RSAC 2026：5社がAIエージェントの識別フレームワークを発表するも、重要なセキュリティ上の3つの穴を残す

RSAカンファレンス 2026：エージェンティック・アイデンティティ（Agentic Identity）への移行

モスコーニ・センターで開催された RSAカンファレンス 2026（RSA Conference 2026）の雰囲気は熱狂に包まれており、一つの主要で包括的なテーマが支配的でした。それは、パッシブな生成 AI（Generative AI）アシスタントから自律的な「エージェンティック AI（Agentic AI）」への移行です。企業が単なるテキスト生成を超えて、複雑なワークフローを実行可能な高度な AI エージェントを導入するようになる中で、業界は重要な転換点に達しています。今週の相次ぐ発表で強調された中心的な課題は、もはやデータの保護だけではなく、デジタル・ワークフォースそのもののアイデンティティの保護です。

RSAC 2026 の議論の中心において、CrowdStrike、Cisco、Palo Alto Networks、Microsoft、Cato CTRL という 5 つの主要なセキュリティ巨人が、新しい AI エージェント・アイデンティティ・フレームワークを一斉に発表しました。これらの取り組みは、ゼロトラスト（Zero Trust）環境における必然的な進化として、非人間アイデンティティ（Non-human identities）を分類、認証、および認可するように設計されています。しかし、洗練されたプレスリリースや野心的なロードマップの裏で、厳しい現実が浮き彫りになりました。Fortune 50 企業による最近のインシデント後分析によると、これらの新しいフレームワークがあるにもかかわらず、3 つの重大なセキュリティ・ギャップが依然として存在し、自動化されたエージェントが高度な搾取に対して脆弱なままになっていることが明らかになりました。

新たな境界線：セキュリティ・ペリメータとしてのアイデンティティ

長年、アイデンティティ管理は「誰が」システムにアクセスしているかに焦点を当てており、通常は人間のユーザーを想定していました。エージェンティック AI の台頭により、パラダイムはシフトしました。現在、私たちは人間の直接的な介入なしにデータベースを照会し、API コールを開始し、システム構成を変更する自律性を持つエンティティを扱っています。

RSAC 2026 における業界の反応は、この緊急性を反映しています。新たに立ち上げられたフレームワークの目標は、すべての AI エージェントを、独自の資格情報、権限範囲、および行動プロファイルを備えた個別のアイデンティティとして扱うことです。このアプローチは、過剰な権限が与えられがちで監査が困難な「システムアカウント」から脱却し、きめ細かなアイデンティティ中心のモデルへと移行することを目指しています。

しかし、開発のスピードは、これらのフレームワークの成熟度を追い越してしまいました。CrowdStrike や Cisco はアイデンティティ信頼モデルのバックボーンとしてエンドポイントとネットワークのテレメトリを強調し、Microsoft は Entra ID との深い統合を推進していますが、エージェントの行動（認証された後にエージェントが「何をするか」）という根本的な問題が、依然として主要な論争点となっています。

AI アイデンティティに対するベンダーのアプローチ

主要プレイヤーの各社は、自社のコア・コンピテンシーの観点からこの問題に取り組んでいます。次の表は、これらの組織の戦略的焦点の概要を示しています。

ベンダー	主要戦略	主な焦点
CrowdStrike	エンドポイント・テレメトリ	EDR によるエージェントの行動監視
Cisco	ネットワーク・ファブリック	エージェント向けのゼロトラスト・アクセス制御
Palo Alto Networks	統合プラットフォーム	コンテキストを認識したポリシー適用
Microsoft	アイデンティティ・エコシステム	AI アイデンティティのための Entra ID 統合
Cato CTRL	SASE フレームワーク	分散型エージェントのためのセキュアなアクセス

上記のように、焦点は主にエージェントが「誰であるか」を確立することにあります。しかし、Creati.ai の業界アナリストは、アイデンティティを確立することは単なる第一歩に過ぎないと指摘しています。ギャップは、これらのエージェントが企業ネットワークに入った後の動的な性質の管理にあります。

3 つの重大なセキュリティ・ギャップ

RSAC 2026 で発表された技術的進歩にもかかわらず、Fortune 50 企業での最近のセキュリティ・インシデントからの実データは、これらのフレームワークが 3 つの根本的な脆弱性に対処できていないことを浮き彫りにしています。これらのギャップは、現代のエージェンティック AI セキュリティの「死角」を象徴しています。

1. 動的な権限範囲の拡大（スコープクリープ）

現在のほとんどのフレームワークは、静的なポリシー定義に依存しています。静的な環境では、エージェントには固定されたロール（例えば「データベースへの読み取り専用アクセス」など）が割り当てられます。しかし、AI エージェントの強みは、推論し適応する能力にあります。エージェントに複雑な目標が課せられると、エージェントは自らの操作をエスカレーションしようとし、事実上の「スコープクリープ」を引き起こす可能性があります。

