今さら聞けない「VUCAの次」――AI時代のサイバーリスクは、もう技術部門の問題ではなく経営層のリーダーシップテストだ(HBR最新記事を読む)

BASIC SYNC

3行サマリー

  • 2026年4月7日付Harvard Business Reviewは「AIがサイバーリスクを技術問題から経営層のリーダーシップテストへ作り変えた」と論じた。著者はハーバードビジネススクールのHise O. Gibson上級講師。
  • AI時代のサイバー環境は「脆く、不安で、非線形、理解不能(brittle, anxious, nonlinear, incomprehensible)」――もはや従来のVUCA(不安定・不確実・複雑・曖昧)型の経営計画では対処できない。
  • 取締役会の役割は「IT部門に任せる」から「事業継続性の最後の責任者として、AI時代の備えを問い続ける」へと、根本的に変わる必要がある。

VUCAは、もう古い

20年ほど前から、経営の世界では「VUCA」という言葉が使われてきた。Volatility(変動性)、Uncertainty(不確実性)、Complexity(複雑性)、Ambiguity(曖昧性)の頭文字を取った、米軍由来の経営用語だ。「先が読めない時代の経営」を語るとき、多くの研修や書籍がこの言葉を使ってきた。

ところが、2026年4月7日にHarvard Business Reviewが公開した記事「AI Is Reshaping Cyber Risk. Boards Need to Manage the Threat.(AIがサイバーリスクを作り変えている。取締役会はこの脅威を経営すべきだ)」は、もうVUCAでは足りない、と宣言した。

著者はハーバードビジネススクールのテクノロジー&オペレーション管理部門の上級講師、Hise O. Gibson氏。記事の主張はシンプルだ――AIによってサイバーセキュリティ環境は「BANI」と呼ぶべき状態に変化した。すなわち、Brittle(脆い)、Anxious(不安な)、Nonlinear(非線形)、Incomprehensible(理解不能)――この4つだ。

BANIとは何か――非エンジニアのための翻訳

VUCAとBANIの違いを、非エンジニアの言葉で翻訳するとこうなる。

VUCA時代の「不確実性」は、「天気が読めない」のようなものだった。明日の天気はわからないが、晴れか雨かのどちらかであり、対策の幅もある程度想定できた。

BANI時代の「脆さと理解不能性」は、「明日、自分の家のドアの形が変わっているかもしれない。その変化を、自分は気づくことすらできないかもしれない」というレベルの話だ。AIは、攻撃と防御の両方で人間が追いつけない速度と複雑さを生み出してしまった。

具体的には、こういうことだ。これまで企業のセキュリティ対策の前提は「脆弱性が見つかってからパッチが当てられるまでの数か月の猶予」だった。しかし、Anthropicが同日発表した「Project Glasswing」のClaude Mythosモデルが示したように、AIは数千の未知の脆弱性を数週間で発見できる。攻撃側がAIを使えば、その時間差はゼロに近づく。

つまり「事前に備える」という発想自体が、もう成り立たない。

なぜこれが「経営層」の問題なのか

Gibson氏の主張で最も重要なのは、サイバーリスクをもはや「IT部門の技術的な問題」として扱ってはならない、という点だ。理由は3つある。

① 影響範囲が事業全体に及ぶ
AIによる攻撃が成功したとき、影響を受けるのはサーバーではなく、顧客の信頼、サプライチェーン、株価、そして経営者自身の責任だ。これらはすべて、CIOやCISOの権限の外にある。

② 防御への投資判断が経営マターになる
BANI環境では「どこまで投資すれば安全か」という問いに答えがない。「どこまでのリスクを許容するか」という経営判断が、毎四半期ごとに必要になる。これはまさに取締役会の仕事だ。

③ 規制対応だけでは守れない
多くの企業はサイバーセキュリティを「コンプライアンス(法令順守)の問題」と捉えてきた。しかしBANI時代では、規制が現実の脅威に追いつくのに数年かかる。「規制を満たしているから安全」という前提自体が、過去の遺物になりつつある。

SYNCONの視点:取締役会で問うべき3つの質問

Gibson氏の記事を読んで、明日からあなたが取締役会や経営会議で問うべき質問は何か。SYNCONの視点で3つに整理した。

質問①:「うちの会社は、何時間止まっても潰れないか?」
BANI時代の防御は「攻撃を防ぐ」から「攻撃を受けても、何時間で重要業務を復旧できるか」へシフトしている。1日止まったら潰れる業務、3日まで耐えられる業務、1週間耐えられる業務――この優先順位が言語化されているかが、経営の成熟度を測る物差しになる。

質問②:「うちの取引先は、AIで守られているか?」
あなたの会社が直接攻撃される確率より、取引先や仕入先がやられて、その連鎖で巻き添えになる確率のほうが高い。サプライチェーン全体の備えを把握することが、もはや経営の責任範囲だ。

質問③:「半年前の対策が、まだ有効か誰かがチェックしているか?」
BANI環境では、半年前に決めたセキュリティ対策が今も有効である保証はない。年1回の監査ではなく、四半期ごとに「前提が変わっていないか」を問い直す仕組みが必要だ。

テックの世界では、AIによってサイバー攻撃と防御の様相が一夜にして変わった。経営の世界がこの変化に同期(Sync)するスピードが、これからの5年で企業の生死を分ける。VUCAの研修で学んだ言葉だけで、もう戦えない。

情報ソース

SYNCON FREE DIAGNOSIS

あなたの業務に最適なAIツール、
まだ見つかっていませんか?

8つの質問に答えるだけ。約2分で完了。
SYNCON編集部が、あなた専用のAI活用プランをお届けします。

無料AI活用診断を受ける →
スポンサーリンク

コメント

タイトルとURLをコピーしました