CrowdStrikeのCEOであるGeorge Kurtz氏は、RSA Conference 2026の基調講演で、記録された最速の侵入者(アドバーサリー)のブレイクアウト時間が27秒まで低下したと強調しました。平均は現在29分で、2024年の48分から減っています。これは、脅威が拡散するまで防御側に残されている時間の長さです。いまCrowdStrikeのセンサーは、企業のエンドポイント上で実行されている1,800種類以上の個別のAIアプリケーションを検知しており、約1億6000万件のユニークなアプリケーション実行インスタンスに相当します。これらのすべてが検知イベント、アイデンティティイベント、データアクセスのログを生成し、人間の処理速度に合わせたワークフロー向けに設計されたSIEMシステムへと流れ込みます。
Ciscoは、調査したエンタープライズ顧客の85%がAIエージェントのパイロットを進めていることを見出しました。Ciscoの社長兼チーフ・プロダクト・オフィサーであるJeetu Patel氏はRSACのブログ記事で、エージェントを本番運用に移したのはわずか5%だと述べています。この80ポイントものギャップが生まれるのは、セキュリティチームがエージェントによって否応なく突きつけられる基本的な問いに答えられないからです。どのエージェントが動いているのか、何を実行する権限があるのか、そして何かがうまくいかなかったときに誰が責任を負うのか。
「最大の脅威はセキュリティの複雑さです。しかしAIでも、その方向に向かってしまっています」と、Cato Networksの脅威インテリジェンス担当VPであるEtay Maor氏は、RSAC 2026でVentureBeatに語りました。Maor氏は、このカンファレンスに16年連続で参加しています。「AIに対して複数のポイントソリューションで進めています。そして今、次の波としてのセキュリティの複雑さを生み出しているのです。」
エージェントはログ上で人間にそっくりに見える
ほとんどのデフォルトのログ設定では、エージェントが起点となった活動は、セキュリティログにおいて人間が起点となった活動と見分けがつかないほど同じに見えます。「エージェントがルイスのWebブラウザを動かしたのと、ルイス本人が自分のブラウザを動かしたのとで、区別がつかないように見えます」と、CrowdStrikeのCTOであるElia Zaitsev氏はRSAC 2026でVentureBeatの独占インタビューで述べました。両者を見分けるにはプロセスツリーをたどる必要があります。「実際にそのプロセスツリーをたどって、『このChromeプロセスはデスクトップ上のルイスによって起動された』と言えます。さらに、『このChromeプロセスはルイスのClaude CoworkまたはChatGPTアプリケーションから起動された』とも言えます。つまり、それはエージェントによって(自律的に)制御されているのです。」
そのようなエンドポイントの深い可視性がない場合、侵害されたエージェントが正当化されたAPI呼び出しを有効な資格情報(クレデンシャル)で実行しても、アラートはゼロになります。攻撃の可能な面はすでにテストされています。基調講演の中でKurtz氏は、OpenClawの公開スキルレジストリを狙った、AIエージェントのエコシステムに対する最初の大規模なサプライチェーン攻撃であるClawHavocを説明しました。Koi Securityの2月の監査では、2,857件中341件の悪意あるスキルが見つかりました。続くAntiy CERTによる分析では、同プラットフォーム上で過去に1,184件の侵害済みパッケージが確認されたとされています。Kurtz氏は、ClawHubは現在、そのレジストリに13,000件のスキルをホストしていると述べました。感染したスキルにはバックドア、リバースシェル、資格情報収集(クレデンシャル・ハーベスティング)機能が含まれていました。Kurtz氏は基調講演で、一部はインストール後に自らのメモリを消し、作動(起動)するまで潜伏状態にあり得ると語りました。「最前線のAIの作り手は、それ自体を守ることはできない」とKurtz氏は述べました。「最前線のラボは同じ手順書に従っています。彼らはそれを作っています。彼らはそれを守っていません。」
2つのエージェント型SOCアーキテクチャ、共有された盲点
アプローチA:SIEMの中にAIエージェントを置く。 CiscoとSplunkは、Splunk Enterprise Security向けに6つの専門AIエージェント――Detection Builder、Triage、Guided Response、Standard Operating Procedures(SOP)、Malware Threat Reversing、Automation Builder――を発表しました。Malware Threat Reversingは現在Splunk Attack Analyzerで利用可能で、Detection Studioは一般提供されています。残り5つのエージェントは2026年6月までアルファまたはプリーリリースです。Exposure AnalyticsとFederated Searchも同じタイムラインに従います。SOCの上流では、CiscoのDefenseClawフレームワークがOpenClawのスキルとMCPサーバーを配備前にスキャンします。一方で、新しいDuo IAMの機能により、検証済みのアイデンティティと時間制限付きの権限によって、ゼロトラストをエージェントへ拡張します。
「重要な業務(ビジネスクリティカルなタスク)に対して、企業で大規模導入を阻む最大の障害は、十分な量の信頼を確立することです」とPatel氏はVentureBeatに語りました。「委任と、信頼できる委任の違いは、どちらか一方が倒産につながり、もう一方は市場の覇権につながる、という点にあります。」
