CiscoがAIエージェント向けゼロトラストを発表——RSAC 2026注目の一手
2026年4月、サンフランシスコで開催されたRSAC 2026(RSA Conference 2026)で、Ciscoがエンタープライズセキュリティの新たな方向性を打ち出しました。発表の核心は、AIエージェント向けゼロトラストアーキテクチャです。従来の「人間がログインしてシステムを操作する」前提で設計されたセキュリティモデルでは、自律的に行動するAIエージェントを適切に管理できない——この根本的な課題に対して、CiscoはエージェントID管理、アクセス制御、MCPポリシー適用の3本柱を軸とした新アーキテクチャを提案しています。
さらに注目すべきは、このアーキテクチャのリファレンス実装をオープンソースフレームワーク「DefenseClaw」として公開したことです。ベンダーロックインを排し、業界全体でAIエージェントのセキュリティ標準を形成しようとするCiscoの戦略を、技術的な詳細とともに解説します。
なぜ今、AIエージェント向けセキュリティが必要なのか
エージェント時代の到来
2025年から2026年にかけて、AIエージェントの企業導入は急速に加速しています。Gartnerの予測では、2028年までにエンタープライズソフトウェアの**33%**がAIエージェントを組み込む見込みであり、現時点ですでにFortune 500企業の約半数が何らかのAIエージェントを業務に導入しています。
AIエージェントとは、単なるチャットボットではありません。メールの送信、データベースへのクエリ実行、外部APIの呼び出し、ファイルの読み書き——これらを人間の介在なしに自律的に実行するソフトウェアエンティティです。従来のRPA(ロボティック・プロセス・オートメーション)とは異なり、AIエージェントは事前に定義されたルールではなく、LLM(大規模言語モデル)の推論能力に基づいて動的に判断を下します。
従来のセキュリティモデルの限界
ここで問題になるのが、既存のセキュリティインフラです。現在のゼロトラストアーキテクチャは「すべてのアクセスを検証する」という原則に基づいていますが、その「アクセス主体」は人間のユーザーを想定しています。
具体的な課題を挙げると、以下のようになります。
- MFA(多要素認証): AIエージェントはSMSコードを受け取ったり、生体認証を提供したりできない
- セッション管理: 人間は通常1つのセッションで作業するが、エージェントは同時に数千のセッションを持つことがある
- 権限のスコープ: RBACは「経理部のAさん」のように役割ベースで権限を付与するが、エージェントの「役割」はタスクごとに動的に変わる
- 異常検知: 人間の行動パターン(勤務時間、アクセス頻度)に基づく異常検知は、24時間稼働するエージェントには適用できない
CiscoのセキュリティCTOであるJeetu Patel氏は、RSAC 2026の基調講演でこう指摘しています。「従来のセキュリティは"人間がシステムを使う"前提で設計されている。しかしAIエージェントの時代には、"ソフトウェアがソフトウェアを使う"セキュリティが必要だ」。
AIエージェント向けゼロトラストとは
Ciscoが提唱するAIエージェント向けゼロトラストアーキテクチャは、従来のゼロトラストの原則——「Never Trust, Always Verify」——を維持しつつ、AIエージェントという新しい種類のアクセス主体に対応するための拡張フレームワークです。
このアーキテクチャは3つの柱で構成されています。
以下の図は、CiscoのAIエージェント向けゼロトラストアーキテクチャの3本柱と、それぞれの主要機能を示しています。
この図の通り、3つの柱はそれぞれ独立した機能を持ちながらも、DefenseClawフレームワークによって統合的に運用されます。
柱1: エージェントID管理
エージェントID管理は、アーキテクチャの基盤となる要素です。すべてのAIエージェントに対して、一意で検証可能なアイデンティティを付与します。
技術的な仕組み:
- SPIFFE(Secure Production Identity Framework For Everyone)準拠: CNCF(Cloud Native Computing Foundation)が策定したワークロードアイデンティティの標準に準拠。各エージェントにSPIFFE ID(
