主要なAIプラットフォームのリリースで、初めてセキュリティがローンチ時に出荷され、18か月後に後付けされる形で追加されるのではありませんでした。今週の Nvidia GTC で、5つのセキュリティベンダーが Nvidia のエージェント型AIスタックを保護すると発表しました。稼働中のデプロイは4件、早期統合が検証済みの1件。
このタイミングは、脅威の進展速度を反映しています。2026年に向けて、サイバーセキュリティの専門家の48%がエージェント型AIを「最も重要な攻撃ベクトル」と位置づけています。組織のうちわずか29%は、これらの技術を安全に展開できると全力で準備が整っていると感じていません。平均的な企業では機械のアイデンティティが人間の従業員を82対1で上回っています。IBMの2026 X-Force Threat Intelligence Indexは、公開向けアプリケーションを悪用する攻撃の44%の急増を記録し、それはAI対応の脆弱性スキャンによって加速されました。
Nvidia のCEO ジェンセン・ファンは月曜日のGTC基調講演の場でこう主張しました。「企業ネットワーク内のエージェント型システムは機密情報にアクセスし、コードを実行し、外部と通信します。これは明らかに許すことはできません。」
Nvidia は、5つの異なるベンダーの独自の強みを柔軟に活かすための統一的な脅威モデルを定義しました。Nvidia はまた、Google、Microsoft Security、TrendAI をNvidia OpenShell のセキュリティ協力者として挙げています。この記事は、機密扱いのGTC発表と検証可能なデプロイメントの約束を記録として整理した、アナリストが統合したリファレンスアーキテクチャであり、Nvidiaの公式の標準スタックではありません。
どのベンダーも五つのガバナンス層すべてを一手に担うわけではありません。セキュリティリーダーはエージェントの意思決定とアイデンティティについて CrowdStrike を、クラウド実行時には Palo Alto Networks を、サプライチェーンの出所 provenance については JFrog を、プロンプト層の検査には Cisco を、プレプロダクション検証には WWT を評価すべきです。以下の監査マトリクスは、それぞれが何をカバーするかを示します。ベンダーへの質問が三つ以上未回答の場合、生産段階のエージェントは統治されていません。
5層ガバナンスフレームワーク
このフレームワークは、5つのベンダーの発表とOWASP Agentic Top 10に基づいています。左の列がガバナンス層、右の列がセキュリティリーダーのベンダーが答えるべき質問です。彼らが答えられない場合、その層は未統治です。
Governance Layer | What To Deploy | Risk If Not | Vendor Question | Who Maps Here |
Agent Decisions | Real-time guardrails on every prompt, response, and action | Poisoned input triggers privileged action | セッション間で状態ドリフトを検出しますか? | CrowdStrike Falcon AIDR, Cisco AI Defense [実行時の適用] |
Local Execution | On-deviceエージェントの挙動モニタリング | ローカルエージェントが保護されていない | エージェントのベースラインはプロセス監視を超えますか? | CrowdStrike Falcon Endpoint [runtime enforcement]; WWT ARMOR [プレプロダクション検証] |
Cloud Ops | クラウド展開全体での実行時強制 | エージェント間の特権昇格 | エージェント間の信頼ポリシーは? | CrowdStrike Falcon Cloud Security [runtime enforcement]; Palo Alto Prisma AIRS [AI Factory認定設計] |
Identity | エージェントごとにスコープされた権限 | 継承された認証情報; 委任で複雑化 | 委任での権限継承ですか? | CrowdStrike Falcon Identity [runtime enforcement]; Palo Alto Networks/CyberArk [アイデンティティガバナンスプラットフォーム] |
Supply Chain | デプロイ前のモデルトラバース + provenance | 改ざんされたモデルが本番環境に到達 | レジストリから実行時までの出所追跡は? | JFrog Agent Skills Registry [プレデプロイ]; CrowdStrike Falcon |
