AIで守るのか、AIを守るのか――RSAC 2026が映し出したセキュリティの混迷:RSAC 2026詳報
サンフランシスコで開催された「RSAC 2026」では、AIが議論の主役となった。しかし、その実態は「AIで守るのか」「AIを守るのか」が混在し、単一のベンダーで完結できない複雑なパズルのようになっている。
サンフランシスコで開催されたRSA Conference 2026(RSAC 2026)が閉幕した。予測通り、AI(人工知能)が展示会の最大のトピックとなった。
これほどAIが注目されるのは、当然の結果といえる。企業はAI導入を猛烈な勢いで進めており、それに伴うセキュリティ上の影響を無視できないからだ。実際、Informa TechTargetの調査部門Omdiaが行った調査では、回答者の44%がAIエージェントの導入判断で「セキュリティ、コンプライアンス、規制要件」が極めて重要だと回答、37%が非常に重要だと回答している。
一方で、AIセキュリティが議論の中心になりすぎると、一種の「飽き」が生じる懸念もある。数年前の「ゼロトラスト」や、より最近の「サプライチェーンセキュリティ」で起きた現象と同じだ。
筆者はRSACの4日目に、同僚のトッド・ティーマン氏とともに「AIエージェントの保護」についてのセッションに登壇した。AI関連のコンテンツが3日以上続いた後だったにもかかわらず、会場は多くの聴衆で埋まり、途中で席を立つ者もいなかった。現場では依然として、具体的な情報を求める声が強いことがうかがえる。本稿ではAIセキュリティの現在地に加え、企業ブラウザやソブリンSASEといった、ネットワークセキュリティの決定的な潮流を解説する。
AI導入はまだ入り口にすぎない
AIとセキュリティを巡る議論は多層的で複雑だ。展示会場では各ベンダーが差別化を図ろうとメッセージを発信していたが、実態はより混迷している。そのベンダーが「AIを使ってセキュリティの成果を高める」のか、「外部のAIモデルの利用を安全にする」のか、あるいは「AIを活用した社内アプリケーション」や「自社構築のAIモデル自体」を守るのか。これらの組み合わせは多岐にわたり、一見しただけでは判別しにくい。
2026年を通じてAIセキュリティプロジェクトは加速すると予測されるが、多くの組織はまだ情報収集の段階にある。情シス部門のリーダーは、自社製品のサポート範囲を超えてAIセキュリティを俯瞰(ふかん)的に捉えているベンダーを優先すべきだ。例えば、自社では提供していない領域のベストプラクティスを認めていたり、他社との連携によってエコシステムを構築したりしているかどうかが、判断の指標になる。
現状、AIの保護に必要な要素を断片的に提供するベンダーは多いが、単独でエンドツーエンドの解決策を提示できるベンダーは存在しない。
RSAC 2026で見えたその他の重要トレンド
AI以外にも、トピックが幾つかあった。具体的には「企業ブラウザ」「ソブリン(主権)」「プラットフォーム化」の3点だ。
- 企業ブラウザ
この分野は、依然として動きの激しい成長領域だ。ブラウザ内のアクティビティーに対する可視化と制御の方法は幾つかあるが、買い手が最も重視しているのは「柔軟性」である。特定の用途には専用ブラウザを使い、他には拡張機能を使うといった使い分けや、SASE(Secure Access Service Edge)のようなネットワークベースのアプローチとの併用など、最適な形は組織ごとに異なる。確かなのは、ブラウザ制御の機能が「差別化要因」から、導入の「前提条件」へと変化したことだ。
- ソブリン(主権)
筆者が交わした会話で、ソブリン(データの主権維持)はSASEに関連して語られることが多かった。これも柔軟性へのニーズを反映している。初期のSASEの概念は「トラフィックの大部分をクラウド経由でルーティングする」というものだった。しかしこれは、多様な規制や法律に縛られ、ハイブリッドワークを推進する大企業の複雑な環境を軽視していたと言える。セキュリティチームは、地理的条件や部門、ユーザー、データに応じて、パブリッククラウド、プライベートクラウド、オンプレミスを使い分ける必要がある。これらを個別に手動管理するのは困難なため、展開を簡素化し、担当者がより広範なポリシー策定に集中できるツールが求められている。
- プラットフォーム化
ネットワークセキュリティの文脈では、プラットフォーム化の事例が目立った。ハイブリッドメッシュファイアウォールからSASEの拡張、さらにはNDR(ネットワークの検知と応答)ベンダーによるオブザーバビリティ(可視性)のサポートまで、領域が広がっている。これら3つのケース全てにAI要素が組み込まれている点も、今回の展示会の象徴といえる。
究極的には、セキュリティのあらゆる側面が統合されていく流れにある。プラットフォームプロバイダーがAIの全ての課題を解決できるわけではないが、既存の基盤を持っているという点では圧倒的に有利だ。AIが組織の隅々に浸透する中で、多くのセキュリティチームは、AIのためだけに完全に隔離された制御レイヤーを追加したいとは考えないからだ。これほど重要かつ未解決の問いが多いトピックだけに、2027年のRSACでもAIが主役に居座り続けることは間違いないだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
CISOが直面するAIエージェントの三重苦 脅威・管理・予算獲得を読み解く
2026年のRSAカンファレンスでは「AIエージェント」の普及が最大のテーマとなった。攻撃の高速化に対抗するための防御策から、複雑化する管理ツール、さらには組織内での予算獲得の在り方まで、情シスリーダーが直面する新たな変革を解説する。
AIエージェントが「最強の内部犯」に? 情シスが抑えるべき新たなセキュリティリスク
内部不正対策は、もはや「人間」の監視だけでは不十分だ。自律的に判断し行動する「エージェンティックAI」が組織に 浸透する中、AIそのものが制御不能な内部脅威へと変貌しつつある。本稿は、AIが引き起こす新たなリスクの実態と、ID管理を軸とした具体的な防御策を解説する。
レッドチーム演習とは? 実施しないと訴訟で「動かぬ証拠」になるリスク
2026年3月開催のRSA Conference 2026で、レッドチーム演習が法的標準へ進化しつつあるとの認識が共有された。これからレッドチーム演習を実施する企業は何に注意すればいいのか。
期待の若手エンジニアを入社初日に解雇 どのように”ある国の脅威アクター”を見抜いた?
セキュリティベンダーExabeamは、採用したエンジニアを入社当日に解雇した。ある国にひも付く脅威アクターだったことを同社が迅速に見極めたからだ。発見の経緯は。