調整なしで、RSAC 2026の基調講演4本が同じ結論に到達した。マイクロソフトのVasu Jakkalは、ゼロトラストはAIにも広げるべきだと出席者に伝えた。シスコのJeetu Patelは、アクセス制御からアクション制御への転換を求め、VentureBeatとの独占インタビューで述べたところによれば、エージェントは「結果を恐れない、非常に知的な、しかしティーンエイジャーのように振る舞う」そうだ。CrowdStrikeのGeorge Kurtzは、AIガバナンスが企業のテクノロジーにおける最大のギャップだと特定した。SplunkのJohn Morganは、エージェント型の信頼・ガバナンスモデルを求めた。4社。4つの段階。ひとつの問題。
シスコのアイデンティティおよびDuoにおけるプロダクト担当VPのMatt Caulfieldは、RSACで行われたVentureBeatとの独占インタビューで端的に語った。「ゼロトラストという概念は良いのですが、もう一段進める必要があります」。 「それは、認証を一度行ってからエージェントを野放しにする話ではありません。エージェントが取ろうとしているあらゆる行動を、継続的に検証し精査することが重要です。なぜなら、どの瞬間でも、そのエージェントはならず者になり得るからです。」
PwCの2025 AIエージェント調査によれば、すでに79%の組織がAIエージェントを利用している。Gravitee State of AI Agent Security 2026レポート(2026年2月、919組織を対象)では、エージェントの全フリートについて完全なセキュリティ承認を得ていると報告したのは14.4%にとどまった。RSACで提示されたCSAの調査では、AIガバナンス方針を持つのはわずか26%だと分かった。CSAのAgentic Trust Frameworkは、その結果として生じる、導入スピードとセキュリティの準備状況のギャップを「ガバナンス上の緊急事態」と表現している。
RSACにおけるサイバーセキュリティのリーダーや業界幹部は、問題については一致した。だが、その後2社が、その問いに対して異なる形で答えるアーキテクチャを出荷した。両社の設計のギャップが、真のリスクがどこにあるのかを示している。
セキュリティチームが引き継ぐ「モノリシックなエージェント問題」
デフォルトの企業向けエージェントのパターンは、モノリシックなコンテナである。このモデルは、推論し、ツールを呼び出し、生成したコードを実行し、資格情報を1つのプロセスで保持する。すべてのコンポーネントが他のすべてのコンポーネントを信頼する。OAuthトークン、APIキー、gitの資格情報は、エージェントが数秒前に書いたコードを実行するのと同じ環境に置かれている。
プロンプトインジェクションは攻撃者に必要なものをすべて渡す。トークンは持ち出し可能だ。セッションは生成できる。被害範囲はエージェントそのものではない。コンテナ全体と、接続されているすべてのサービスだ。
この状態がどれほど一般的かを、CSAおよびAembitの調査(IT・セキュリティ担当228人)では数値化している。43%がエージェントに共用サービスアカウントを使い、52%がエージェント固有の資格情報ではなくワークロードIDに依存しており、68%はログ上でエージェントの活動と人間の活動を区別できない。AIエージェントのアクセスについて、誰も単独の機能が責任を負っていない。セキュリティは「開発者の責任だ」と言い、開発者は「セキュリティの責任だ」と言った。誰も所有していなかった。
CrowdStrikeのCTOであるElia Zaitsevは、VentureBeatとの独占インタビューで、そのパターンが馴染みに見えるはずだと語った。「エージェントを守るために行うことは、非常に権限の高いユーザーを守るのと見た目がかなり似ています。彼らにはアイデンティティがあり、基盤となるシステムへのアクセスがあり、推論し、行動を起こします」とZaitsevは述べた。「万能の銀の弾丸となる単一の解決策があることは、ほとんどありません。これは多層防御の戦略です。」
CrowdStrikeのCEO George Kurtzは、基調講演の場で、RSACにてClawHavoc(OpenClawのエージェント型フレームワークを狙ったサプライチェーンキャンペーン)を強調した。Koi Securityは、2026年2月1日にこのキャンペーンに名前を付けた。Antiy CERTは、複数の 独立したキャンペーン分析に基づき、12のパブリッシャーアカウントに紐づく1,184件の悪意あるスキルを確認したと報告した。SnykのToxicSkillsリサーチでは、スキャンされた3,984件のClawHubスキルのうち36.8%が、深刻度のいかんにかかわらずセキュリティ上の欠陥を含んでおり、そのうち13.4%は重大(critical)と評価されていた。平均のブレイクアウト時間は29分まで低下している。最速観測は27秒。(CrowdStrike 2026 Global Threat Report)
Anthropicが「脳」と「手」を分離する