アプローチB:上流のパイプラインで検知する。 CrowdStrikeは、分析をデータ取り込み(データインジェスト)パイプラインそのものへ押し込み、同社のOnum買収をFalconの取り込みシステムにネイティブに統合することで、イベントがアナリストのキューに届く前に、リアルタイムの分析・検知・高度化(エンリッチ)を可能にしました。Falcon Next-Gen SIEMは現在、Microsoft Defender for Endpointのテレメトリをネイティブに取り込みます。そのためDefender導入企業は追加のセンサーを用意する必要がありません。さらにCrowdStrikeは、サードパーティのデータストアにまたがるフェデレーテッド検索と、既存のSplunkクエリを変換してSIEMの移行を加速するQuery Translation Agentも導入しました。
Agentic Enterprise向けのFalcon Data Securityは、実行時(ランタイム)におけるデータエージェントのデータアクセスに対して、クロスドメインのデータ損失防止(DLP)を適用します。CrowdStrikeの、敵対者の状況を踏まえたクラウドリスクの優先付けは、クラウドワークロードにおけるエージェントの活動を同じ検知パイプラインに結びつけます。Falcon Completeによるagentic MDRは、自社でその能力を構築できないチームに対して、機械スピードでのマネージド検知を追加します。
「agentic SOCとは、結局のところ、どうやって追いつくのか、という話です」とZaitsev氏は述べました。「それに対して自前のagentic支援がなければ、追いつけるという考え方自体がほとんど成り立ちません。」
CrowdStrikeは、RSAC 2026で発表されたCharlotte AI AgentWorksを通じて、自社のプラットフォームを外部のAI提供者に開放しました。これにより、顧客は最前線のAIモデルを使ってFalcon上でカスタムのセキュリティエージェントを構築できます。ローンチパートナーには、Accenture、Anthropic、AWS、Deloitte、Kroll、NVIDIA、OpenAI、Salesforce、Telefónica Techが含まれます。IBMは、Charlotte AIをIBMのAutonomous Threat Operations Machineと連携させる協業を通じて、共同で機械スピードの調査と封じ込めを行うためのニーズ(購買需要)を検証しました。
エコシステムの有力対抗勢力。 Palo Alto Networksは、VentureBeatとのRSAC直前の独占ブリーフィングで、Prisma AIRS 3.0を提示しました。これは、アーティファクトスキャン、エージェントのレッドチーミング、そしてメモリ汚染や過剰な権限を捕捉するランタイムを備えて、同社のAIセキュリティプラットフォームをエージェントへ拡張するものです。同社は、エージェント発見と資格情報の検証のためのagenticアイデンティティプロバイダも導入しました。Palo Alto Networksが、同社によるKoiの買収(提案中)を完了すれば、エージェント型のエンドポイントセキュリティを追加できます。Cortexは、顧客基盤全体にわたってagenticセキュリティのオーケストレーションを提供します。
Intelは、CrowdStrikeのFalconプラットフォームが、Intel製のAI PC向けに最適化されていると発表しました。ニューラル処理ユニットとシリコンレベルのテレメトリを活用して、デバイス上でのエージェントの挙動を検知します。Kurtz氏はAIDR(AI Detection and Response)を、EDRの次のカテゴリとして位置づけました。エージェントのスピードに基づく活動を、エンドポイント、SaaS、クラウド、AIパイプラインにまたがって追跡します。氏は、導入が拡大すれば「人間は平均して彼らのために働く90のエージェントを持つことになる」と述べましたが、具体的な時期は明示しませんでした。
どのベンダーも埋められていないギャップ
セキュリティリーダーが 必要としているもの | アプローチA:SIEM内のエージェント(Cisco/Splunk) | アプローチB:上流パイプラインでの検知(CrowdStrike) | ギャップは埋まらない |
エージェントの稼働量に合わせたトリアージ | 6つのAIエージェントが、Splunk ES 内でトリアージ、検知、レスポンスを担当します | Onum が動くパイプラインが、アナリストが目にする前に脅威を検出し、強化します | 異常をフラグする前に、正常なエージェント挙動をどちらもベースライン化しません |
エージェントと人間の識別 | Duo IAM がエージェントのアイデンティティを追跡しますが、SOCテレメトリ上でエージェントの活動と人間の活動を区別しません | プロセストリーの系譜が実行時に識別します。AIDR はエージェント固有の検知にも拡張されます | どのベンダーの発表済み機能にも、既製のエージェント挙動ベースラインは含まれていません |
27秒のレスポンス・ウィンドウ | ガイド付きレスポンス・エージェントが、機械の速度で封じ込めを実行します | パイプライン内の検知によりキューの量を削減します。Agentic MDR がマネージド・レスポンスを追加します | ヒューマン・イン・ザ・ループのガバナンスは、どちらのアプローチでも機械の速度でのレスポンスと整合されていません |
レガシーSIEMの移植性 | ネイティブの Splunk 統合により、既存のワークフローを維持できます | クエリ翻訳エージェントが Splunk のクエリを変換します。ネイティブの Defender 取り込みにより、Microsoft 環境の企業が移行できます | 移行期間中に複数のSIEMを運用するチームには、どちらも対応していません |
