サンフランシスコで4日間、異常なことが起きていた
3月23日から26日にかけて開催されたRSAC 2026(RSA Conference 2026)。世界最大級のサイバーセキュリティカンファレンスで、ちょっと異常な光景が広がった。
Cisco、SentinelOne、Wiz(Google Cloud傘下)、Arctic Wolf、Ping Identity、Microsoft、Rubrik、BeyondTrust、Astrix、Apiiro——。名だたるセキュリティベンダーが、まるで示し合わせたかのように「AIエージェント専用のセキュリティ製品」を一斉に発表したのだ。
これまでサイバーセキュリティの世界では「ゼロトラスト」「クラウドネイティブ」「XDR」といったキーワードが主役だった。それが2026年3月、一夜にして「エージェンティックAIセキュリティ」に塗り替わった。78%の従業員が無許可でAIツールを持ち込んでいるというJumpCloudの調査が示すように、企業の現場ではAIエージェントがすでに走り回っている。セキュリティ業界がようやく追いついた——というのが、この4日間の正体だ。
この記事では、RSAC 2026で何が発表され、なぜ今このタイミングだったのか、そして日本企業は何を準備すべきかを時系列で全記録する。
AIエージェントの基本概念や導入ステップについては、AIエージェント導入完全ガイドで体系的にまとめています。
3月20〜22日:開幕前にすでに地殻変動が始まっていた
RSAC本番の前から、空気は変わり始めていた。
3月20日、Microsoftがブログ「Secure Agentic AI End-to-End」を公開。ゼロトラストアーキテクチャをAIエージェントのライフサイクル全体(データ取り込み→モデル訓練→デプロイ→エージェント動作)に拡張するリファレンスアーキテクチャを提案した。
同じ週、Microsoft Entraチームが「シャドーAI検出」機能を発表。ネットワーク層で未知のAIアプリケーションを自動識別し、条件付きアクセスポリシーを適用できるようにした。57%の従業員がAI利用を会社に隠しているというWithumの調査を裏付けるような機能だ。
要するに、カンファレンスが始まる前から「AIエージェントをどう管理するか」が業界の最重要議題になっていたわけだ。
3月23日(Day 1):Cisco・Arctic Wolf・Wizが同日に発表
開幕初日。午前中から大型発表が連続した。
Cisco——「アクセス制御」から「アクション制御」へ
CiscoのRSAC 2026発表は、率直に言って一番インパクトが大きかった。
従来のゼロトラストは「誰がどこにアクセスできるか」を管理する仕組みだった。Ciscoはこれを「AIエージェントが何をできるか」の管理に進化させた。公式リリースによると、主な新機能は3つ。
- Cisco Identity IntelligenceのAgent Discovery:ネットワーク上のエージェンティックAI・非人間IDを自動検出・監視
- DuoのAgentic IAM:AIエージェントを登録し、人間の責任者に紐づけ、タスク単位の細かい権限を設定
- MCP Policy Enforcement:Model Context Protocol(MCP)ゲートウェイ経由で全エージェント通信を可視化し、リスクに応じた保護を適用
さらにCiscoはDefenseClawというオープンソースフレームワークも発表した。Skills Scanner、MCP Scanner、AI BOM(AI部品表)、CodeGuardをバンドルし、NVIDIAのOpenShellとランタイムセキュリティで連携する。
正直、ここまで一気に出してくるとは思わなかった。「アクセス制御からアクション制御へ」というフレーミングは、今後のAIセキュリティの議論を方向づけるだろう。
Arctic Wolf——「世界最大のエージェンティックSOC」を宣言
Arctic WolfはAurora Agentic SOCを発表。「世界最大の商用エージェンティックSOC」を名乗った。プレスリリースを読むと、その構造が面白い。
Aurora Superintelligence Platformの上に「Swarm of Experts」フレームワークを構築。3種類のエージェントが協調する。
| エージェント種別 | 役割 |
|---|---|
| Oversight Agents | 調整・検証を担当 |
| Authoritative Agents | トリアージ・調査・対応の専門タスク |
| Process Agents | 繰り返し作業の自動化 |
