レポートの調査結果によると、インフラストラクチャまたはサービスの構成ミスが 78% で最も多く報告されたインシデントの種類であり、既知の脆弱性と不正アクセスがそれに続きます。これらは洗練された予測困難な攻撃ではなく、実行の失敗であり、繰り返し発生し、コストがかかります。
このレポートの最も鋭い発見は、組織がどの程度準備ができていると信じているかと、セキュリティ プログラムが実際に実証できることとの間に距離があるということです。 2026 年のレポートによると、回答者の 56% が、日々のセキュリティ体制は予防的であると述べています。しかし、成熟した、明確に定義されたクラウドネイティブ セキュリティ戦略を持っていると報告したのはわずか 39% であり、約 22% はまったく定義された戦略を持っていませんでした。これは、10 社中およそ 6 社の組織が構造ではなく自信に基づいて運営されていることを意味します。
基本的な制御が不均一に採用されていることから、実際的な影響は明らかです。レポートによると、ID およびアクセス管理の導入率は約 75% であり、調査の中で最も強力な数字の 1 つです。しかし、コンテナ イメージの署名は組織の約半数しか実装されておらず、ランタイム保護は一貫性のないままで、多くのチームが意図的に定義されたポリシーではなく、すぐに使用できる設定をデフォルトとして使用していました。
Red Hat のデータに基づくと、明確に定義された戦略を持つ組織は、ソフトウェア サプライ チェーンのセキュリティ保護に 61% の信頼を寄せており、成熟度の低い組織よりもかなり高く、環境に高度なガードレールを導入している可能性がはるかに高かったと報告されています。
セキュリティにより配信が遅くなる
レポートによると、組織の 74% が、セキュリティ上の懸念により、過去 12 か月間でアプリケーションの導入を遅延または遅らせました。下流への影響を報告した企業のうち、92% に達する数字は、52% が修復要求に計画よりも時間がかかったと回答し、43% が開発者の生産性が低下したと報告し、32% がインシデントにより顧客の信頼が損なわれたと回答しました。
そのパターン、つまりデリバリーに対するブレーキとしてのセキュリティは、Red Hat の処方箋が打破するために設計されたものです。レポートでは、開発パイプラインにセキュリティを早期に、より一貫して組み込むことで、導入時点での摩擦が増すのではなく、下流での修復の負担が軽減されると主張しています。
AIのガバナンス問題
懸念のレベルはほぼ普遍的です。回答者の 96% が、クラウド環境における生成 AI について懸念を表明しており、主な懸念は機密データの漏洩、承認なしで導入されたシャドウ AI ツール、および安全でないサードパーティ AI サービスの統合に集中しています。
政府の対応が追いついていない。レポートによると、組織の 59% には文書化された社内 AI 使用ポリシーやガバナンス フレームワークが不足しており、大多数の組織はデータの処理、アクセス、監視に関する合意されたルールがないまま、拡大し急速に変化する一連の AI ツールを管理しています。
Red Hat は、特にこれに対処するために、ゼロトラスト原則を AI エージェント層に拡張することに取り組んできました。 2026 年 1 月、同社は Zero Trust Workload Identity Manager を OpenShift で一般提供し、オープンな SPIFFE および SPIRE 標準を使用して暗号的に検証可能な ID をワークロードに提供しました。
Red Hat 独自の 技術文書 このリリースでは、このツールが、人間主導のプロセスに適用されているのと同じ ID およびアクセス制御を、実行時に動作する AI エージェントに拡張し、従来の境界セキュリティでは到達できないエージェント間およびエージェント対ツールの対話をカバーしていることを示しています。
Red Hat の OpenShift セキュリティおよびアイデンティティ担当シニア プリンシパル プロダクト マネージャーである Anjali Telang 氏は、その理論的根拠について次のように説明しています。「ゼロトラストとは、誰も信頼せず、常に検証し、その検証を ID に基づいて行うことを意味します。AI では、既に構築されているものと同じ信頼をシステムに組み込み、その信頼が AI ワークロードと AI エージェントに確実に反映されるようにしたいと考えています。」
Red Hat の新興テクノロジー チームによると、2026 年 2 月の執筆では、エージェント AI システムには、NIST 800-207 がトランザクション境界問題として定義している問題が導入されています。この問題では、通常、認証はクライアントとエージェント プラットフォーム間でのみ行われ、後続のダウンストリーム呼び出しでは明示的な信頼が確立されません。近年のセキュリティ侵害のほとんどは、まさにコンポーネント間の隠された信頼の前提を悪用したものです。
2026 年のレポートに基づいて、組織はセキュリティへの投資をポイント ツールからプラットフォームの統合に変更し、セキュリティを開発ワークフローに直接統合しています。今後 1 ~ 2 年間の宣言された優先事項には、回答者の 60% 以上が挙げた DevSecOps の自動化が含まれており、手動によるレビュー ゲートから CI/CD パイプライン内のコードとして埋め込まれたセキュリティに移行します。ソフトウェア サプライ チェーンのセキュリティが 56%、ランタイム保護の拡張が 54% で続きました。
規制の圧力により、これらの優先事項が強化されています。レポートによると、組織の 64% が、EU サイバー レジリエンス法がセキュリティ投資の意思決定を行う際の主要な要素になると予想していると回答しました。この数字は、コンプライアンスが後回しの考慮事項から役員会の推進要因に変わったことを示唆しています。
レポートにおける Red Hat の全体的な推奨事項は、明確な戦略を確立し、ガードレールと自動化をプラットフォームに構築し、上層に重ねるのではなく、サプライチェーンの整合性を優先し、AI ガバナンスを今すぐ導入することです。
このデータは、2026 年のクラウドネイティブ セキュリティの主な問題は、組織が持っていると考えているセキュリティ体制と、プロセスやガバナンス構造が維持しているセキュリティ体制との間にギャップがあることを明確に示しています。
Red Hat は、2026 年 5 月 18 ~ 19 日にサンノゼ マッケンナリー コンベンション センターで開催される TechEx North America の一部である Cyber Security & Cloud Expo に出展します。
(写真提供者 グロウティカ)
業界リーダーからクラウド コンピューティングについて詳しく知りたいですか? チェックアウト サイバーセキュリティ&クラウドEXPO アムステルダム、カリフォルニア、ロンドンで開催されます。この総合イベントは、 TechEx 他の主要なテクノロジー イベントと同じ場所で開催されます。 ここ 詳細については。
CloudTech ニュースの提供元は次のとおりです。 テックフォージメディア。今後開催されるその他のエンタープライズ テクノロジー イベントやウェビナーを確認する ここ。
#Red #Hat #の #年レポートはクラウドネイティブのセキュリティ実行ギャップとそのギャップを埋める方法を明らかにしています