Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える

大企業の85%がAIエージェントを試験導入中——しかし本番環境に移行できているのはわずか5%。RSA Conference 2026の基調講演でCiscoが明かしたこの数字は、AIエージェント時代における最大のボトルネックが「セキュリティへの不安」であることを示しています。

その課題を正面から解決するために、CiscoがApache 2.0ライセンスでオープンソース公開したのがDefenseClawです。AIエージェントのスキルを実行前にスキャンし、MCPサーバーを検証し、ランタイムで挙動を監視する——「エージェントを絶対に信用しない」Zero Trustの思想を、開発者が今すぐ使えるツールキットとして提供します。

NVIDIAのOpenClawとの統合、Splunk連携、AWS・Google Cloud・Azureの主要エージェントフレームワーク対応と、エンタープライズが求める要件を広くカバーしています。本記事では、DefenseClawの技術的な仕組みからアーキテクチャ、競合比較、日本企業への示唆までを詳しく解説します。

DefenseClawとは何か

DefenseClawは、AIエージェントのライフサイクル全体にセキュリティを組み込むためのオープンソースフレームワークです。従来のWebアプリケーションファイアウォール（WAF）やAPI Gatewayが「リクエスト-レスポンス」型の通信を保護するのに対し、DefenseClawは「エージェントがどんなスキルを持ち、何を実行しようとしているか」というエージェント固有の脅威モデルに対応します。

なぜAIエージェントに専用のセキュリティが必要なのか

従来のソフトウェアとAIエージェントには、セキュリティ上の決定的な違いがあります。

従来のソフトウェアは、開発者が書いたコードの通りに動きます。入力値のバリデーション、認証・認可の仕組みをコードレベルで実装すれば、想定外の挙動は発生しにくい設計が可能です。

一方、AIエージェントはLLM（大規模言語モデル）の推論に基づいて自律的に行動を決定します。どのツールをどの順序で呼ぶか、どんなデータにアクセスするかは、実行時のコンテキストによって変わります。これは「プロンプトインジェクション」「ツール汚染」「権限エスカレーション」といった、従来のセキュリティモデルでは想定されていなかった攻撃ベクトルを生み出します。

具体的には以下のようなリスクがあります。

プロンプトインジェクション: 悪意ある指示をエージェントに注入し、本来の動作を改ざんする
MCPサーバーの改ざん: エージェントが接続するMCPサーバーが侵害され、不正なツールやデータを返す
認証情報の漏洩: エージェントのコードやプロンプトにハードコードされたAPIキー・トークンが外部に流出
過剰な権限: 最小権限の原則が適用されず、エージェントが本来不要なリソースにアクセスできてしまう
監査不能: エージェントがどのツールをいつ呼んだかのログが取れず、インシデント時の原因特定が困難

DefenseClawは、これらのリスクに対して「登録→スキャン→解析→実行→監視」という多層防御のアプローチを提供します。

DefenseClawの5つのコア機能

DefenseClawは以下の5つの主要機能で構成されています。

1. Skills Scanner

AIエージェントが持つ「スキル」（外部API呼び出し、ファイル操作、データベースクエリなど）を、実行前に自動スキャンします。スキルの定義ファイルを解析し、以下の観点でリスク評価を行います。

スキルが要求する権限のスコープ
外部エンドポイントへの接続先の安全性
データの入出力パターンにおける情報漏洩リスク

スキャン結果はリスクスコア付きのレポートとして出力され、一定のスコアを超えるスキルは自動的にブロックまたは人間の承認を要求する設定が可能です。

2. MCP Scanner

**MCP（Model Context Protocol）**は、AIエージェントが外部ツールやデータソースに接続するための標準プロトコルとして急速に普及しています。しかし、MCPサーバーの信頼性を検証する仕組みは十分に整備されていませんでした。

MCP Scannerは、エージェントが接続しようとするMCPサーバーの安全性を事前に検証します。具体的には以下をチェックします。

MCPサーバーの証明書・署名の正当性
提供されるツール定義が既知の安全なスキーマに合致するか
レスポンスに不審なコードやプロンプトインジェクション要素が含まれていないか

3. AI BoM（AI Bill of Materials）

ソフトウェアの世界ではSBOM（Software Bill of Materials）が一般化しつつありますが、AI BoMはそのAIエージェント版です。エージェントが使用する以下のアセットを自動的にインベントリ化します。

