生成AIやAIエージェントの普及は、企業の業務のあり方を大きく変えつつあります。
しかし変化しているのは企業だけではありません。
サイバー攻撃者もまた、AIを活用しながらその手法を急速に進化させています。

こうした変化を理解し、今後の対策を考えるため、HirePlannerは「AI時代におけるサイバーセキュリティ戦略の適応（Adapting Your Cyber Security Strategy in the Age of AI）」をテーマに、サイバーセキュリティ分野の第一線で活躍する4名の専門家を迎えたパネルディスカッションを開催しました。

本セッションは、2026年2月19日に開催された「Tokyo Tech Meetup x IT Career Event」の一環として実施されました。

多くの企業が今まさに直面している問い――「AIを日常業務に取り入れる中で、どのように防御力を高め、攻撃の標的にならない組織を作るべきか」――について、実践的かつ率直な議論が交わされました。

パネリストとして登壇したのは、楽天でサイバーセキュリティマネージャーを務めるLuke CHATELAIN氏、フランスと日本で13年以上の経験を持つ製薬業界のサイバーセキュリティ責任者Lalatiana TODIC氏、独立系サイバーセキュリティコンサルタント兼ITリサーチャーの中村 悠（なかむら ゆう）氏、そして「人を中心に据えたセキュリティ」の重要性を提唱する蓮見 祥子（はすみ さちこ）氏です。

モデレーターは、APACおよび日本市場で10年以上にわたりサイバーセキュリティ人材採用に携わるSkillhouse Staffing SolutionsのEva Choong氏が務めました。

ディスカッションでは、ディープフェイクやシャドーIT、エージェント型AIのガバナンス、さらにはビジネス部門とセキュリティ部門の文化的なギャップまで、幅広いテーマについて活発な意見交換が行われました。

今回のパネルでは、以下のようなテーマが相互に関連しながら議論されました。
- AIによって変化する脅威環境（自動化されたマルウェア、AIによるフィッシング、ディープフェイクなど）
- 社内意思決定の遅さとサイバーリスクの関係
- ブルーチーム（防御側）とレッドチーム（攻撃側）のAI活用
- シャドーITとガバナンスの課題
- スタートアップと大企業におけるセキュリティ対策の違い
- クラウド、オンプレミス、ハイブリッド環境それぞれのリスク
- 人的要因がセキュリティに与える影響
- エージェント型AIがもたらす新たなガバナンス課題

1. 攻撃者はすでにAIを積極的に活用している
中村氏の調査によると、一部のマルウェア攻撃では攻撃プロセスの80〜90％が自動化されているとのことです。また、攻撃者は侵入後の操作コマンド生成にもAIチャットボットを活用しています。
つまり、AIは新しい攻撃手法を生み出しているだけでなく、既存の攻撃をより効率化しています。防御側も同様にAIを活用しなければ、攻撃者との格差は広がる一方です。

2. 「日本語だから安全」という神話は終わった
パネリストたちは、AIによって生成された日本語のフィッシングメールが非常に自然なレベルに達していることを指摘しました。
これまで日本語が持っていた言語的な障壁は、ディープフェイクや生成AIの進化によって急速に低下しています。

3. 社内の意思決定の遅さも脆弱性である
攻撃者は承認フローや会議を待ってはくれません。
組織の意思決定が遅ければ遅いほど、攻撃者に与えるチャンスも大きくなります。
この課題は日本企業だけでなく、グローバル企業にも共通していると指摘されました。

4. AIチャットボット利用者は誰でも攻撃対象になり得る
Luke氏は、AIシステムへの入力は単なる「文章」ではなく、システムに対する「命令」として機能する可能性があると説明しました。
悪意の有無に関係なく、ユーザーが意図しない結果を引き起こし、企業にリスクをもたらす可能性があります。

