EXPOSURE 2026 が示す、AI 時代を生き抜くサイバーセキュリティの未来

先日開催された EXPOSURE 2026 には、AI 時代のサイバーセキュリティに関する喫緊の課題を抱えたリーダーや実務者の方々が数多く参加しました。参加者は、そうした課題への明確な答えと、効果的なエクスポージャー管理プログラムを構築するための指針を得て会場を後にしました。本稿では、イベントのハイライトを写真とともにご紹介します。

サイバーセキュリティ分野におけるリーダーや実務者の方々にとって、今週ボストンで開催された EXPOSURE 2026 は、これ以上ない絶好のタイミングでの開催となりました。

サイバーリスクを能動的に低減する手段としてのエクスポージャー管理への関心は 1 年以上前から高まっていましたが、ここにきてフロンティア AI モデルが急速に進歩したことで、その重要性はかつてなく増しています。

2026 年 5 月 18 日 (月)、Anthropic 社が画期的なフロンティア AI モデルの Claude Mythos Preview を発表してからわずか 6 週間後、歴史あるボストンのパークプラザホテルに EXPOSURE 26 の参加者が集結しました。参加者の多くは、AI のセキュリティ確保、フロンティア AI モデルがサイバーセキュリティに与える影響、そしてエクスポージャー管理がこれらの課題にどう対処できるかといった喫緊の疑問を抱えて本イベントに臨みました。

1 日間の集中なトレーニングに加え、Anthropic のサイバー部門フィールド CTO である Brett Andrews 氏、GEICO、Smithfield Foods、Munich Re、EōS Fitness の各 CISO、そして Tenable の専門家による洞察に富んだメインステージおよびブレイクアウトセッションを含む 2 日間のプログラムを通じて、参加者は明確な答えと新たな知見を得て会場を後にしました。

EXPOSURE 2026 は、加速の一途をたどるサイバーセキュリティの世界において、参加者がひと息つける貴重な場となりました。初日は没入型のトレーニングが行われ、成功するエクスポージャーマネジメントプログラムを構築するための設計図が示されました。また、参加者は仲間と情報交換し、エクスポージャー管理を中核に据えながら、AI を駆使する攻撃者から組織を守るための戦略を協力して練る貴重な機会を得ることができました。

サイバーセキュリティにおける AI の四重課題

EXPOSURE 2026 のあらゆるセッションの根底にあったのは、AI がサイバーセキュリティにもたらす以下の 4 つの課題です。

1. Anthropic の Claude Opus 4.6 や Mythos のような最先端 AI モデルにより、脅威アクターが新たな脆弱性を発見し、悪用するためのエクスプロイトを構築するプロセスが、飛躍的に高速化・低コスト化されている
2. AI は、従来のサイバーセキュリティ対策では想定されていなかった新たな攻撃ベクトル (プロンプトインジェクション、ジェイルブレイク、モデルポイズニング、メモリ内のコンテキストポイズニングなど) を生み出す
3. AI はあらゆる組織のアタックサーフェスを拡大し、脅威アクターに対してさらなる侵入経路を提供する
4. AI は脅威アクターにとって「増力剤」として機能し、ネットワーク攻撃チェーン全体を自律的に実行するために必要な速度と、高度な 32 段階の推論能力を与える。

Anthropic の Andrews 氏は、最先端 AI モデルがサイバーセキュリティおよび脅威環境に与える影響と、防御側が AI を有利に活用する方法について論じました。

組織が直面している状況を具体的に示すため、複数のセッションでは、脆弱性の発見・悪用の加速と、組織側のパッチ適用・修復の遅延という対照的な傾向が強調されました。

例えば、Zero Day Clock によると、2021 年における脆弱性悪用までの期間の中央値は 84 日でしたが、現在はわずか 1.6 日です。一方、Tenable Research が 2026 Verizon Data Breach Investigations Report (DBIR、2026 年度データ漏洩/侵害調査報告書) に提供したデータ (EXPOSURE 2026 初日に公開) によると、2025 年に組織が重要な CVE にパッチを適用するまでに要した日数は平均 43 日であり、2024 年の 32 日から 34% 増加しています。

Tenable の最高製品責任者である Eric Doerr は、DBIR の追加データに言及しながら、2025 年のデータ漏洩の 31% が、パッチ未適用の CVE を初期アクセスベクトルとして始まったと指摘しました。最先端 AI モデルが脆弱性の発見を加速させる中、セキュリティチームが適応しない限り、この傾向はさらに深刻化するとみられます。

さらに Doerr は、Tenable のデータに基づき、データ漏洩のほぼ 3 分の 2 が、設定ミス、認証情報の窃取、シークレットの露出といった CVE 以外の要因を起点としていると述べました。CVE のみに注力していれば、組織の攻撃対象領域の 3 分の 2 を放置することになるという点を、この統計をもって明確に示しました。こうした CVE の範囲を超えたアタックサーフェスこそ、エクスポージャー管理が対処すべき領域です。

AI を活用したエクスポージャー管理で実現する先制型防御

発表者らは、DBIR、Tenable のテレメトリ、その他の情報源から得られた統計データをもとに、予防的かつ高度に自律化された防御を軸としたサイバーセキュリティ変革の必要性を訴えました。

