この記事は、President , Chief Product Officer である Jeetu Patel によるブログ「Reimagining Security for the Agentic Workforce 」( 2026年 3月 23日 )の抄訳です。
想像してみてください。明日の朝、目が覚めたら、心が弾むようなニュースが飛び込んできたとします。 なんと、専門的なスキルを持つ 1,000 人もの人材の採用が正式に認められたのです。さらに、新たに加わるデベロッパー、運用スペシャリスト、データアナリスト、プロダクトマネージャは、それぞれの業務に卓越し、24 時間体制で対応でき、燃え尽きることも気が散ることもないというのです。
これは、ビジネスリーダーなら誰しも夢見ることです。この 2 年間立ち上げを模索しているものの、エンジニアリングのキャパシティ不足で実現できなかった製品ライン。今なら実現できます。 十分な人材を確保できず、参入に踏み出せずにいた新市場。今なら手が届きます。緊急案件に追われてずっと後回しになっていた戦略プロジェクトにも、やっと着手できます。
これまで、組織の取り組みの限界を決定づけていた要因は、人員や予算でした。しかし今は違います。限界を決めるのは、想像力だけ。実に素晴らしいことです。
ただし、大きな落とし穴があります。新たに加わったデジタルな同僚たちについては、その経歴を確認することができません。身元確認もできません。その状態で、初日から自社の全システムへのアクセスを許可しなければならないのです。そして、重大な注意点として、彼らは指示を文字通りに実行するだけで、正誤の判断はできません。何か問題が発生しても、その責任は一切負いません。
雲行きが怪しくなってきました。
これは想像上の話ではありません。ほとんどの企業が AI エージェントに関して直面している現実です。このジレンマについて、本日の RSA の基調講演で後ほど詳しく取り上げます。
「答える」から「行動する」へ
つい最近まで、AI といえばチャットボットでした。E メールの作成、ドキュメントの要約、質問への回答を支援してくれるこのツールは、便利で驚くほど有能である反面、基本的には「受け身」です。チャットボットが的外れな回答をしても、「仕方ないな」と流して終わりでした。
私たちは今、まったく異なる時代にいます。AI エージェントは質問に答えるだけでなく、「行動」します。複数ステップのタスクの計画、外部ツールの呼び出し、意思決定、ワークフローの実行を自動で行います。ユーザーの代わって E メールの送信、ファイルの変更、データベースコマンドの実行、発注、ファイアウォールルールの変更までこなします。
AI の役割が情報提供から行動へとシフトすることで、私たちに求められるリスクの捉え方は一変します。
わかりやすい捉え方はこうです。チャットボットで起こり得る最悪のケースは、誤った回答です。エージェントの場合、最悪のケースは誤った「行動」であり、元に戻せないものもあります。
このシフトが失敗した事例はすでに数千件あります。特に印象に残っているのは、ある投資家がコードフリーズ中に AI コーディングエージェントを実行した事例です。指示は明確で、「許可なしに何も変更しないこと」というものでした。それにもかかわらず、エージェントはデータベースコマンドを実行し、ライブの本番データベースを削除し、痕跡を隠そうと偽のデータを作り、被害が明らかになったところで謝罪しました。
とはいえ、謝罪はガードレールにはなりません。
試験導入と本番運用の間にあるギャップ
全てを物語る数字があります。シスコが大手企業を対象に最近行った調査では、企業の 85% が現在 AI エージェントの試験導入を進めていると回答しました。一方、エージェントを本番運用に移行した企業はわずか 5% でした。
この 80 ポイントのギャップは、AI の可能性に対する疑いから生じたものではなく、実際のセキュリティ問題に対する合理的な反応です。組織はエージェントができることを理解していますが、エージェントがそれを安全に行えるかどうかについては、まだ確信が持てずにいます。
このギャップの解消こそ、シスコが注力していることです。また、今週の RSA では、「世界からエージェントを守る」、「エージェントから世界を守る」、「エージェントが動くスピードで問題を検出して対応する」という 3 つの領域にわたるアプローチについて説明します。