4月8日に一般公開ベータとして発表されたAnthropicのManaged Agentsは、すべてのエージェントを互いに信頼しない3つのコンポーネントに分割した。脳(Claudeと、その判断をルーティングするハーネス)、手(コードが実行される使い捨てのLinuxコンテナ)、そしてセッション(両者の外側にある追記専用のイベントログ)である。
指示と実行を分けるのは、ソフトウェアにおける最も古いパターンの一つだ。マイクロサービス、サーバレス関数、メッセージキューなど。
資格情報は決してサンドボックスに入らない。AnthropicはOAuthトークンを外部のボールトに保存する。エージェントがMCPツールを呼び出す必要があるときは、セッションに紐づいたトークンを専用プロキシへ送る。プロキシはボールトから実際の資格情報を取得し、外部呼び出しを行い、その結果を返す。エージェントは実際のトークンを目にすることはない。Gitトークンは、サンドボックスの初期化時にローカルのリモートに接続される。プッシュとプルは、エージェントが資格情報に触れなくても動作する。セキュリティ担当役員の観点では、侵害されたサンドボックスからは、攻撃者が再利用できるものが何も得られないということを意味する。
このセキュリティ上の利得は、パフォーマンス改善の副産物としてもたらされた。Anthropicは、推論がコンテナの起動前に開始できるように、脳と手を切り離した。最初のトークンまでの中央値 は約60%低下した。ゼロトラスト設計もまた、最速の設計である。これにより、セキュリティがレイテンシを追加するという企業側の懸念が潰れる。
セッションの耐久性は、3つ目の構造的な利得だ。モノリシックなパターンでは、コンテナがクラッシュすると状態が完全に失われる。Managed Agentsでは、セッションのログが脳と手の両方の外側に永続化される。ハーネスがクラッシュしても、新しいものが起動してイベントログを読み取り、再開する。状態を失わないことは、時間の経過とともに生産性の向上へとつながる。Managed Agentsには、Claude Consoleを通じたビルトインのセッショントレースが含まれている。
料金:アクティブ実行の1セッションあたり$0.08(アイドル時間は除外)に加えて、標準的なAPIトークンコスト。セキュリティ担当役員は、セッションあたりのエージェント侵害コストを、アーキテクチャ上の統制コストと照らし合わせて見積もれるようになった。
Nvidiaはサンドボックスを封鎖し、その中のすべてを監視する
NvidiaのNemoClawは、3月16日に早期プレビューとしてリリースされたもので、真逆のアプローチを取る。エージェントを実行環境から切り離さないのだ。エージェント全体を4層に積み重ねたセキュリティ層で包み込み、あらゆる動きを監視する。執筆時点で、ゼロトラストのエージェント・アーキテクチャを公開の形で出荷しているのはAnthropicとNvidiaの2社だけで、ほかは開発中だ。
NemoClawは、エージェントとホストの間に5つの強制(enforcement)レイヤーを積み上げる。サンドボックス化された実行では、カーネルレベルでLandlock、seccomp、ネットワーク名前空間の分離が使われる。デフォルト拒否のアウトバウンド・ネットワークにより、あらゆる外部接続は、オペレーターの明示的な承認を経由しなければならない。これはYAMLベースのポリシーによって実現される。アクセスは最小権限で実行される。プライバシー・ルーターは、機密性の高い問い合わせをローカルで稼働するNemotronモデルへ振り向け、トークンコストとデータ漏えいをゼロにまで削減する。セキュリティチームにとって最も重要なのは、意図(インテント)の検証レイヤーだ。OpenShellのポリシーエンジンが、エージェントのあらゆるアクションをホストに触れる前に横取りする。NemoClawを評価する組織側のトレードオフは明快だ。より強い実行時可視性は、より多くのオペレーター体制コストを要する。
エージェントは、自分がNemoClawの中にいることを知らない。ポリシー内のアクションは通常どおり返ってくる。ポリシー外のアクションは、設定可能な拒否が適用される。
可観測性(Observability)が最も強いレイヤーだ。リアルタイムのターミナル・ユーザー・インターフェース(TUI)が、すべてのアクション、すべてのネットワーク要求、すべてのブロックされた接続を記録する。監査証跡は完全だ。問題はコストである。オペレーターの負荷はエージェントの活動に対して線形に増える。新しいエンドポイントが増えるたびに手作業の承認が必要になる。観察の品質は高い。自律性は低い。この比率は、数十のエージェントを稼働させる本番環境では、すぐに高くつく。
耐久性(Durability)こそ、誰もが語っていないギャップだ。エージェントの状態は、サンドボックス内のファイルとして保持される。サンドボックスが失敗すれば、状態も同じ運命をたどる。外部のセッション復旧メカニズムは存在しない。長時間稼働するエージェントのタスクには、セキュリティチームが本番運用に踏み込む前に、展開計画へ織り込んで価格付けすべき耐久性リスクが伴う。
資格情報(クレデンシャル)の近接ギャップ
両方のアーキテクチャは、モノリシックなデフォルトからの大きな前進だ。分岐点となる、セキュリティチームにとって最も重要な問いはこうだ。クレデンシャルは、実行環境のどれほど近くに置かれているのか?