Arctic Wolfの主張では、ケース解決速度が15倍に向上し、チケット品質は3倍に改善。導入も最短10日で完了するという。数字の裏付けはまだ独立検証がないが、既存顧客とMSPには追加料金なしで提供される点は評価できる。
Wiz(Google Cloud)——AI-APPで「三層脅威検知」
Google Cloudに買収されたWizは、AI Application Protection Platform(AI-APP)を発表。Security Boulevardの報道によると、AIアプリケーションの「エンドツーエンド」セキュリティを提供する。
特徴的なのは三層の脅威検知アプローチ。
- モデル層:入出力・プロンプト挙動を監視
- ワークロード層:エージェントの行動・ツール使用をトラッキング
- クラウド層:API呼び出し・ID変更を観測
さらにRed Agentという攻撃シミュレーションAIも発表。プロンプトインジェクションやジェイルブレイクへの耐性をAIスピードでテストできる。OWASP Top 10 for LLM Applicationsとのマッピングも組み込まれている。
3月24日(Day 2):Ping Identity・SentinelOneが参戦
Ping Identity——「AIエージェントは企業IDの新しいクラスだ」
Ping Identityの発表は、ある意味でRSAC 2026の核心を突いていた。
「Identity for AI」というソリューションの全世界GA(一般提供)を宣言。AIエージェントを従来の人間ユーザーとは別の「企業IDのフォーマルなクラス」として扱うフレームワークだ。CEO Andre Durandの言葉が印象的だった。
「AIエージェントは機能(feature)ではない。企業における行為者(actor)であり、アイデンティティ、権限、説明責任が必要だ」
3つのコンポーネントで構成される。
- Agent IAM Core:AIエージェントを固有のIDタイプとしてオンボーディング・認証・認可
- Agent Gateway:エージェントと企業システム間の制御層。MCPベースの統合も保護
- Agent Detection:PingOne Protectで外部・個人AIエージェントをランタイムで検知・リスク評価
ポイントは「ログイン後」に焦点を当てたこと。従来のIAMは認証(入口)が主戦場だった。Ping Identityは「アクセスした後にAIエージェントが何をしているか」のランタイム監視に軸足を移した。Ciscoの「アクション制御」と同じ方向性だ。
SentinelOne——5つの新機能を一気出し
SentinelOneは5つの新製品を同時に発表した。
- Prompt AI Agent Security:AIエージェントとワークフローのリアルタイム発見・ガバナンス
- Prompt AI Red Teaming:自社AIアプリへのプロンプトインジェクション・ジェイルブレイクなどの攻撃シミュレーション
- Purple AI Auto Investigation(GA):ワンクリックでエージェンティック調査を開始、攻撃タイムラインを自動構築
- Prompt Security On-Premise:エアギャップ環境向けのAIセキュリティ。シャドーAI検知・機密情報リダクションをオフラインで実現
- AI Data Pipeline(On-Premise):不要アラートのインテリジェントフィルタリングでインフラコスト削減
特に目を引いたのはOn-Premise版の存在。金融機関や官公庁など、クラウドに出せない環境でもAIセキュリティを適用できる。日本の金融庁ガイドラインを考えると、国内金融機関にとっては現実的な選択肢になりうる。
3月25日(Day 3):Microsoft Edge・BeyondTrust・Apiiro
Microsoft——「ブラウザがAIの防壁になる」
Microsoft Edge for Businessの強化が、Day 3の目玉だった。
アプローチが独特だ。AIツールの使用を禁止するのではなく、ブラウザレベルでデータ漏洩を防ぐ。Microsoft PurviewのDLP(Data Loss Prevention)機能をEdgeに統合し、従業員が未承認のAIツールにセンシティブデータを入力しようとすると、リアルタイムで監査またはブロックする。
43%の従業員が許可なく機密情報をAIに共有しているというCIOの報道を考えると、この「AIを禁止せず安全にする」アプローチは現実的だ。禁止しても使うなら、せめてデータだけは守ろうという発想。
BeyondTrust——エンドポイント権限管理をAIに拡張
