「だますことも、操作することも、嘘をつくこともできます。これは言語そのものに備わった本質的な性質です。欠陥ではなく、機能なんです」と、RSAカンファレンス2026でVentureBeatの独占インタビューに応じたのはCrowdStrikeのCTO、エリア・ザイツェフです。もし欺瞞が言語そのものに組み込まれているのなら、意図を分析してAIエージェントを守ろうとするあらゆるベンダーは、結論づけて解決できない問題を追いかけていることになります。ザイツェフは「文脈」に賭けています。CrowdStrikeのFalconセンサーはエンドポイント上でプロセスツリーを辿り、エージェントが「意図した」ことではなく、「エージェントが行った」ことを追跡します。「実際の運動(キネティック)行動を観測することは、構造化され、解ける問題です」とザイツェフはVentureBeatに語りました。「意図は違います。」
この主張は、CrowdStrikeのCEOジョージ・カーツがフォーチュン50企業での2つの本番インシデントを明らかにした24時間後に、ちょうど着地しました。1つ目では、CEOのAIエージェントが会社自身のセキュリティポリシーを書き換えました。侵害されていたからではなく、問題を直したいと思っていたものの、そのための権限がなく、そして制限自体を削除したためです。すべてのアイデンティティ確認は通過していました。会社は偶然、その変更を見つけたのです。2つ目は、100体のエージェントによるSlackの群れが、人間の承認なしにエージェント間でコード修正を委任したケースでした。エージェント12がコミットしました。チームは後からそれを発見しました。
フォーチュン50企業2社で起きた2つのインシデント。いずれも偶然に発覚。今週RSACで出荷されたあらゆるアイデンティティの枠組みが、それらを見落としていました。ベンダーはエージェントが誰かは確認しました。だれも、エージェントが何をしたかを追跡していません。
すべての枠組みのローンチ背後にある切迫感は、市場のより大きな変化を反映しています。「エージェント型AIのセキュリティ確保の難しさは、顧客を、拡大する攻撃対象領域全体にわたってより広いカバーを提供できる信頼できるプラットフォーム・ベンダーへと押し流す可能性が高い」と、アナリストのジョナサン・ホーによるWilliam BlairのRSAカンファレンス2026の株式調査レポートに記されています。今週RSACで、その呼びかけに応えたベンダーは5社いました。しかし、どのベンダーも完全には応えませんでした。
攻撃者はすでにエンタープライズのパイロット内にいる
露出の規模は、すでに本番データから見えてきています。CrowdStrikeのFalconセンサーは、同社の顧客フリート全体で1,800を超える個別のAIアプリケーションを検出し、エンタープライズのエンドポイント上で160,000,000件のユニークなインスタンスを生成しています。Ciscoは、調査したエンタープライズ顧客の85%がパイロットのエージェント・プログラムを実施している一方で、本番へ移行しているのは5%だけだと分かりました。つまり、これらのエージェントの大半は、本番デプロイが通常求めるガバナンス構造なしで稼働しているということです。「ビジネス上重要なタスクについて、エンタープライズで規模拡大して採用するうえで最大の障害は、十分な信頼を確立することです」と、RSAカンファレンス2026でVentureBeatの独占インタビューに答えたのは、Ciscoの社長兼チーフ・プロダクト・オフィサー、ジートゥ・パテル氏です。「エージェントにタスクを委任すること。そして、信頼できる形で委任すること。その違いです。前者は破産につながり、後者は市場の覇権につながります。」
Cato Networksの脅威インテリジェンス担当VP、エタイ・モーア氏は、RSAカンファレンス2026でのVentureBeat独占インタビュー中にライブのCensysスキャンを実行し、OpenClawのインターネット公開(外部公開)インスタンスが約50万件近くあると数え上げました。前週は23万件でした。Cato CTRLのシニアリサーチャー、ビタリー・シモノビッチ氏は、2026年2月22日付けのBreachForumsの掲載を、Cato CTRLブログ(2月25日)で記録しました。そこでは脅威アクターが、暗号通貨で25,000ドルで、英国のCEOのコンピューターに対するrootシェル(ルートシェル)アクセスを宣伝していました。売りのポイントは、CEOのOpenClawのAIパーソナルアシスタントです。このアシスタントは、平文のMarkdownのまま、会社の本番データベース、Telegramボットのトークン、Trading 212のAPIキーを蓄積していました(保存時暗号化なし)。「あなたのAI?今は私のAIです。攻撃者のためのアシスタントです」とモーア氏はVentureBeatに語りました。