エンタープライズ全体での AI の爆発的な普及と、AI を武器とする脅威アクターの台頭により、組織は以下のエクスポージャー管理機能をサイバーセキュリティプログラムに組み込む必要があることが示されました。

• 統合された可視性 - ハイブリッドなアタックサーフェス全体にわたる、継続的かつ確定的な資産の検出機能。オンプレミスおよびクラウドインフラ、OT 環境、急速に拡大する AI アタックサーフェスにおいて、すべての脆弱性・設定ミス・過剰な権限を漏れなく把握する必要があります。
• コンテキストに基づく AI 活用インサイト - 標準的な CVSS スコアを超え、現実世界での悪用可能性とビジネスへの影響を重視。実行可能な攻撃経路をマッピングすることで、攻撃者がラテラルムーブメントを経て中核資産へどのように到達し得るかを正確に把握する必要があります。
• マシン速度での対応 - 手動ワークフローから、自動化・オーケストレーションされた修正へ。人間のチームによるマシン速度でのアラートトリアージは現実的でないため、組織は人間による監視を含む適切なガードレールを備えたエージェンティック AI ワークフローを導入し、セキュリティ態勢の積極的な強化と進行中の脅威の封じ込めを図る必要があります。

Tenable の CSO である Robert Huber は、2 年前に着手した脆弱性管理プログラムおよびチームのエクスポージャー管理への変革について、自身の経験を共有しました。変革のきっかけは、四半期ごとに取締役会へサイバーリスクを報告する際に直面していた課題でした。チームは当時、それぞれ独自のリスク報告形式を持つ 50 種類ものセキュリティツールからデータを手動で収集・集約・調整・分析しなければならなかったのです。現在、Huber のチームはレポートを数分で作成できます。また、可視性の範囲を 1 万未満の資産から 10 万以上に拡大し、同じ人員数でアラートからチケットへの件数を 1,500 対 1 にまで削減しました。

Tenable の研究員である Robert McSulla と Ben Smith が作成・主導したライブ形式の AI 対 AI 攻撃シミュレーションでは、完全自律型のエージェンティック防御が、完全自律型のエージェンティック攻撃者に対してどのような能力を発揮するかが実証されました。

McSulla と Smith は、聴衆に向けて以下の重要なポイントを強調しました。

1. AI 主導の攻撃において、速度だけが脅威ではない。 AI は脅威アクターをより速くするだけでなく、より賢くもします。デモでは、攻撃エージェントが推論し、意思決定し、適応しながら、新たな未発見のアタックサーフェスを見つけ出すプロセスが示されました。
2. 防御側も攻撃側と同じ優位性を獲得できる。 防御エージェントは積極的にセキュリティ態勢を評価し、脆弱性に対するパッチを開発・適用したり、その他のハードニング対策を実施したりすることで、リスクを低減し、脅威を緩和することが可能です。
3. セキュリティチームは、自律的な防御に慣れる必要がある。 完全自律型の防御エージェントにどこまで権限を委ねられるか、自組織の許容範囲を検討してみましょう。サービスを停止させたり、ファイアウォールルールを設定したり、認証情報をローテーションしたり、パッチを作成・適用することを許可できますか? 3 分以内に目標を達成するエージェンティック攻撃に対抗するには、それだけの権限委譲が求められます。
4. エージェンティック防御のためのガバナンスフレームワークを今こそ構築する必要がある。McSulla と Smith は、シミュレーション内の防御エージェント向けに、意図の判断、深刻度レベルの評価、そして人間による判断や行動が必要なタイミングを定めるルールを組み込んだガバナンスフレームワークを構築して、提示しました。

カスタムスニーカーやその他のアクティビティ

サイバーセキュリティという真剣なテーマを扱う一方で、EXPOSURE の参加者は、Tenable の新しいブランドロゴをモチーフにしたコンバースのスニーカーコレクションからお気に入りの一足を受け取りました。

さらに、ボストンレッドソックスの本拠地であるフェンウェイパークで、爽やかな夏の夜を満喫しました。

EXPOSURE 2026 における Tenable の発表内容

EXPOSURE 2026 では、Tenable から多数の重要な発表が行われました。以下に主な内容をまとめます。

1. Tenable One サイバーエクスポージャー管理プラットフォームのエージェンティックエンジンである Tenable Hexa AI の一般提供を開始。これにより、先制的なセキュリティプログラムのマシン速度での運用を実現できるようになります。
2. Anthropic との新たな AI イニシアチブの発表。Tenable One のエージェンティック機能をさらに強化します。
3. Claude Compliance API との戦略的な統合により、お客様は組織全体における Claude の利用状況の可視性を高めることができます。
4. Tenable One Open Connector のリリース。サードパーティ・カスタム・内部など、あらゆるソースのデータを Tenable One に取り込むことが可能になります。
5. Tenable Open Partner Exchange Network の立ち上げ。
6. Tenable Research チームによる、2026 Verizon Data Breach Investigations Report (DBIR) への大きな貢献。