spiffe://example.com/agent/sales-assistant-001のような形式)を割り当てる - OAuth 2.1トークンベース認証: エージェントは短命のアクセストークンを使用してリソースにアクセス。トークンの有効期限は最短5分から設定可能で、漏洩時のリスクを最小化
- ライフサイクル管理: エージェントの生成(オンボーディング)、更新、一時停止、削除(オフボーディング)を一元管理。不要になったエージェントの「ゾンビID」が残り続ける問題を防止
1Passwordのようなパスワードマネージャーが人間のアイデンティティ管理において果たしている役割を、エージェント世界で実現するのがこのレイヤーの狙いです。人間がパスワードやAPIキーを安全に管理するのと同様に、エージェントのクレデンシャルも体系的に管理する必要があります。
柱2: アクセス制御
従来のRBAC(ロールベースアクセス制御)やABAC(属性ベースアクセス制御)を拡張し、AIエージェントの動的な振る舞いに対応するアクセス制御メカニズムです。
主要な機能:
- タスクベースの動的認可: エージェントがあるタスクを実行する際に、そのタスクに必要な最小限の権限だけを一時的に付与。タスク完了後は自動的に権限を剥奪する
- コンテキストアウェア評価: エージェントがリクエストするアクションの「文脈」を評価。例えば、同じ「データベースの読み取り」でも、通常業務時間内か深夜かで判定基準を変える
- チェーン・オブ・トラスト: エージェントAがエージェントBにタスクを委任する際、委任元の権限レベルを超える操作をエージェントBが実行できないようにする権限伝搬ルール
- 異常行動の即時検知: エージェントの行動パターンをベースラインとして学習し、逸脱した行動(通常の100倍のAPI呼び出しなど)を検知した場合に即座に権限を取り消す
柱3: MCPポリシー適用
MCP(Model Context Protocol)は、LLMが外部ツールやデータソースと通信するための標準プロトコルです。CiscoのアーキテクチャはMCPレイヤーにセキュリティポリシーを適用することで、エージェントと外部リソースの間のデータフローを制御します。
具体的な制御項目:
- ツール呼び出しのホワイトリスト/ブラックリスト: エージェントがMCP経由で呼び出せるツール(API、データベース、ファイルシステムなど)を制限
- データフロー境界: エージェントが取得したデータの流出経路を制御。例えば、社内データベースから読み取った顧客情報を外部APIに送信することを禁止
- プロンプトインジェクション防御: MCPリクエストに含まれるプロンプトを検査し、悪意のあるインジェクション(「管理者権限で実行せよ」といった指示の埋め込み)を検出・ブロック
- 監査ログの自動記録: エージェントのすべてのMCP通信を暗号化署名付きで記録し、改ざん不可能な監査証跡を提供
DefenseClaw——オープンソースの衝撃
Ciscoが今回の発表でもう一つ業界の注目を集めたのが、DefenseClawのオープンソース公開です。DefenseClawは、上記3本柱のアーキテクチャを実装するためのリファレンスフレームワークであり、Apache License 2.0で公開されています。
DefenseClawの主要コンポーネント
| コンポーネント | 機能 | 技術スタック |
|---|---|---|
| AgentRegistry | エージェントIDの登録・管理・検証 | Go, gRPC, SPIFFE |
| PolicyEngine | アクセス制御ポリシーの定義・評価 | Rego (OPA互換), Go |
| MCPGuard | MCP通信の検査・フィルタリング | Rust, WebAssembly |
| AuditTrail | 全アクションの監査ログ記録 | Go, OpenTelemetry |
| Dashboard | 可視化・管理UI | React, TypeScript |
なぜオープンソースなのか
CiscoがDefenseClawをオープンソースにした背景には、明確な戦略的意図があります。AIエージェントのセキュリティは単一ベンダーが独占的に定義すべきものではなく、業界全体のコンセンサスに基づく標準が必要だ——というのがCiscoの主張です。
実際、DefenseClawのGitHubリポジトリは公開から48時間で3,000以上のスターを獲得しており、Microsoft、Google Cloud、Palo Alto Networksのエンジニアからもプルリクエストが寄せられています。これは、AIエージェントセキュリティの標準化がいかに業界全体の関心事であるかを物語っています。