5層ガバナンス監査マトリクス。3つ以上の未回答ベンダー質問は、生産環境のエージェントが統治されていないことを意味します。 [runtime enforcement] = 実行時のインラインコントロール。 [pre-deployment] = アーティファクトが実行時に到達する前に適用されるコントロール。 [pre-prod validation] = 本番展開前の検証用グラウンドテスト。 [AI Factory validated design] = Nvidiaのリファレンスアーキテクチャ統合で、OpenShellローンチ結合ではありません。
CrowdStrikeの Falconプラットフォーム は、Nvidia OpenShellランタイムの4つの異なる執行ポイントに組み込まれています:プロンプト-レスポンス-アクション層のAIDR、DGX SparkとDGX Stationホスト上のFalcon Endpoint、AI-Q Blueprint展開全体のFalcon Cloud Security、エージェント権限境界のFalcon Identity。Palo Alto Networks は Nvidia のAI Factory認定設計内の BlueField DPU ハードウェアレイヤーで適用を強制します。JFrog はレジストリから署名までのアーティファクト供給チェーンを管理します。WWT はプレプロダクションをライブ環境で全スタックの検証を行います。Cisco はプロンプト層で独立したガードレールを提供します。
CrowdStrike と Nvidia は、意図認識型コントロール(intent-aware controls)と呼ぶものも構築しています。その語は重要です。特定のデータに制約されたエージェントはアクセス制御の対象となり、計画ループが挙動のドリフトを監視されるエージェントは統治されています。これらは異なるセキュリティ姿勢であり、それらの間のギャップが、5倍速での4%の誤り率を危険なものにします。
爆発半径の數学がなぜ変わったのか
CrowdStrike の最高事業責任者ダニエル・ベルナードは VentureBeat の独占インタビューで、侵害されたAIエージェントの爆発半径が、侵害された人間の資格情報と比較してどのように見えるかを語りました。
「以前爆発半径について考えうるものはすべて無限といえる」とベルナードは言った。「人間の攻撃者には1日数時間眠る必要がある。しかしエージェント型の世界には、ワークデイという概念はない。常に働くのだ。」
このフレーミングは建築的現実と整合します。盗んだ資格情報を持つ人間の内部関係者は生物学的限界内で動くのに対し、継承された資格情報を持つAIエージェントは、到達可能なすべてのAPI、データベース、下流のエージェントに対して計算速度で動作します。疲労はない。シフトチェンジもない。CrowdStrikeの2026 Global Threat Report は、観測された最速のe 脅迫のブレイクアウトを27秒、平均ブレイクアウト時間を29分と記録しています。エージェント型の敵は平均値を持ちません。止められるまで動き続けます。
VentureBeat がベルナードに 96% の精度という数字と、4% の場合に何が起こるのかを尋ねたとき、彼の回答は宣伝用ではなく運用上のものでした。「誤った判断が下された場合に、正しい判断へ速やかに移れるよう、適切なキルスイッチとフォールセーフを備えること。」この示唆は重いものです。5倍速で96%の精度であれば、通過してしまうエラーは以前よりも5倍速く到達します。監視アーキテクチャは検知速度に合わせて設計されなければなりません。ほとんどのSOCはそれに対応していません。
ベルナードのより広い処方箋:「顧客にとっての機会は、SOCを歴史博物館から自律的な戦闘機へと変えることだ」 average 企業のSOC に入り込み、動作しているものを棚卸してみてください。彼は間違っていません。
エージェントが誤動作した場合のアナリスト監督について、ベルナードは統治線を引きました。「私たちはエージェントをループに保つだけでなく、SOC が通常と異なる挙動を認識した場合に取る行動の人間の関与も維持したい。私たちは同じチームだ。」
全体のベンダースタック
5つのベンダーそれぞれが、他の4つにはない異なる執行ポイントを占めています。CrowdStrike のマトリクスにおけるアーキテクチャ深度は、4つの発表済み OpenShell 統合ポイントを反映しています。セキュリティリーダーは、既存のツールと脅威モデルに基づいてこの5つをすべて検討すべきです。