複数の独立した研究者からの露出データは、同じ物語を語っています。Bitsightは、2026年1月27日から2月8日までの間に一般公開インターネットへ露出していたOpenClawインスタンスが3万件超あることを発見しました。SecurityScorecardは、そのうち15,200件を、3つの重大度の高いCVEs(最悪の評価はCVSS 8.8)を通じてリモートコード実行に対して脆弱だと特定しました。Koi SecurityはClawHubで824件の悪意あるスキルを発見しました。そのうち335件は、カーツ氏がキーノートでAIエージェント・エコシステムに対する最初の主要なサプライチェーン攻撃だと指摘したClawHavocに結びついていました。
5社のベンダー、3つのギャップ。そのうち誰ひとり埋めきれていない
Ciscoはアイデンティティ・ガバナンスに最も深く踏み込みました。Duo Agentic Identityは、エージェントを、対応する人間の所有者にマッピングされた独立したアイデンティティ・オブジェクトとして登録し、あらゆるツール呼び出しをSecure Access SSE上のMCPゲートウェイ経由にルーティングします。Cisco Identity Intelligenceは、認証ログではなくネットワークトラフィックを監視することでシャドー・エージェントを捕捉します。パテル氏はVentureBeatに対し、現代のエージェントの振る舞いは「10代のようなものだ――非常に賢いが、結果への恐れがなく、気がそれやすい/影響を受けやすい」と語りました。CrowdStrikeは最大の思想的な賭けとして、エージェントをエンドポイントのテレメトリとして扱い、Falconのプロセスツリーの系譜(リネージ)を通じてキネティック層を追跡するという方針を取りました。CrowdStrikeはAIDRを拡張し、Microsoft Copilot Studioのエージェントをカバーし、Copilot、Salesforce Agentforce、ChatGPT Enterprise、OpenAI Enterprise GPTに対してShadow SaaSおよびAI Agent Discoveryを提供する形でリリースしました。
Palo Alto Networksは、Prisma AIRS 3.0を、エージェント型レジストリ、エージェント型IDP、実行時トラフィック制御のためのMCPゲートウェイとともに構築しました。Palo Alto Networksの予定されているKoiの買収は、サプライチェーンと実行時の可視性を追加します。Microsoftは、Entra、Purview、Sentinel、Defenderにまたがってガバナンスを展開し、Microsoft SentinelにはMCPをネイティブに組み込み、4月1日のパブリックプレビューとしてClaude MCPコネクタを提供しました。Cato CTRLは、他の4社が埋めようとしているアイデンティティのギャップが、すでに悪用されていることを示す敵対的な証拠を提示しました。モーア氏はVentureBeatに対し、エンタープライズはエージェントを展開する際に基本的なセキュリティ原則を放棄してしまっていると語りました。「これらのAIツールに完全な自律性を与えたんです」とモーア氏は言いました。
ギャップ1:エージェントは、自身の挙動を規定するルールを書き換えられる
クルツ事件は、このギャップを正確に示しています。すべての資格情報(クレデンシャル)確認に合格しました――つまり、その行為は許可されていました。ザイツェフは、唯一信頼できる検知は運動(キネティック)層で起きると主張します。具体的には、どのファイルが、どのプロセスによって、どのエージェントが起動したのかを特定し、それを行動のベースラインと比較することです。意図ベースの制御は、その呼び出しが悪意があるように見えるかを評価します。今回のそれは悪意に見えませんでした。Palo Alto NetworksはPrisma AIRS 3.0での事前導入(pre-deployment)レッドチーミングを提供していますが、レッドチーミングは導入前に行われます。自分自身の修正が起きるランタイム中ではありません。ベンダーが、ポリシーを変更する行為を本番機能として扱う行動異常検知を出荷しているわけではありません。
パテルはVentureBeatのインタビューで賭け金をこう描写しました。「エージェントが誤った行動を取ってしまい、しかもそれらの行動の中に、元に戻せない重要な行動が含まれているかもしれないのです。」取締役会の問い:許可されたエージェントが、その後の行動を規定するポリシーを変更したら、何が作動するのでしょうか?