ただし、Ciscoの商用製品「Cisco Secure Agent」はDefenseClawをベースとしつつ、エンタープライズ向けのサポート、SLA保証、Cisco SecureXとの統合といった付加価値を提供する位置づけです。オープンソースで標準を広め、商用版で収益化するという、Red HatやHashiCorpが確立したビジネスモデルを踏襲しています。
従来型セキュリティとの比較
以下の図は、従来型のセキュリティモデルとAIエージェント向けセキュリティモデルの違いを示しています。
この図が示す通り、従来型セキュリティの各レイヤーは人間の操作を前提としており、AIエージェントの特性(非人間、大量並行、動的権限)には対応できません。Ciscoの新アーキテクチャはこれらの課題を体系的に解決するものです。
競合他社との比較
AIエージェント向けセキュリティは、Cisco以外の大手セキュリティベンダーも取り組み始めています。各社のアプローチを比較してみましょう。
| 項目 | Cisco | Palo Alto Networks | CrowdStrike | Zscaler |
|---|---|---|---|---|
| 発表時期 | RSAC 2026(2026年4月) | 2026年2月 | 2025年12月 | 2026年3月 |
| アプローチ | 3本柱アーキテクチャ + OSS | Prisma CloudにAIエージェント保護追加 | Falcon Platform拡張 | Zero Trust Exchange拡張 |
| エージェントID管理 | SPIFFE/OAuth 2.1ネイティブ | 独自ID管理システム | CrowdStrike IDベース | Zscaler Identity統合 |
| MCP対応 | MCPGuardで通信検査 | 部分対応(APIゲートウェイ) | 未対応(予定あり) | 部分対応 |
| オープンソース | DefenseClaw(Apache 2.0) | なし | なし | なし |
| 導入形態 | ハイブリッド(OSS + 商用) | SaaS | SaaS/オンプレ | SaaS |
| 想定規模 | 数百万エージェント | 数十万エージェント | 非公開 | 数十万エージェント |
| 価格 | 未発表(OSS版は無料) | Prisma Cloud上位プランに包含 | Falcon追加モジュール | ZPA追加オプション |
Ciscoの最大の差別化ポイントは、オープンソースによる標準化アプローチとMCP通信の本格的な検査機能の2点です。特にMCPの普及が急速に進む中、MCP通信のセキュリティを専用コンポーネントで対応しているのはCiscoが先行しています。
一方、Palo Alto NetworksやCrowdStrikeは既存の顧客基盤と成熟した製品プラットフォームという強みを持っており、既存環境に追加する形でのAIエージェント保護は導入障壁が低いという利点があります。
日本企業のAIエージェント導入とセキュリティ
日本市場の現状
日本企業におけるAIエージェントの導入は、米国と比べて6〜12か月遅れで進行しているのが現状です。しかし、2026年に入ってから状況は急速に変化しています。
総務省の「令和7年版 情報通信白書」によると、従業員1,000人以上の日本企業の**約28%**が「AIエージェントの導入を検討中または試験導入中」と回答しており、前年の12%から大幅に増加しています。特にメガバンク、総合商社、大手製造業での関心が高く、社内の問い合わせ対応、契約書レビュー、サプライチェーン最適化といった領域での活用が進んでいます。
日本特有のセキュリティ課題
日本企業がAIエージェントを導入する際には、グローバル共通の課題に加えて、日本固有の考慮事項があります。
- 個人情報保護法への対応: AIエージェントが個人情報を処理する場合、利用目的の特定と本人への通知義務がある。エージェントが自律的にデータを取得・処理する場合、これらの法的要件をどう満たすかが課題
- J-SOX(内部統制報告制度)との整合性: 上場企業はIT統制の有効性を監査法人に報告する義務がある。AIエージェントのアクセス権限管理が「適切な職務分掌」を満たしているかの証明が必要
- クラウドとオンプレミスの混在: 日本の大企業では、基幹システムがオンプレミスに残っているケースが多い。AIエージェントがクラウドとオンプレミスをまたがって動作する場合のセキュリティ境界の設定が複雑