Cisco は Secure AI Factory with AI Defense を出荷し、Hybrid Mesh Firewall の適用を Nvidia BlueField DPUs に拡張し、OpenShell ランタイムに AI Defense ガードレールを追加しました。複数ベンダー展開では、Cisco AI Defense と Falcon AIDR が並列ガードレールとして動作します。AIDR は OpenShell サンドボックス内で実行を強制し、AI Defense はネットワークの境界で強制します。1つが機能を回避しても、もう一方に影響します。
Palo Alto Networks は Nvidia AI Factory の検証済み設計の一部として Nvidia BlueField DPUs 上の Prisma AIRS を実行します。ハイパーバイザーの下、ホストOSカーネルの外側に位置するネットワークハードウェア層のデータ処理ユニットへ検査をオフロードします。この統合は、厳密な OpenShell ランタイム結合というよりも、検証済みのリファレンスアーキテクチャの組み合わせとして理解するのが最も適切です。Palo Alto はワイヤ上の東西方向のエージェントトラフィックを傍受します。CrowdStrike はランタイム内でエージェントのプロセス挙動を監視します。同じクラウドランタイムの列だが、統合モデルと成熟段階は異なる。
JFrog が エージェントスキル・レジストリ を発表しました。Nvidia の AI-Q アーキテクチャ内の MCP サーバ、モデル、エージェントスキル、およびエージェント向けのバイナリアセットのレコード系統です。Nvidia との初期統合は検証済みで、OpenShell の完全サポートは現在開発中です。JFrog Artifactory は AI スキルの統治済みレジストリとして機能し、エージェントが採用する前にすべてのスキルをスキャン、検証、署名します。これはスタック内で唯一のデプロイ前の強制ポイントです。最高戦略責任者 Gal Marder 氏の言葉を借りれば:「悪意のあるソフトウェアパッケージがアプリケーションを侵害し得るのと同様、検証されていないスキルはエージェントをして有害な行動を取らせることがある」
Worldwide Technology は Advanced Technology Center 内に セキュアAIラボ を立ち上げ、Nvidia AI ファクトリ群と Falcon プラットフォーム上に構築しました。WWT のベンダーにとらわれない ARMOR フレームワーク は、事前生産検証および検証用地としての機能であり、インラインのランタイム制御ではありません。統合スタックが本番データに触れる前に、実運用のAIファクトリ環境での挙動を検証し、制御インタラクション、故障モード、ポリシーの衝突を、インシデントになる前に表出させます。
3つの MDR 指標:実際に何を測っているのか
MDR 側では CrowdStrike は Nvidia Nemotron モデルをファーストパーティの脅威データおよび Falcon Complete の運用 SOC データから微調整しました。内部ベンチマークは調査を5倍高速化、信頼度の高い善性分類におけるトリアージ精度を3倍向上、Falcon LogScale 内での調査クエリ生成の精度を96%と示しています。Kroll は、世界的なリスクアドバイザリおよびマネージドセキュリティ企業で、Falcon Complete を同社の MDR バックボーンとして運用しており、実運用でこの結果を確認しました。
Kroll は Falcon Complete を中立な第三者評価機関としてではなくコア MDR プラットフォームとして運用しているため、彼らの検証は運用上意味はあるが、監査上の独立性はない。業界全体の第三者ベンチマークは、エージェント志向 SOC の精度についてはまだ存在しません。公表された数値は、監査済みではなく示唆的なものと見なしてください。
調査の5倍速は、平均的なエージェント志向の調査時間(8.5分)を、CrowdStrike の内部テストで観測された最長の人間による調査と比較した場合の天井であり、平均値ではありません。3倍のトリアージ精度は、1つの内部モデルを別のモデルと比較したものです。96% の精度は、自然言語で Falcon LogScale の調査クエリを生成することに特化して適用され、全体の脅威検知やアラート分類には適用されません。
JFrog のエージェントスキル・レジストリ は CrowdStrike の4つの執行層の下で動作し、すべてのモデルとスキルを採用前にスキャン・署名・統治します。Nvidia との初期統合は検証済みで、OpenShell の完全サポートは現在開発中です。