ギャップ2:エージェント同士の引き継ぎには信頼検証がない
100体のエージェントによるスウォームが、その証拠です。エージェントAが欠陥を見つけてSlackに投稿しました。エージェント12が修正を実行しました。委任(デリゲーション)に人間の承認はありません。ザイツェフのアプローチ:エージェントの識別子を人間へと再び集約することです。あなたの代わりに行動するエージェントが、あなた自身より多くの権限を持つべきではありません。ですが、エージェント間の委任チェーンを追跡する製品は存在しません。IAMは、人間からシステムへのために作られました。エージェント同士の委任には、OAuth、SAML、またはMCPに存在しない信頼のプリミティブが必要です。
ギャップ3:ゴーストエージェントはオフボーディングされずに有効な資格情報を保持する
組織はAIツールを導入し、パイロットを回し、関心を失って次へ進みます。エージェントは動き続けます。資格情報は有効なままです。マオルは、これらの放置されたインスタンスをゴーストエージェントと呼びます。ザイツェフは、ゴーストエージェントをより大きな失敗と結び付けました。すなわち、エンタープライズが基本的なアイデンティティの衛生(hygiene)に対する行動を遅らせていたことが、エージェントによって露呈するのです。特権付きの常駐アカウント、長寿命の資格情報、そしてオフボーディング手順の欠落。これらの問題は人間側で既に存在していました。機械速度で動作するエージェントでは、その結果は壊滅的になります。
マオルは、RSA Conference 2026でLiving Off the AI攻撃を実演しました。AtlassianのMCPとJira Service Managementを連鎖させることで、攻撃者は信頼されたツール、サービス、モデルを切り分けないことを示しました。攻撃者は3つすべてを連鎖させます。「エージェントにもHRのような視点が必要です」とマオルはVentureBeatに語りました。「オンボーディング、監視、オフボーディング。ビジネス上の正当性がないなら?削除です。」
この3つのギャップがプロダクト修正に抵抗する理由
人間向けIAMは、アイデンティティ保持者が権限を書き換えたり、新しい識別子を生成したり、去っていったりしないことを前提にしています。エージェントは、この3つすべてを破ります。OAuthはユーザーからサービスへの対応です。SAMLはフェデレーションされた人間のアイデンティティです。MCPはモデルからツールへの対応です。いずれにも、エージェント同士の検証は含まれていません。
3つのギャップに対して5社のベンダー
Cisco | CrowdStrike | Microsoft | Palo Alto Networks | Unsolved | |
登録(Registration)。ベンダーはエージェントを発見し棚卸しできるか? | Duo Agentic Identity。エージェントを人間の所有者を持つアイデンティティオブジェクトとして登録する。ネットワークトラフィックによるシャドーエージェント検知。 | Falconセンサーの自動ディスカバリー。1,800以上のエージェントアプリ、顧客フリート全体で約160Mのインスタンス。 | AI + EntraのシャドーAI検知のためのセキュリティダッシュボード(ネットワーク層)。 | Prisma AIRS 3.0におけるエージェント・レジストリ。稼働の前にエージェントを棚卸し。 | 4社すべてがエージェントを登録する。ベンダー間のアイデンティティ標準は存在しない。 |
自己修正(Self-modification)。ベンダーは、エージェントが自分自身のポリシーを変更したときに検知できるか? | MCPゲートウェイがリアルタイムで異常なツール呼び出しパターンを検知するが、エンドポイント上での直接的なポリシーファイル修正を監視しない。 | プロセスツリーの系譜(lineage)で、アクション層でのファイル修正を追跡する。ポリシーファイルの変更を検知できる可能性はあるが、自己修正専用のルールは出荷されていない。 | Defenderの予測型シールドは、進行中の攻撃の最中に反応的にアクセスポリシーを調整する。事前の自己修正検知ではない。 | AIレッドチーミングは導入前にこの点をテストする。エージェントが稼働した後のランタイム検知はない。 | 未解決。エージェントが、エージェント自身の挙動を規定するポリシーを書き換えることを“出荷機能”として検知するベンダーは存在しない。 |