エージェントのサプライチェーン | DefenseClaw が、デプロイ前にスキルとMCPサーバーをスキャンします。Explorer Edition がエージェントをレッドチームします | EDR AI Runtime Protection が、デプロイ後に侵害されたスキルを検知します。Charlotte AI AgentWorks がカスタムエージェントを可能にします | どちらもライフサイクル全体をカバーしません。デプロイ前のスキャンではランタイムのエクスプロイトを見落とし、逆にランタイム検知ではデプロイ前の問題を見落とします |
このマトリクスは、基調講演が見せなかった一点を明確にします。どのベンダーも、エージェント挙動のベースラインを出荷していません。どちらのアプローチも、トリアージを自動化し、検知を加速します。しかし、VentureBeatの発表済み機能に関するレビューに基づくと、どちらも、特定の企業環境において「正常なエージェント挙動」がどのようなものかを定義していません。
Microsoft Sentinel と Copilot for Security を運用しているチームは、今週の RSAC で競合アプローチとして正式に発表されていない、第三のアーキテクチャを代表しています。ただし Microsoft 重視の環境にいる CISO は、Sentinel のネイティブなエージェント・テレメトリ取り込みと Copilot の自動トリアージが、上記で特定された同じギャップを埋められるかをテストする必要があります。
Maor は、ベンダーの対応が、彼が16年間追ってきたパターンをリサイクルしていると警告しました。「この一連のサイクルをまた全部やらなきゃいけないのは、できれば避けたいです」と VentureBeat に語りました。「過去から学んだことを期待しています。でも、実際にはあまりそう見えないんです。」
Zaitsev の助言は率直でした。「すでに何をすべきか分かっているでしょう。5年、10年、15年の間ずっと分かっていたはずです。あとは、ようやくそれをやる時です。」
月曜の朝にやるべき5つのこと
これらの手順は、SOCプラットフォームに関係なく適用できます。いずれも、現在のツールを丸ごと作り直して入れ替える必要はありません。まず可視性から始め、エージェントの稼働量が増えるにつれて統制を積み重ねていきましょう。
エンドポイント上のすべてのエージェントを棚卸しする。 CrowdStrike は、企業のデバイス上で 1,800 のAIアプリケーションを検出します。Cisco の Duo Identity Intelligence は、エージェント的なアイデンティティを見つけます。Palo Alto Networks の agentic IDP はエージェントをカタログ化し、そこから人間のオーナーにマッピングします。別のプラットフォームを使っている場合は、既知のエージェントのディレクトリとバイナリに対する EDR のクエリから始めてください。存在が分からないエージェントにはポリシーを設定できません。
SOCスタックが、エージェントの活動と人間の活動を区別できるか判断する。 CrowdStrike の Falcon センサーと AIDR はプロセストリーの系譜によってこれを行います。Palo Alto Networks のエージェント実行時機能は、実行時にメモリ汚染を捕捉します。もしツールでこの区別ができないなら、トリアージのルールは誤った挙動モデルを適用していることになります。
アーキテクチャの方針を、現在のSIEMに合わせる。 Splunk の利用企業は、Approach A によってエージェント機能を得ます。移行を評価しているチームは、Approach B によって、Splunk のクエリ翻訳とネイティブの Defender 取り込みを通じたパイプライン内検知が得られます。Palo Alto Networks の Cortex は第三の選択肢を提供します。Microsoft Sentinel、Google Chronicle、Elastic、またはその他のプラットフォーム上のチームは、SIEM がこの量に対してエージェント固有のテレメトリを取り込めるかを評価すべきです。
次の役員会の前に、エージェント挙動のベースラインを作る。 どのベンダーもこれを出荷していません。エージェントが実行を許可されていることを定義してください。どのAPIか、どのデータストアか、どのアクションか、どの時間帯か。スコープ外のものについては検知ルールを作成します。
エージェントのサプライチェーンを圧力テストする。 Cisco の DefenseClaw と Explorer Edition は、デプロイ前にエージェントをスキャンし、レッドチームします。CrowdStrike のランタイム検知は、デプロイ後に侵害されたエージェントを捕捉します。どちらのレイヤーも必要です。Kurtz は基調講演で、ClawHavoc がマルウェアによって 1,000 件以上の ClawHub スキルを侵害し、そのインストール後に自分自身のメモリを消去していたと述べました。プレイブックが、許可されたエージェントが機械の速度で許可されていないアクションを実行する状況を想定していないなら、書き直してください。
SOCは、機械を使って人間を守るために作られました。今や、機械を使って機械を守っています。レスポンス・ウィンドウは 48分から27秒に短縮されました。アラートを生成するどのエージェントも、単なるセンサーではなく「疑わしい存在」です。セキュリティリーダーが今後90日で下す判断が、SOCがこの新しい現実の中で機能するのか、それともその下に埋もれてしまうのかを決めます。
