CISOが直面するAIエージェントの三重苦 脅威・管理・予算獲得を読み解く:RSAC 2026レポート
2026年のRSAカンファレンスでは「AIエージェント」の普及が最大のテーマとなった。攻撃の高速化に対抗するための防御策から、複雑化する管理ツール、さらには組織内での予算獲得の在り方まで、情シスリーダーが直面する新たな変革を解説する。
RSAカンファレンス(RSAC)2026に集まった4万人以上のCISO(最高情報セキュリティ責任者)や実務家、ベンダーリーダーたちと交流する中で、1つの明確なトレンドが見えてきた。それは「AIエージェント」の急速な普及だ。この動きは、アイデンティティー管理やデータセキュリティの在り方に多大な影響を及ぼしている。攻撃者によるAIエージェントの悪用、エージェント自体の保護、そしてセキュリティツールの強化への応用といった、重要なテーマを掘り下げていく。
脅威の状況:加速する攻撃スピード
RSACの開幕を飾ったMicrosoftやGoogleのイベントでは、攻撃者がAIを駆使して攻撃の量、速度、巧妙さを高めているというメッセージが一貫して発信された。攻撃者はAIによって、その活動を劇的に強化している。現時点では巧妙なフィッシングメールの作成といったレベルにとどまるかもしれない。しかし攻撃者は学習を続け、悪意あるAIエージェントを実戦投入することで、その手法は確実に進化する。
AIエージェントの活用はまだ始まったばかりで、現場での大規模な被害報告はこれからだ。多くの脆弱(ぜいじゃく)性が研究者によって発見されているものの、ビジネスに甚大な損害を与えた侵害事例はまだ表面化していない。だが、企業がビジネスのあらゆる場面でエージェント型AIを採用している現状を考えれば、深刻な攻撃に直面するのは「時間の問題」だ。
AIによって加速した攻撃に対抗するには、防御側も同様にAIを駆使して速度を上げなければならない。参加者の多くが関心を寄せていたのは、AIエージェントによる防御の強化と、エージェントをいかに安全に運用するかという点だった。
AIセキュリティという「ノイズ」から本質を見抜く
防御側の視点から見ると、 RSAC 2026ではAIエージェントについてのメッセージがあふれていたが、その多くには「ノイズ」も混じっていた。会場には「AIエージェントのためのセキュリティ」という看板が掲げられていたが、包括的な解決策を構成する要素を明確に示しているものは少なかった。AIエージェントのセキュリティスタックには、以下のような多くのレイヤーが必要だ。
- AIセキュリティ体制管理(AISPM)
- データセキュリティ(DSPMやデータ漏えい防止など)
- アイデンティティー管理(ガバナンス、詳細なアクセス制御、ライフサイクル管理)
- データとサイバーのレジリエンス(バックアップ、リカバリー、ログ保持など)
AIエージェントは比較的新しい現象だ。セキュリティの各パーツをどう組み合わせるべきか、企業や実務家が正解を見つけ出すには時間がかかるだろう。アイデンティティー管理で見ると、現在、3つのアプローチが台頭している。
- 1. サイバーセキュリティプラットフォーム企業
Cisco、CrowdStrike、Microsoft、Palo Alto Networks、CyberArk、Thalesといった大手企業だ。プロンプトインジェクション攻撃からエージェントのアイデンティティー保護まで、広範囲な課題を解決する「総合力」を売りにしている。
- 2. アイデンティティー専門プラットフォーム企業
Delinea、SailPoint Technologies、Saviynt、BeyondTrust、Xage Securityなどの企業だ。既に企業が投資している特権アクセス管理(PAM)やアイデンティティーガバナンス(IGA)の延長として、人間以外(AIエージェント)の管理も統合しようとする動きだ。
- 3. AIエージェント特化型企業
Astrix Security、Oasis Security、Token Securityなどの新興ベンダーだ。AIエージェント固有のアイデンティティー問題に特化した技術を提供している。
セキュリティチームは、既存のツールから最大限の価値を引き出したいと考えている。しかし既存のプラットフォームが問題を解決できなかったり、ニーズを満たさない場合、特化型のツールを検討する柔軟性も必要だ。今すぐ活用できる強力なツールと、不確実性のあるロードマップを区別しながら、どちらのアプローチが主流となるか今後の動向を見守る必要がある。
AIエージェントを巡る予算獲得の変容
AIエージェントの導入と管理は、従来のITプロセスとは異なる予算動向を見せている。RSAC 2026で浮き彫りになったのは、セキュリティ予算の持ち主が変わりつつあるという事実だ。CISOやCIO(最高情報責任者)だけでなく、CDO(最高データ責任者)やCTO(最高技術責任者)、あるいはAI推進を担当する役員が、独立した「AI予算」を握っているケースが増えている。
セキュリティやアイデンティティー管理のリーダーは、AI推進の責任者に、AIエージェントの本格的な導入に必要なセキュリティやアイデンティティー管理のビジネス的価値を説く必要がある。AIエージェントであっても、コンプライアンスの徹底やセキュリティのベストプラクティス、効率的なガバナンスが必要であることに変わりはない。ベンダー側も、こうした投資の必要性を裏付ける情報を顧客に提供するべきだ。
セキュリティの世界は今、目まぐるしく変化している。新しいテクノロジーがアイデンティティーやデータセキュリティの課題を解決し、既存の困難に革新的なアプローチをもたらす様子は、非常にダイナミックだ。
著者情報
トッド・ティーマンは、アイデンティティアクセス管理とデータセキュリティを担当するOmdiaの主席アナリスト。サイバーセキュリティのマーケティングと戦略において20年以上の経験を有する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
AIはセキュリティの「敵」か「味方」か――AIが分析 果たして結論は?
セキュリティ担当者からみれば、AIはもろ刃の剣だ。セキュリティ運用の効率化を支援する一方、攻撃者の強力なツールにもなっている。本稿はAIツールの力を借り、AIが「敵」か「味方」かを分析した。
人工知能(AI)を「データセキュリティ」に使う4つの応用例
AI技術は、企業がデータセキュリティを確保する上でどう役立つのか。AI技術をデータセキュリティに活用する代表的な応用例を、4つ紹介する。
生成AI時代のセキュリティ対策の鍵を握る「7つの防衛線」とは?
企業において、従業員の生成AIの利用による情報漏えいや権利侵害、生成AIを悪用した攻撃といったセキュリティリスクに備えるには、適切なセキュリティポリシーを設ける必要がある。効果的な防衛策を築く方法は。
AIにはAIで対抗せよ――旧来セキュリティが“根本”から変わる3つの新戦略
サイバー攻撃はAI技術の進化によって巧妙化しており、従来のセキュリティでは対抗できなくなりつつある。この状況を打破する可能性を秘めるアプローチとして、Cisco Systemsが提唱するセキュリティ戦略とは。
セキュリティ専門家としてのキャリアが開ける「AIセキュリティ専門資格」が誕生
ITガバナンスや監査の国際団体ISACAが、世界で初めて、AIセキュリティ専門の認定資格を提供開始した。一体どのような資格なのか。