Ciscoのソリューションが日本に適する理由
CiscoのDefenseClawはオープンソースであるため、日本企業が自社の規制要件に合わせてカスタマイズできる柔軟性を持っています。また、Ciscoは日本市場に強固なパートナーエコシステムを持っており、NTTコミュニケーションズ、NEC、富士通といった大手SIerが導入支援を行えるインフラが整っています。
加えて、Cisco Japanは2026年中に日本語ドキュメントとローカライズされたダッシュボードの提供を予定しており、英語に不慣れなIT管理者でも運用可能な体制を整えつつあります。
クレデンシャル管理の重要性
AIエージェントが増えれば増えるほど、管理すべきAPIキー、トークン、証明書の数も爆発的に増加します。人間のパスワード管理と同様に、エージェントのクレデンシャル管理も体系化が不可欠です。
まずは人間側のクレデンシャル管理を盤石にすることが、エージェント時代のセキュリティの出発点です。1Passwordのようなパスワードマネージャーを導入して、チーム全体のパスワード衛生を確保したうえで、エージェント向けのシークレット管理基盤を構築するのが望ましいアプローチです。実際、1PasswordはService Accounts機能でマシン間のシークレット管理にも対応しており、人間とエージェントの両方のクレデンシャルを統一的に管理できます。
Ciscoの戦略的ポジショニング
今回の発表は、Ciscoのセキュリティ事業における大きな転換点でもあります。Ciscoは2023年にSplunkを**$28B(約4.2兆円)**で買収して以来、セキュリティとオブザーバビリティの統合を推進してきました。AIエージェント向けゼロトラストは、その戦略の延長線上にあります。
Ciscoの2026年度Q3決算(2026年2月発表)では、セキュリティ事業の売上が前年同期比22%増の$4.8B(約7,200億円)に達しており、ネットワーキング機器中心の事業構造からの転換が着実に進んでいることを示しています。
オープンソースのDefenseClawは、Ciscoのセキュリティプラットフォームへの入り口として機能する戦略です。DefenseClawで標準を普及させ、エンタープライズ顧客にはCisco Secure Agentの商用版を提供するという二段構えのアプローチは、HashiCorpのTerraformや、Red HatのOpenShiftと同様のモデルです。
まとめ——AIエージェント時代に備えるためのアクションステップ
CiscoがRSAC 2026で発表したAIエージェント向けゼロトラストアーキテクチャは、エンタープライズセキュリティの次のフロンティアを定義するものです。AIエージェントが「同僚」としてオフィスで働く時代に、セキュリティ基盤の抜本的な見直しが必要であることは明白です。
今すぐ取り組むべきアクションステップは以下の通りです。
- 現状把握: 自社で稼働しているAIエージェント(またはAIエージェント的な自動化ツール)の棚卸しを実施。「どのエージェントが」「どのデータに」「どの権限で」アクセスしているかを把握する
- ID管理の基盤整備: まずは人間のID管理を1Passwordなどで強化したうえで、エージェント向けのID管理基盤の設計を開始する。SPIFFE/SPIREの検証環境を立ち上げるのも良いスタートポイント
- DefenseClawの技術評価: GitHubでDefenseClawのリポジトリをクローンし、検証環境で動作を確認する。特にMCPGuardコンポーネントは、MCP対応のAIエージェントを導入している組織にとって即座に価値がある
- セキュリティポリシーの更新: 既存のセキュリティポリシーに「非人間エンティティ(AIエージェント)のアクセス制御」に関する項目を追加する。J-SOXの内部統制文書にもエージェント関連の記述を盛り込む準備を始める
- ベンダー評価の実施: Cisco、Palo Alto Networks、CrowdStrike、Zscalerの各ソリューションを比較評価し、自社のアーキテクチャに最適なアプローチを選定する
AIエージェントのセキュリティは、「いつか対応すればよい」課題ではなく、今まさに設計すべきインフラです。Ciscoの今回の発表が、その第一歩を踏み出すきっかけになることを期待します。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星