使用しているLLMモデル（バージョン含む）
プロンプトテンプレート
接続しているツールとMCPサーバー
データソースとアクセス権限
依存ライブラリ

これにより、あるLLMモデルに脆弱性が発見された場合、影響を受けるエージェントを即座に特定できます。

4. CodeGuard

エージェントのコードとプロンプトに対する静的解析エンジンです。以下のパターンを検出します。

認証情報のハードコード: APIキー、トークン、パスワードの直書き
危険な実行パターン: eval()、exec()などの動的コード実行
SQLインジェクション脆弱性: エージェントが生成するクエリの安全性
プロンプトインジェクション耐性: プロンプト内のユーザー入力が適切にサニタイズされているか

CodeGuardはCI/CDパイプラインに組み込んで使用することを想定しており、GitHub CopilotなどのAIコーディングツールで生成されたエージェントコードの品質チェックにも活用できます。

5. Runtime Inspection

エージェントの実行中にリアルタイムで挙動を監視する機能です。2つのサブモジュールから構成されます。

メッセージ検査: エージェントとLLM間、エージェントとツール間のメッセージをインターセプトし、不審なパターンを検出
ツール検査: エージェントが実際に呼び出したツールと、事前に許可されたツールリストを照合し、未許可のツール呼び出しをブロック

アーキテクチャ: 3コンポーネント構成

DefenseClawは、役割の異なる3つのコンポーネントで構成されています。

以下の図は、DefenseClawのアーキテクチャ全体像を示しています。CLI、Gateway、Pluginの3コンポーネントがどのように連携し、外部のSIEMやAIエージェントフレームワークと統合されるかを視覚的に表現しています。

DefenseClawアーキテクチャ全体像（CLI・Gateway・Plugin構成とNVIDIA OpenClaw統合、SIEM連携、対応フレームワーク）

CLI（Python）

開発者が日常的に操作するコマンドラインインターフェースです。Pythonで実装されており、pip install defenseclawで導入できます。Skills ScannerとMCP Scannerはこのレイヤーで動作し、開発フェーズでのセキュリティチェックを担当します。

# スキルのスキャン
defenseclaw scan skills ./agent-config.yaml

# MCPサーバーの検証
defenseclaw scan mcp https://mcp-server.example.com

# AI BoMの生成
defenseclaw bom generate --output ai-bom.json

Gateway（Go）

エージェントと外部サービスの間に配置されるプロキシ的なコンポーネントです。Go言語で実装されており、高い並行処理性能を持ちます。CodeGuardの静的解析エンジン、AI BoMの管理、Zero Trust Policy Engineがここで動作します。

Dockerコンテナとして提供されるため、Kubernetes環境へのデプロイが容易です。

# Gatewayの起動
docker run -d -p 8443:8443 \
  -v ./policies:/etc/defenseclaw/policies \
  cisco/defenseclaw-gateway:latest

Plugin（TypeScript）

TypeScriptで実装されたランタイム検査プラグインです。エージェントフレームワーク（LangChain、AWS Bedrock AgentCoreなど）にミドルウェアとして組み込み、実行時のメッセージ検査とツール検査を行います。

import { DefenseClawPlugin } from '@cisco/defenseclaw-plugin';

const plugin = new DefenseClawPlugin({
  gateway: 'https://gateway.defenseclaw.local:8443',
  policy: 'strict',
});

// LangChainエージェントに組み込む例
const agent = createAgent({
  middleware: [plugin.inspect()],
});

Zero Trust for Agents

DefenseClawの設計思想の根幹にあるのが「Zero Trust for Agents」です。ネットワークセキュリティにおけるZero Trust（ゼロトラスト）がユーザーとデバイスを信用しないのと同じように、AIエージェントも「信用しない」前提でセキュリティを構築します。

エージェントIDの管理

すべてのAIエージェントに一意のIDを付与し、人間の所有者（オーナー）に紐付けます。エージェントが何かアクションを起こすとき、「このエージェントは誰が管理しているのか」を常に追跡できる状態を維持します。