BeyondTrustはPathfinder Platformを拡張し、AIコワーカーのエンドポイント権限管理、AIエージェントの発見・リスク分析、自律エージェント向けシークレット管理を追加した。地味だが、既存のPAM(特権アクセス管理)の延長線上にある堅実なアプローチ。
Apiiro——開発ライフサイクルにAIエージェント保護を組み込む
ApiiroはASPM(Application Security Posture Management)プラットフォームを拡張。Deep Code Analysisを使って、開発段階からAIエージェントのリスクを検出・修正する。セキュリティを「運用後」ではなく「開発中」に組み込むshift-leftの考え方だ。
4日間を俯瞰して見えた3つのパターン
個別の製品発表を追いかけるだけでは全体像を見失う。4日間を通して、明確なパターンが3つ浮かび上がった。
パターン1:「ID管理」がAIセキュリティの本丸になった
Cisco(DuoのAgentic IAM)、Ping Identity(Identity for AI)、Microsoft(Entra IDでのエージェント登録)、BeyondTrust(AIコワーカー権限管理)——。4社が独立にたどり着いた結論が同じだった。「AIエージェントに企業IDを発行せよ」。
これは偶然ではない。AIエージェントが人間の代わりにAPIを叩き、データベースにアクセスし、他のサービスと連携する時代になった。従来の「ユーザーの認証情報をAIに渡す」やり方では、誰が何をしたのか追跡できない。エージェント固有のIDを発行し、権限を最小化し、行動を監査する——。人事部門が新入社員にやることを、AIにもやる必要がある。
パターン2:「レッドチーム」がセキュリティの標準装備に
Cisco(AI Defense Explorer Edition)、SentinelOne(Prompt AI Red Teaming)、Wiz(Red Agent)。3社がAIモデルへの攻撃シミュレーション機能を発表した。
プロンプトインジェクション、ジェイルブレイク、データポイズニング、権限昇格——。AIアプリケーション固有の脅威に対して、デプロイ前にテストする仕組みが標準化されつつある。OWASPのLLM向けTop 10がベンチマークとして定着したことも大きい。
パターン3:MCPが「AI版のHTTPS」になりつつある
Cisco(MCP Policy Enforcement)とPing Identity(Agent GatewayでMCP統合保護)が、Model Context Protocol(MCP)をセキュリティ基盤として採用した。
MCPは、AIエージェントがツールやデータソースに接続する方法を標準化するプロトコル。これをセキュリティゲートウェイ経由で通し、すべてのエージェント通信を可視化・制御する。HTTPSがWeb通信の暗号化を標準にしたように、MCPがAIエージェント通信のセキュリティ標準になる可能性がある。
日本企業が今週確認すべき3つのこと
RSAC 2026の発表群は、まだほとんどが北米市場向けだ。だが、日本企業にとっても対岸の火事ではない。
1. 自社のシャドーAI実態を把握する
78%の従業員が無許可でAIを使い、57%がその事実を隠している。この数字は米国の調査だが、日本でも状況は大きく変わらないだろう。IT部門がまずやるべきは、ネットワークログから生成AI関連サービスへのトラフィックを洗い出すこと。Microsoft Entraの「Shadow AI Detection」のような専用ツールの導入検討も視野に入る。
2. AIエージェントのID管理方針を策定する
AIエージェントを社内システムに接続している企業は、そのエージェントが「誰の権限で」「何にアクセスできて」「何をしたか」を追跡できる状態にあるか確認すべきだ。現状、多くの企業でAIエージェントは開発者個人の認証情報で動いている。これでは内部監査が成立しない。
3. AIアプリケーションのレッドチームを検討する
自社で構築したAIアプリケーション(RAGシステム、チャットボット、業務自動化エージェントなど)について、プロンプトインジェクションやデータ漏洩のリスク評価を行っているか。RSAC 2026で複数のベンダーがレッドチーム機能を発表したことは、市場がこの必要性を認めた証拠だ。
なぜ「今」だったのか
最後に、なぜ2026年3月というタイミングだったのかを考えたい。
答えはシンプルだ。AIエージェントが企業に本格普及したのが2025年後半〜2026年初頭だったから。OpenAIのChatGPT Agent、GoogleのProject Mariner、MicrosoftのCopilot Coworkなどが次々とリリースされ、企業の中で「人間の指示なしに動くAI」が現実になった。