すでに展開済みの6社
EY は、グローバル企業向けに CrowdStrike-Nvidia スタックを採用して Agentic SOC サービスを推進 ために選択しました。Nebius は初日から Falcon を統合した AI クラウドを搭載しています。CoreWeave の CISO Jim Higgins は Blueprint の承認に署名しました。Mondelēz North America Regional CISO Emmett Koen は、この能力によりチームが「より高付加価値の対応と意思決定」に集中できると述べました。
MGM Resorts International の CISO Bryan Green は WWT の検証済みテスト環境を支持し、企業には「最初から保護を組み込んだ検証済み環境」が必要だと述べました。これらはベンダー選定とプラットフォーム検証から本番統合までの範囲です。購入者タイプ間での統合は収束しているものの、一様な大規模展開にはなっていません。
5 ベンダーを同時に運用する実際のコスト
ガバナンス・マトリクスはカバレッジの地図であって、実装計画ではありません。五つのエンフォースメント層にわたって5社のベンダーを動かすことは、GTC の発表が触れていなかった実運用上の負荷を導入します。誰がポリシーのオーケストレーションを担うのか?同じプロンプトに対して AIDR と AI Defense が矛盾する verdict を返した場合、どのベンダーのガードレールが勝つのかを決定します。Falcon LogScale、Prisma AIRS、JFrog Artifactory にわたるテレメトリを1つのインシデント・ワークフローに正規化する責任者を決める必要があります。そして、あるベンダーが別のベンダーの執行層の挙動を変えるランタイム更新を出荷した際の変更管理を担う人も必要です。
現実的な段階的ロールアウトは次のようになります:デプロイ前に機能し、他の4層にランタイム依存性のないため、供給網層(JFrog)から始めます。次にアイデンティティ・ガバナンス(Falcon Identity)を追加します。限定的なエージェント認証情報がランタイムを計器化する前に爆発半径を制限するためです。次にエージェントの意思決定層(既存のベンダー構成に応じて Falcon AIDR または Cisco AI Defense)を組み込み、続いてクラウドランタイム、最後にローカル実行。初日から5つを同時に運用することは統合プロジェクトであり、設定作業ではありません。予算をそれに見合った額に設定してください。
次の取締役会に向けてすべきこと
ここで、上記のフレームワークを実行した後、すべての CISO が言えるべきことは次のとおりです。『私たちは5つのガバナンス層に対してすべての自律エージェントを監査しました。現状はこれで、ベンダーに対してこの5つの質問を突き付けています。』今日、それを言えない場合、遅れているからではなく、そもそもスケジュールが存在していなかったという問題です。5つのベンダーが Architectural scaffolding を1つ提供しただけです。
次の取締役会に向けて四つのことを行いましょう:
5層監査を実施する。組織が本番環境またはステージング環境で動かしているすべての自律エージェントを洗い出し、上記5つのガバナンス列に対してマッピングします。回答できるベンダーの質問と、回答できない質問をマークしてください。
未回答の質問を数える。3つ以上ある場合、それは本番環境で統治されていないエージェントを意味します。これが貴社の取締役会の数値です。バックログ項目ではありません。
3つの未解決ギャップを圧力テストする。ベンダーに明確に尋ねてください。MCP 委任チェーン全体でエージェント間信頼をどう扱いますか?永続的エージェントストアのメモリ汚染をどう検出しますか?レジストリスキャンとランタイムロードの暗号的結びつきを示せますか?GTC の5社のベンダーはいずれも完全な回答を持っていません。これは非難ではなく、来年のエージェント型セキュリティを構築する場です。
スケール前に監督モデルを確立する。Bernard は「人とエージェントをループに入れておくこと」が要点だと述べています。5倍速で96%の精度は、人間の検知スピードを想定した SOC が捕らえられるよりも速くエラーが到達します。キルスイッチとフェイルセーフは、エージェントが大規模に動作する前に整備されている必要があり、最初の見落とし breach の後では遅すぎます。
足場は必要です。それだけでは十分ではありません。五層フレームワークを実用的な道具として扱うか、それをベンダーのデックでただ飛ばしてしまうかによって、姿勢を変えるかどうかが決まります。