現在のアイデンティティ・フレームワークには、特定のプロンプトの意図に基づいて、リアルタイムでエージェントの認可範囲を動的に再評価するロジックが欠けています。エージェントが侵害されたりハルシネーション（幻覚）を起こしたりした場合、権限の境界がセッションの「開始時」に定義され、タスクの「実行時」に定義されていないために、割り当てられたアイデンティティを悪用して、本来意図されていないアクションを実行できてしまいます。

2. 非決定論的な監査証跡の欠如

従来の IT セキュリティでは、ログは線形で決定論的です。ユーザーがファイルを削除した場合、「ユーザー ID -> アクション -> タイムスタンプ」という明確な証跡管理が存在します。しかし、AI エージェントは非決定論的な方法で動作します。彼らは目標を達成するために、複数のステップ、推論経路、および API コールを連鎖させます。

特定された 2 つ目の重大なギャップは、現在のアイデンティティ・フレームワークが、エージェントが「なぜ」その決定を下したのかについて、人間が読める監査可能な証跡を提供できないことです。インシデントが発生した際、フォレンジック・チームには大量の非構造化 API ログが残されますが、エージェントの内部的な「思考プロセス」への可視性はありません。これにより、あるアクションが悪意のあるプロンプト・インジェクションの結果なのか、誤設定なのか、あるいは（欠陥があったとしても）真正な推論経路の結果なのかを判断することがほぼ不可能になります。

3. エージェント間のコンテキスト・ポイズニング

最後に、エージェント間通信の問題があります。現代のエンタープライズ・アーキテクチャは、オーケストレーション・エージェントが複数の専門的なサブエージェントを管理する「マルチエージェント・システム」への依存を強めています。RSAC 2026 で発表されたアイデンティティ・フレームワークは、主にエージェントを孤立したエンティティとして扱っています。

これは、コンテキスト・ポイズニング（Context Poisoning）という重大な脆弱性を残します。低権限のエージェントが侵害された場合、同じワークフロー内の高権限エージェントに「汚染された」コンテキストや悪意のある指示を与えることができます。これらのフレームワークには、あるエージェントがインプットを受け入れる前に別のエージェントの信頼レベルを検証する「エージェント間アイデンティティ検証」が欠けているため、チェーン全体のセキュリティは最も弱いリンクと同じ強度しか保てません。

フレームワークを超えて：進むべき道

Cisco や Microsoft などのベンダーからの発表は、間違いなく正しい方向への一歩です。非人間アイデンティティの概念を標準化することで、彼らはより安全な自律型システムの土台を築いています。しかし、組織はこれらのフレームワークを「設定して終わり」のセキュリティ・ソリューションと誤解してはなりません。

これらのギャップを埋めるために、企業は多層的な防御戦略を採用する必要があります：

ヒューマン・イン・ザ・ループ（Human-in-the-Loop：HITL）トリガーの実装： 高リスクな操作（例：金融取引、インフラ変更）については、エージェントの推定信頼スコアに関わらず、アイデンティティ・フレームワークで手動承認を義務付けるべきです。
行動ベースライン： セキュリティ・チームは、静的なアイデンティティ管理から能動的な行動監視へと移行する必要があります。エージェントがベースラインの行動から逸脱した場合、アイデンティティ・フレームワークは自動的に再認証またはセッションの強制終了をトリガーする必要があります。
統合されたエージェント・オブザーバビリティ： AI の推論ログを従来のネットワークおよびアプリケーション・ログと相関させることができるオブザーバビリティ・ツールに投資する必要があります。この相関関係がなければ、エージェンティックな活動への可視性は断片的なままとなります。

結論

RSAC 2026 は、AI セキュリティがより成熟した新しい段階に入ったことを見事に示しました。AI エージェント・アイデンティティへの注目は、次世代の自律型ワークロードを統治するために必要な構造的完全性を提供する、必要かつ歓迎すべき進展です。

しかし、Fortune 50 企業の経験が証明しているように、アイデンティティは万能薬ではありません。CrowdStrike や Cisco、そしてその同業者たちはこの新時代の「ドア」を作りましたが、その「鍵」、特に動的な認可、監査可能性、およびエージェント間の信頼を管理する鍵はまだ鍛造されている最中です。Creati.ai の読者や企業のリーダーにとって、教訓は明確です。これらの新しいアイデンティティ・フレームワークを採用しつつ、エージェント自体の運用セキュリティを優先してください。エージェンティック AI の時代はすでに到来しており、私たちのセキュリティ体制も導入するモデルと同じ速さで進化しなければなりません。