Anthropicはクレデンシャルを、爆発半径(blast radius)の外に完全に取り除く。攻撃者がプロンプトインジェクションによってサンドボックスを侵害したとしても、使い捨てのコンテナが手に入るだけで、トークンもなく、永続的な状態もない。クレデンシャルの持ち出し(エクスフィルトレーション)には、2ホップの攻撃が必要になる。まず推論(ブレイン)の働きを操作し、次に、盗む価値のないものを一切保持していないコンテナ経由でそれを行動させること。単一ホップの持ち出しは、構造的に排除されている。
NemoClawは爆発半径を抑え、その中のあらゆるアクションを監視する。4つのセキュリティ層が、横方向への移動(ラテラルムーブメント)を制限する。デフォルト拒否のネットワークは、未承認の接続をブロックする。だが、エージェントと生成されるコードは同じサンドボックスを共有している。Nvidiaのプライバシー・ルーターは、推論のためのクレデンシャルをホスト側に保持し、サンドボックスの外に置く。とはいえ、メッセージングおよび統合トークン(Telegram、Slack、Discord)は、実行時の環境変数としてサンドボックスに注入される。推論APIキーは、プライバシー・ルーターを介してプロキシされ、サンドボックスへ直接渡されるわけではない。露出(エクスポージャー)は、クレデンシャルの種類によって異なる。クレデンシャルは構造的に除去されるのではなく、ポリシーによって制御される。
この違いが最も重要になるのは、間接プロンプトインジェクションだ。攻撃者が、エージェントが正当な作業の一部として問い合わせるコンテンツに命令を埋め込む状況を指す。汚染されたWebページ。操作されたAPIレスポンス。意図検証レイヤーは、外部ツールから返されたデータの内容ではなく、エージェントが提案する実行内容を評価する。注入された命令は、信頼できるコンテキストとして推論の連鎖に入ってくる。つまり、実行への近接性がある。
Anthropicのアーキテクチャでは、間接インジェクションは推論に影響を与え得るが、クレデンシャル・ボールトには到達できない。NemoClawのアーキテクチャでは、注入されたコンテキストが、共有サンドボックス内で、推論と実行の両方の隣に置かれる。両者のデザインのうち、この点が最大の開きだ。
NCC GroupのDavid Brauchler(テクニカルディレクター兼AI/MLセキュリティ部門責任者)は、ゲーティド(gated)なエージェント・アーキテクチャを支持している。それは信頼セグメンテーションの原則に基づいて構築され、AIシステムが処理するデータの信頼レベルを引き継ぐ。信頼できない入力には、制限された機能を。AnthropicもNvidiaも、この方向へ進んでいる。しかし、どちらも完全には到達していない。
AIエージェント向けゼロトラスト・アーキテクチャ監査
監査のグリッドは、6つのセキュリティ次元にまたがって、ベンダーの3つのパターンを対象にする。1行につき5つのアクションがあり、それらを5つの優先事項に要約できる:
モノリシック・パターンについて、配備済みのすべてのエージェントを監査する。 実行環境にOAuthトークンを保持しているエージェントをすべてフラグ付けする。CSAデータによれば、43%が共通のサービスアカウントを使用している。これらが最初のターゲットになる。
エージェントの配備に関するRFPでは、クレデンシャルの隔離を要求する。 ベンダーがクレデンシャルを構造的に除去するのか、それともポリシーでゲートするのかを明記する。どちらもリスクを低減する。ただし、失敗モードが異なり、低減量も異なる。
本番前にセッション復旧をテストする。 タスクの途中でサンドボックスを殺す(停止させる)。状態が生き残ることを確認する。生き残らなければ、長期的な作業には、タスク期間とともに増幅していくデータ損失リスクが伴う。
可観測性モデルの要員を確保する。 Anthropicのコンソール・トレースは、既存の可観測性ワークフローに統合される。NemoClawのTUIは、オペレーターをループに入れる(human-in-the-loop/ operator-in-the-loop)必要がある。必要な人員の計算は異なる。
間接プロンプトインジェクションのロードマップを追跡する。 いずれのアーキテクチャも、このベクトルを完全には解決できていない。Anthropicは成功したインジェクションの爆発半径を制限する。NemoClawは悪意のある提案アクションを捕捉するが、悪意のある返却データは捕捉できない。 この特定のギャップについて、ベンダーのロードマップ上のコミットメントを要求せよ。
AIエージェントに対するゼロトラストは、2つのアーキテクチャが出荷された瞬間に、もはや研究トピックではなくなった。モノリシックなデフォルトは負債である。配備のスピードとセキュリティ承認の間にある65ポイントのギャップこそが、次のクラスの侵害が始まる場所だ。
