AIと量子コンピューティング時代のサイバーセキュリティ:移行コストは誰が負担するのか

AIと量子コンピューティング時代のサイバーセキュリティ:移行コストは誰が負担するのか

テクノロジーが十分な速度でゲームのルールを変えるたびに、繰り返されるパターンがある。最初にコストを吸収するのは、それを負担する余裕が最も少ない者たちだ。人工知能と量子コンピューティングの融合は、不快なほど正確にそのパターンをたどっている。攻撃者たちは、作戦の時間とコストを削減するツールの恩恵を受けている。

Martín SolerMartín Soler2026年6月28日9
共有

AIと量子コンピューティングの時代におけるサイバーセキュリティ:移行コストは誰が負担するのか

ある技術が十分な速度でゲームのルールを変えるたびに、繰り返されるパターンがある。そのコストを最初に吸収するのは、常にそれを負担する余裕が最も少ない者たちだ。人工知能と量子コンピューティングの融合は、不快なほどの正確さでそのパターンを踏襲している。攻撃者は、自分たちの作戦にかかる時間とコストを削減するツールの恩恵を受けている。一方、防御側は技術的・組織的な負債を積み重ねており、今やそれを二度にわたって支払わなければならない状況だ。一度目はAIが今日もたらすリスクのために、そしてもう一度は量子の世界が明日要求するであろう暗号移行のためにである。

フォーブス・テクノロジー・カウンシルに掲載されたミシェル・ドロレのこの分析は、研究室からの警告などではない。これは、デジタルインフラを持つ企業の予算、取締役会、セキュリティチームにおいて、すでに現実のものとなっている緊張関係を描いた地図だ。そして最も注目すべき視点は技術的なものではなく、分配的なものだ。誰がコストを負担し、誰がこの移行の価値を獲得し、そしてシステム内の各アクターをどのような構造的なインセンティブが突き動かしているのか、ということである。

AIは攻撃者ではなく防御者が使える時間を圧縮する

人工知能がサイバーセキュリティにもたらす非対称性は、概念的には新しいものではないが、その規模においては前例がない。攻撃者はAIを使って脆弱性をより迅速に発見し、マルウェアの亜種を大規模に生成し、ソーシャルエンジニアリングのメッセージをパーソナライズし、標的の偵察を自動化する。高度な攻撃を仕掛けるための限界コストは、継続的に低下してきた。一方、防御コストは依然として高く、人材への依存度が高く、新たなリスクを生み出さずに自動化することが難しいままだ。

世界経済フォーラムとアクセンチュアのデータは、そうした認識を裏付けている。セキュリティリーダーの94%が、AIは来年のサイバーセキュリティにおける最も重大な変革要因になると考えており、87%がAIに関連する脆弱性を最も急速に成長しているリスクとして挙げている。これらの数字は、将来への懸念を描写しているのではない。すでに組織の内部に存在する問題の構造を描写しているのだ。

この分析においてあまり議論されないベクターの一つが、ドロレが「シャドーAI」と呼ぶものだ。これは、会議の要約、機密データの処理、またはコードの生成を、組織が管理せず、監査もせず、時には存在すら知らないプラットフォームを通じて行う従業員による、人工知能ツールの無断使用を指す。問題は境界セキュリティだけではない。これは内部ガバナンスの問題であり、従業員の即時的な生産性という個人的なインセンティブが、組織の集合的な利益と真っ向から衝突する。このインセンティブの衝突はポリシーでは解決できず、設計によって解決される。つまり、アクセス制御、データのトレーサビリティ、技術的な制限、そして最も影響の大きい行為に対する人間による監督が必要だ。

複数のツールやワークフローにわたってユーザーに代わって自律的に行動できるエージェント型AIシステムの登場は、この問題をさらに別の次元へと引き上げる。AIエージェントが、リアルタイムの人間の介入なしに意思決定を行い、取引を実行し、情報を共有できる場合、リスクの境界はもはや明確な輪郭を持たない。エラー、認証情報の悪用、データ漏洩は、いかなる事後的な監査プロセスも封じ込められないような速度で発生しうる。そのリスクのコストを吸収するのはツールのプロバイダーではない。それを展開した組織が吸収するのだ。

量子の脅威はチームの準備が整うのを待たない

量子コンピューティングはAIとは異なる地平で動いているが、セキュリティシステムへの圧力という点での論理は同様に構造的だ。中心的なメカニズムは「今収穫して後で解読する(ハーベスト・ナウ・ディクリプト・レイター)」と呼ばれる。攻撃者は今日暗号化されたデータを取得し、量子コンピューターが保護している公開鍵暗号を破れるようになるまで保存する。攻撃は今日発生するわけではない。しかし、被害はすでに蒔かれつつある。

これにより、量子コンピューティングに耐性のある暗号への移行は、将来ではなく現在の計画における意思決定となる。米国の国立標準技術研究所(NIST)はすでに最初のポスト量子暗号標準を公開しており、RSAや楕円曲線暗号といった脆弱なスキームに取って代わるものとなっている。しかし、これらの標準を採用することはソフトウェアのアップデートではない。それは、多くの場合数十年にわたって、今や置き換えなければならないアルゴリズムの上に構築されてきたシステムのアーキテクチャへの深い介入だ。