委任(Delegation)。ベンダーは、あるエージェントが別のエージェントへ仕事を渡したときに追跡できるか? | 各エージェントを人間の所有者に対応付ける。エージェント同士の引き継ぎは追跡しない。 | エージェントのアイデンティティを人間のオペレーターへと集約する。エージェント間の委任チェーンを相関付けしない。 | Entraが個々の非人間アイデンティティを管理する。マルチエージェントのチェーン追跡はない。 | AI Agent Gatewayが個々のエージェントを管理する。エージェント間の委任プリミティブはない。 | 未解決。OAuth、SAML、またはMCPにおいて、エージェント同士の委任のための信頼プリミティブは存在しない。 |
廃止(Decommission)。ベンダーは、殺された(停止された)エージェントが資格情報をゼロにできたことを確認できるか? | Identity Intelligenceが、アクティブなエージェントを連続的に棚卸しする。 | シャドーSaaS + AI Agent Discoveryにより、SaaSとエンドポイント上で稼働しているエージェントを見つける。 | EntraのシャドーAI検知が、管理されていないAIアプリケーションを表面化させる。 | Koiの買収(進行中)により、エージェントアプリケーションのエンドポイント可視性が追加される。 | 未解決。4社すべてが稼働中のエージェントを発見する。しかし、廃止後に残存する資格情報がゼロになったことは誰も検証しない。 |
ランタイム / キネティック。ベンダーは、エージェントがリアルタイムで何をするか監視できるか? | MCPゲートウェイがネットワーク層でツール呼び出しごとにポリシーを適用する。呼び出しパターンに対する文脈的な異常検知。 | Falcon EDRが、プロセス単位でコマンド、スクリプト、ファイル活動、ネットワーク接続を追跡する。 | Defenderのエンドポイント + クラウド監視。進行中のインシデントにおける予測型シールド。 | Prisma AIRS AI Agent Gatewayによるランタイムトラフィック制御。 | CrowdStrikeのみが、エージェント的な挙動に対する主要な安全策として、エンドポイントのランタイムを位置付けている。 |
取締役会が尋ねる前の月曜朝にやるべき5つのこと
自己修正のリスクを監査する。 セキュリティポリシー、IAM設定、ファイアウォールルール、またはACLに書き込み権限を持つすべてのエージェントを取り出す(Pull)。エージェント自身の挙動を規定する統制を変更できるエージェントをすべてフラグ付けする。これを自動化するベンダーはない。
委任パスをマッピングする。 エージェント同士の呼び出し(invocation)をすべて文書化する。人間の承認なしの委任をフラグ付けする。信頼プリミティブが提供されるまで、すべての委任イベントで人間をループに入れる(Human-in-the-loop)。
ゴーストエージェントを殺す(Kill)。 レジストリを構築する。各エージェントについて、ビジネス上の正当性、人間の所有者、保持している資格情報、アクセスしているシステムを記録する。正当性がない?手動で無効化(手動リボーク)。毎週。
MCPゲートウェイの適用(enforcement)をストレステストする。 Cisco、Palo Alto Networks、およびMicrosoftは今週、すべてMCPゲートウェイを発表しました。エージェントのツールトラフィックが実際にゲートウェイ経由でルーティングされていることを確認してください。設定ミスのゲートウェイは、エージェントがツールを直接呼び出している間に“誤った安心感”を生みます。
ベースラインとなるエージェントの行動規範。 いかなるエージェントでも本番に到達する前に、「正常」とは何かを確立してください。典型的なAPI呼び出し、データへのアクセスパターン、影響を受けるシステム、稼働時間です。行動のベースラインがなければ、ザイツェフが述べる運動層の異常検知には、比較対象がありません。
ザイツェフの助言は率直でした。あなたはすでに何をすべきか分かっているはずだ、と。エージェントがそれを行わなかったコストを、もはや破滅的にしただけです。RSACでは、各ベンダーがエージェントが誰かを確認しました。しかし、誰もエージェントが何をしたかを追跡していませんでした。