時限付き権限

エージェントに付与される権限はすべて有効期限付きです。たとえば「データベースへの読み取りアクセスを30分間許可」といった粒度で設定でき、タスク完了後は自動的に権限が失効します。これにより、エージェントが侵害された場合の被害範囲を時間的に限定できます。

最小権限の原則

エージェントが必要とする最小限の権限のみを動的に付与します。従来のロールベースアクセス制御（RBAC）では粒度が粗くなりがちですが、DefenseClawではタスク単位で権限を細かく制御できます。

以下の図は、AIエージェントがDefenseClawによって保護されるセキュリティライフサイクルの全体像を示しています。スキル登録から事前スキャン、静的解析、サンドボックス実行、ランタイム監視までの5つのフェーズを経ることで、多層防御を実現しています。

AIエージェントのセキュリティライフサイクル（5フェーズ: 登録→スキャン→解析→サンドボックス→監視、AI BoMとZero Trustレイヤー）

NVIDIA OpenClawとの統合

DefenseClawは、NVIDIAが開発するOpenClawフレームワークと統合されています。OpenClawはAIエージェントのツール実行を安全にサンドボックス化するレイヤーを提供しており、DefenseClawのGatewayからOpenClawのサンドボックスAPIを呼び出すことで、エージェントのツール実行をハードウェアレベルで隔離します。

この統合により、たとえばエージェントがファイルシステムにアクセスするツールを呼び出した場合、OpenClawのサンドボックス内で実行され、ホストOSのファイルシステムには一切影響を与えません。NVIDIAのGPUアクセラレーションを活用した高速なサンドボックス起動（数十ミリ秒）も大きな特徴です。

SIEM連携と可観測性

エンタープライズ環境で必須となるのが、既存のセキュリティ監視基盤との統合です。DefenseClawは以下の2つの方式でログとテレメトリを外部に送信します。

Splunk HEC（HTTP Event Collector）: Splunkへの直接送信に対応。エージェントのアクション、ポリシー違反、異常検知イベントをリアルタイムに可視化
OTLP（OpenTelemetry Protocol）Export: OpenTelemetry標準に準拠したエクスポーターにより、Grafana、Datadog、New Relicなど任意の可観測性プラットフォームと連携

AIエージェントセキュリティツール比較

DefenseClawの登場により、AIエージェントセキュリティの選択肢が広がっています。主要なツールを比較してみましょう。

特徴	Cisco DefenseClaw	Armadin	Protect AI	Lasso Security
ライセンス	Apache 2.0 (OSS)	商用	商用 + OSS一部	商用
対象	AIエージェント全般	SOC自動化	MLモデル全般	LLMアプリ
スキルスキャン	あり	なし	なし	なし
MCPサーバー検証	あり	なし	なし	なし
AI BoM	あり	なし	あり (ML BoM)	なし
ランタイム監視	あり	あり	限定的	あり
SIEM連携	Splunk HEC / OTLP	独自ダッシュボード	SIEM対応	SIEM対応
Zero Trust	ネイティブ対応	部分的	なし	なし
対応フレームワーク	Bedrock / Vertex / Azure / LangChain	独自エージェント	主要MLフレームワーク	LangChain / OpenAI
NVIDIA統合	OpenClaw連携	なし	なし	なし
価格	無料 (OSS)	要問い合わせ	Freemium	要問い合わせ

DefenseClawの最大の差別化要因は、完全なオープンソースでありながら、MCPスキャンやAI BoMといったエージェント特有のセキュリティ機能を備えている点です。商用ツールの多くがLLMの入出力監視に特化しているのに対し、DefenseClawはエージェントのライフサイクル全体をカバーしています。

対応フレームワークとエコシステム

DefenseClawは主要なAIエージェントフレームワークとの互換性を確保しています。

AWS Bedrock AgentCore: AWSのマネージドエージェントサービスとネイティブ統合。IAMポリシーとDefenseClawのZero Trustポリシーを連携
Google Vertex Agent Builder: Google Cloudのエージェント構築プラットフォームにプラグインとして導入可能
Azure AI Foundry: MicrosoftのAI開発環境との統合。Azure Active DirectoryとのエージェントID連携をサポート
LangChain: 最も広く使われているオープンソースエージェントフレームワーク。ミドルウェアとしてシームレスに組み込み可能