5. 安全で使いやすい社内AIツールを整備する
複数のパネリストが共通して強調したのは、「便利で承認済みの社内AIツールを提供すること」の重要性です。
社員が使いやすい代替手段を提供しなければ、無断で禁止された外部AIサービスの利用が横行し、むしろリスクが高まる可能性があります。

6. セキュリティ部門とビジネス部門の対話が不可欠
技術やポリシー以上に重要なのはコミュニケーションと組織文化です。
ビジネス部門とセキュリティ部門がお互いの目標や制約を理解し、迅速に意思決定できる環境づくりが求められています。

7. 最終的な決定要因は「人」
蓮見氏は、人間の疲労、焦り、そして仕事とプライベートの境界の曖昧さこそが、攻撃者に利用される最大の要因だと指摘しました。
どれほど優れた技術やプロセスがあっても、人的要因を完全に排除することはできません。

8. クラウドの利便性には設定ミスのリスクが伴う
Todic氏は、多くのクラウド関連の情報漏えい事故が設定ミス、特にID・アクセス管理の不備に起因していると説明しました。
また、完全なクラウド依存ではなく、オフラインバックアップを含むハイブリッド構成を推奨する考えも共有されました。

9. エージェント型AIは権限管理の重要性をさらに高める
生成AIから自律的に行動するエージェント型AIへ移行する中で、新たなリスクが生まれています。
AIエージェントは人間以上のスピードと継続性で行動するため、誤った権限設定や想定外の行動が大きな影響を及ぼす可能性があります。
そのため、厳格な権限管理とフェイルセーフ設計が不可欠です。

10. 中小企業はまず基本対策から始めるべき
リソースが限られた企業に対しては、OWASPのAIセキュリティガイドラインなど既存のフレームワークを活用し、基礎的な対策から着実に進めることが推奨されました。

社会的影響力と責任は比例する
企業の社会的影響力が大きいほど、求められる責任やリスク許容度も慎重であるべきという意見が共有されました。

AIを「単なるツール」と捉えない
AIを単なる作業ツールとして扱うのではなく、協働する存在として理解することが、より大きな価値創出と適切なリスク管理につながるという指摘もありました。

現在最も注目すべき課題とは？
「データ漏えい」「AIによる攻撃」「AIの誤作動・暴走」のどれが最優先課題なのかという質問に対し、パネリストたちは「すべて重要」という見解で一致しました。
ただし、優先順位は企業規模や成熟度、直面する脅威によって異なるとのことでした。

今回の議論は、サイバーセキュリティ担当者だけでなく、人事、採用、経営層、事業責任者にとっても重要な示唆を与えるものでした。

AIガバナンスはもはやIT部門だけの課題ではありません。

採用活動、企業ブランディング、日々の業務運営など、多くの企業活動がAIツールを前提とする時代において、組織全体での対応が求められています。

パネリストたちのメッセージはシンプルです。

- 信頼できる社内AI環境を整備する
- ビジネス部門とセキュリティ部門の対話を促進する
- エージェント型AIの導入には慎重なガバナンスを設ける

こうした取り組みが、AI時代における持続可能な成長と安全な組織運営につながります。

本記事では議論の一部しかご紹介できませんでした。

動画本編では、エージェント型AI導入時の実践的な課題や、実際のセキュリティインシデント事例、レッドチーミングに関する詳細な議論など、さらに深い内容が紹介されています。

▶ フル動画はこちら

本イベントは、HirePlannerが推進する「日本で成長を目指すテクノロジー企業、ITプロフェッショナル、業界エキスパートをつなぎ、学び合い、刺激し合うコミュニティづくり」の一環として開催されています。
今回のような実践的なディスカッションに興味をお持ちの方は、ぜひ今後のイベントにもご参加ください。

YouTubeチャンネルを登録して、過去および今後のパネルディスカッション動画をチェック

LinkedInをフォローして、イベント情報、採用トレンド、人事・HRテック関連の最新情報を受け取る

HirePlannerEvents.comで今後のイベント情報を確認し、参加登録する