この取り組みの規模は、市場予測にも反映されている。ジュニパー・リサーチによれば、ポスト量子暗号への投資は2026年の12億ドルから2035年には133億ドルへと成長する見通しだ。この成長は、前向きな技術トレンドの反映ではない。それは、証明書、鍵、ソフトウェア、ハードウェア、プロバイダー、そしてプロセスにおいて、組織が量子リスクが現実化したときに対応できずに取り残されないよう、積み上げてきた赤字を解消するために支払わなければならないコストの大きさを示している。

そのコストの分配こそ、分析が最も興味深くなるところだ。専門チームと十分なセキュリティ予算を持つ大規模組織は、構造化された移行プログラムを開始し、内部責任者を指名し、暗号依存関係をインベントリ化し、強い立場からプロバイダーと交渉することができる。一方、同じクラウドプラットフォームやサービスプロバイダーに依存している中小企業は、それらのプロバイダーが移行を実施するペースに左右される。プロバイダーが最初に大口企業顧客を優先する場合、チェーンの最も弱いリンクは最後まで保護されないことになる。そしてその最も弱いリンクこそ、多くの場合、システム全体を最も悪用されやすい脆弱性とつなぐ部分なのだ。

準備の価値は市場が測っている場所にはない

市場がこれらのリスクへの対応を評価する方法には、構造的なミスマッチが存在する。ネットワークインフラメーカーからセキュアアクセスプロバイダーやゼロトラストアーキテクチャプロバイダーに至るまで、セキュリティプラットフォームのプロバイダーたちは、AI基盤の検知機能と量子耐性暗号を自社製品の機能として統合しつつある。これは競争的な観点からは理にかなっている。統合された保護をいち早く提供した者が契約を獲得し、技術的な依存関係を構築するからだ。

しかし、それらの機能の価値は、どのプラットフォームも直接売ることができないあるものに依存している。それは、それらを採用する企業が一貫した方法でそれらを運用するための組織的能力だ。AI基盤の異常行動検知ツールは、資産の可視性、アクセス制御、そしてアラートが発動したときに機能する対応プロセスを持つ必要性に取って代わることはできない。ポスト量子暗号標準は、何年も更新されていないレガシーシステムを自動的に移行させはしない。

ドロレの記事は、七つのステップからなる準備プロセスを説明している。記述されていないのは、しかしながらその各ステップに暗示されているのだが、そのプロセスのどれだけの部分が、セキュリティソリューション市場では代替できない内部能力への持続的な投資を必要とするか、ということだ。リスク評価は、組織の実際のアーキテクチャを知る誰かが行わなければならない。暗号依存関係のインベントリは、システムへのアクセス権を持つ誰かが構築しなければならない。AIエージェントに関するガバナンスは、チームの働き方を理解している誰かが設計しなければならない。外部のプロバイダーには、その出発点となる情報がない。

根本的な分配の問題はこうだ。汎用AIの環境と増大する量子圧力の中で維持可能なセキュリティ体制への移行は、能力、プロセス、そしてガバナンスという形で、その価値の相当部分が内部で生み出されることを必要とする。しかしサイバーセキュリティ市場は、外部の製品やサービスを売るために構造化されており、内部能力を構築するためではない。これは外部プロバイダーが無関係だということを意味しない。意味するのは、完全委託のロジック、つまり企業がセキュリティをアウトソーシングして問題が解決したと思い込むモデルは、リスクがサービス契約よりも速く動くときにはもはや機能する余地がない、ということだ。

先送りすればするほどコストが膨らむ避けられない移行

これらのリスクへの備えには、取締役会がまだ十分に明確に認識していない財務的な特性がある。行動を遅らせることのコストは線形ではないという点だ。暗号インベントリを開始せず、内部AIに対する管理を確立せず、量子移行プログラムの責任者を指名しないまま経過する月日の一日一日は、レガシーシステムがより多くの技術的負債を積み上げ、プロバイダーが組織との調整なしに前進し、攻撃者が長期的な価値を持つより多くのデータを取得する月日となる。

ポスト量子暗号への移行は最も示唆的なケースだ。迅速に更新できないシステムは少数派ではない。金融、医療、重要インフラなどの産業では、量子コンピューティングが無効にしてしまう暗号の前提の上に設計された、数十年単位のライフサイクルを持つコンポーネントが存在する。それらを置き換えるには、自社のシステムを更新する必要がある、サプライヤーのサプライチェーンとの調整を含む時間、資金、そして協力が必要だ。このプロセスの開始が遅れれば遅れるほど、利用可能な時間は圧縮され、リスクが現実化する前に完了させるためのコストは高くなる。

ドロレが指摘し、インセンティブ分析が確認するパターンはこうだ。今そのプロセスを開始する組織は、時間をかけて分散されたコストを支払っており、通常の技術・セキュリティ予算の範囲内で管理可能だ。先送りしている組織は、規制上、契約上、または競争上の圧力の下で、一括して支払わなければならない負債を積み上げている。それは、交渉力が低く、適切に対処するための時間もないタイミングで訪れるだろう。

サイバーセキュリティは、AIによってその基盤を変えたわけでもなく、量子コンピューティングによって変えるわけでもない。変わるのは、その基盤を無視することのコストであり、そのコストはもはや段階的な償却を許容しない。これらのリスクへの備えを現在の投資として扱う組織は、時間と選択肢を買っている。それを先送り可能な費用として扱う組織は、最終的にはそれを寛大に扱うインセンティブを持たない誰かによって価格が決められることになる暴露を蓄積し続けているのだ。

共有

関連記事