セキュリティ製品は常に脅威の後を追う。エージェントが普及してから半年〜1年で、セキュリティ業界が追いついた格好だ。その「追いつき」が、たまたまRSACという年に一度の舞台で集中した。
ただし、筆者も判断がつかないことがある。これらの製品が実際にどれだけ機能するのか、まだ独立したベンチマークや第三者評価は出ていない。「発表した」ことと「動く」ことは別の話だ。今後数ヶ月のPoCや導入事例を注視する必要がある。
RSAC 2026 AIセキュリティ発表一覧
| 企業 | 製品・機能 | カテゴリ | 発表日 |
|---|---|---|---|
| Cisco | Zero Trust for AI Agents / DefenseClaw / AI Defense Explorer | ID管理・エージェント制御 | 3月23日 |
| Arctic Wolf | Aurora Agentic SOC | SOC自動化 | 3月23日 |
| Wiz(Google Cloud) | AI-APP / Red Agent | アプリ保護・攻撃シミュレーション | 3月23日 |
| Ping Identity | Identity for AI(Agent IAM Core / Agent Gateway / Agent Detection) | ID管理・ランタイム制御 | 3月24日 |
| SentinelOne | Prompt AI Agent Security / Red Teaming / Purple AI Auto Investigation / On-Premise | エンドポイント・レッドチーム | 3月24日 |
| Rubrik | Semantic AI Governance Engine | データガバナンス | 3月24日 |
| Microsoft | Edge Shadow AI Protection / Entra Shadow AI Detection / Zero Trust for AI | ブラウザ・ID・ゼロトラスト | 3月20-25日 |
| BeyondTrust | Pathfinder Platform AI拡張 | 特権アクセス管理 | 3月25日 |
| Astrix | AI Agent Discovery & Policy Engine | エージェント発見・ポリシー | 3月24日 |
| Apiiro | Agentic ASPM拡張 | 開発セキュリティ | 3月25日 |
参考・出典
- Cisco Newsroom — Cisco Reimagines Security for the Agentic Workforce(参照日: 2026-03-25)
- Arctic Wolf — Aurora Agentic SOC Press Release(参照日: 2026-03-25)
- Ping Identity — Identity for AI GA Announcement(参照日: 2026-03-25)
- SentinelOne — New AI Security Offerings(参照日: 2026-03-25)
- Security Boulevard — Wiz Launches AI-APP(参照日: 2026-03-25)
- Microsoft Edge Blog — Shadow AI Protection at RSAC 2026(参照日: 2026-03-25)
- JumpCloud — 11 Stats About Shadow AI in 2026(参照日: 2026-03-25)
- Withum — 57% of Employees Hide AI Usage(参照日: 2026-03-25)
- CIO — Half of Employees Using Unsanctioned AI(参照日: 2026-03-25)
- SecurityWeek — RSAC 2026 Day 1 Summary(参照日: 2026-03-25)
- CRN — 10 Hot New Cybersecurity Tools at RSAC 2026(参照日: 2026-03-25)
—
あわせて読みたい:
- シャドーAIとは?従業員の8割が無断利用する実態と5つの対策 — 具体的な対策フレームワーク
- AIエージェントに社員証を発行する時代|MS Zero Trust for AI — Microsoft単独の詳細解説
—
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
この記事はUravation編集部がお届けしました。
