人間の専門家が責任を持って実施した」という第三者認証的な意味を求める領域では、依然として人手の診断が必要とされ続けます。

　脆弱性に対する修正提案の作成自体はAIで十分こなせますが、その提案がそのビジネスにとって現実的かどうかを検証し、DevSecOpsの形で開発サイクルに組み込めるかを判断する仕事は、プログラマー適性とセキュリティ知識の両方を持つハイブリッド人材を要求します。日本で言えば、こうしたハイブリッド人材は依然として希少で、報酬水準も上がっていく可能性が高いと見ています。

　次に監視・運用、いわゆるSOC（Security Operation Center）の領域は、AIが台頭しても予算削減は起きにくいと考えています。警察、自衛隊、警備員と同じく、最終判断と責任所在は人間に残さざるを得ません。むしろAI脅威の増大とAIエージェントの業務利用拡大により、監視対象が増え予算は拡大方向にあります。

　シャドーAIと呼ばれる、組織が把握しきれていないAI利用の検知やガバナンスは、2026年現在の新しい論点として急速に立ち上がっています。「人間＋AI SOC」が標準化し、AIがアラートのトリアージとルーティン処理を担い、人間がインシデント判断とコミュニケーションを担う──という分業が進んでいます。公共領域は特に安定的で、むしろ人材不足が深刻化していくでしょう。

　そしてセキュリティ業界全体としては、AIが攻防両面の加速器として作用し、業界規模はむしろ拡大する方向にあると予想しています。世界のサイバーセキュリティ支出は2026年に2000億ドル超とされ、生成AIセキュリティ関連の市場は年率20％台後半で伸びています。インターネット攻撃がなくならない以上、業界全体としての需要は構造的に維持されやすい、というのが大きな前提です。

　日本市場に絞って見ると、もう少し具体的な構造が見えてきます。経済産業省の「サイバーセキュリティ経営ガイドライン」、政府が公表した「AI事業者ガイドライン」、金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」をはじめとする各種ガイドラインは、生成AI利用や外部委託の管理に関する内容が年々踏み込んだものになってきており、上場企業や金融機関は実質的に「AI時代のセキュリティ統制」を経営アジェンダに置かざるを得なくなっています。

　重要インフラ事業者に対する第三者診断の制度化議論や、サプライチェーン全体での脆弱性管理を求める動きも、規制強化の方向でそろってきました。皮肉な言い方になりますが、AIで攻撃側が強くなったぶん、防衛側にも制度的な追い風が吹いている、というのが日本市場の現状です。