この幅広い対応は、企業がマルチクラウド環境でAIエージェントを運用する際に大きなメリットとなります。

Ciscoの調査データが示す現実

Ciscoの調査によると、企業のAIエージェント導入の現状は以下の通りです。

**85%**の大企業がAIエージェントの試験導入を進めている
しかし本番環境への移行に成功しているのはわずか5%
試験から本番への移行を阻む最大の障壁は「セキュリティとガバナンスの不備」

この85% vs 5%の断絶は、技術的にはAIエージェントが十分に実用的なレベルに達しているにもかかわらず、セキュリティ面の課題が解決されていないために本番投入に踏み切れない企業が大多数であることを示しています。

DefenseClawは、まさにこの断絶を埋めるためのツールとして設計されています。オープンソースとすることで、POC（概念実証）段階から本番環境まで一貫したセキュリティフレームワークを追加コストなしで導入できます。

日本企業にとっての意味

AIエージェント導入のハードルが下がる

日本の大企業では、セキュリティ審査の厳格さからAIエージェントの導入が特に慎重に進められています。DefenseClawがApache 2.0ライセンスで提供されることは、以下の点で日本企業にとって大きな意味を持ちます。

まず、商用ライセンスの調達手続きが不要です。日本の大企業ではソフトウェア調達に数か月を要することも珍しくありませんが、OSSであればその障壁がなくなります。次に、ソースコードの監査が可能な点が重要です。セキュリティ製品自体のソースコードを自社で検証できることは、金融業や官公庁など高いセキュリティ要件を持つ組織にとって大きなメリットです。

MCP標準への対応

日本でもMCPプロトコルの採用が急速に進んでいますが、MCPサーバーのセキュリティ検証ツールは事実上存在しませんでした。DefenseClawのMCP Scannerは、MCP採用を検討する日本企業にとって「安心してMCPを使える」ための重要なピースとなります。

SIEM連携によるコンプライアンス対応

日本の金融庁ガイドラインや個人情報保護法の改正により、AIシステムの監査可能性の要件が高まっています。DefenseClawのAI BoMとSIEM連携は、監査証跡の自動生成という形でこれらのコンプライアンス要件に対応します。

課題と留意点

一方で、日本企業がDefenseClawを導入する際にはいくつかの課題もあります。DefenseClawのドキュメントやコミュニティサポートは現時点で英語中心です。日本語ドキュメントの整備やコミュニティの形成が進むまでは、英語リソースに対応できるチームが必要になるでしょう。

また、Ciscoの既存セキュリティ製品（Cisco SecureX等）との連携は当然強力ですが、日本企業が多く採用している国産SIEMやセキュリティ製品との連携は、コミュニティによるプラグイン開発を待つ必要があるかもしれません。

まとめ: 今すぐできるアクションステップ

GitHubリポジトリをチェック: DefenseClawのリポジトリをcloneし、README.mdとアーキテクチャドキュメントを精読する。Apache 2.0ライセンスなので、商用利用の制約を気にせず試用できる
CLIをインストールして既存エージェントをスキャン: まずはpip install defenseclawでCLIを導入し、自社で開発中のAIエージェントに対してSkills ScannerとCodeGuardを実行する。これだけで認証情報のハードコードや過剰な権限の設定を発見できる
MCPサーバーの検証をCI/CDに組み込む: MCPプロトコルを採用している場合、MCP ScannerをGitHub ActionsなどのCIパイプラインに統合し、MCPサーバーの変更時に自動検証を実施する体制を構築する
AI BoMの生成を開始: 自社で運用するAIエージェントの「部品表」を自動生成し、使用モデルやツールの棚卸しを行う。将来的なコンプライアンス対応の基盤となる
SIEM連携の設計を開始: 既存のSplunkやOpenTelemetry基盤がある場合、DefenseClaw GatewayからのログエクスポートをPoC環境で試す。エージェントの挙動をリアルタイムで可視化することで、本番移行の判断材料が得られる

AIエージェントの本格普及に向けて、セキュリティは避けて通れない課題です。DefenseClawは、Ciscoの技術力とオープンソースコミュニティの力を組み合わせることで、その課題に正面から取り組む意欲的なプロジェクトです。「85%が試験導入中だが本番移行はわずか5%」という現実を変えるカギが、ここにあるかもしれません。