世界からエージェントを守る:攻撃者がエージェントを操作できないようにすること
これは、言うほど単純なことではありません。従来のセキュリティスキャンツールは、静的なソフトウェアをテストするために作られています。こうしたツールでは、攻撃者が AI をタスクの途中で騙して指示を無視させようとする状況をシミュレーションすることは不可能です。プロンプトインジェクション(エージェントが読み取るコンテンツの中に悪意のあるコマンドを隠すこと)はすでに実際の攻撃ベクトルであり、ますます巧妙になっています。
Cisco Talos 2025 年版『一年の総括』レポート(本日リリース)には、新しいエクスプロイトキットの開発に AI がすでに悪用されていること、React2Shell 脆弱性が公開からほんの数日で 2025 年に最も活発にエクスプロイトされた欠陥となったことが示されています。武器化のスピードは加速しており、脆弱性が公開されてから対処する時間があるという前提はもはや通用しません。
そこで、本番環境に近づける前にエージェントをテストできるよう、 シスコは AI Defense Explorer Edition の提供を開始します。これは、デベロッパーやセキュリティチームが独自のエージェントに対して敵対的攻撃を実行し、脆弱性を事前に発見できるセルフサービス型レッドチームツールです。
さらに、構築時にエージェントワークフローにポリシーの適用を埋め込む Agent Runtime SDK、敵対的攻撃に対する各種 AI モデルの耐性を明確かつ客観的に評価できる LLM Security Leaderboard をリリースします。このリーダーボードにより、AI の比較で現在主流になっているパフォーマンスベンチマークをはるかに超える評価が可能になります。
シスコは昨年の RSAC で、歴史的な一歩となる初のオープンソース Foundation AI セキュリティモデルを発表しました。それ以降、オープンな形で開発を続け、デベロッパーが日々直面するセキュリティ上の疑問に答えるためのツールスイートをリリースしてきました。
- Skills Scanner — このエージェントはどのスキルを実行しているか。また、それらは安全か。
- MCP Scanner — 使用している MCP サーバーによって悪意のあるアクションが公開されていないか。
- AI BoM — 使用している AI システムの構成要素(モデル、メモリ、依存関係)はどうなっているか。
- CodeGuard — 配布している AI 生成コードによって脆弱性が生じているか。
- Model Provenance — このモデルの出所はどこか。モデルは変更されているか。
そして今年、DefenseClaw をオープンソース化します。これは、上記のツールをすべて統合し、Nvidia OpenShell のフックを活用する安全なエージェントフレームワークです。DefenseClaw により、デベロッパーはかつてないほど迅速に安全なエージェントを展開できるようになります。
- すべてのスキルがスキャンされてサンドボックス化される
- すべての MCP サーバーを対象に、悪意のあるアクションの有無がチェックされる
- すべての AI 資産(モデル、メモリ、スキル)が自動的にインベントリ管理される
結果として、手動のセキュリティ手順も個別ツールのインストールも一切不要になります。セキュリティはチーム戦であり、そのことを誰よりも理解しているのはシスコです。
エージェントから世界を守る:アイデンティティとアクセスの問題
現在、ほとんどの企業は、自社の環境でどのエージェントが稼働しているのか、エージェントが何にアクセスできるのか、問題発生時に誰が責任を負うのかを明確に把握していません。これは深刻なガバナンス上のギャップであり、決して理論上の話ではありません。
ここで、Talos 2025 年版『一年の総括』をもう一度見てみましょう。このリサーチによると、攻撃者が標的にしているのは、アイデンティティ確認とアクセス仲介を行うシステム、つまり、組織が信頼を付与する仕組みの中心にあるログインフロー、アクセスゲートウェイ、管理プラットフォームです。多要素認証スプレー攻撃の約 3 分の 1 がアイデンティティおよびアクセス管理システムを標的に実行され、その割合は前年比で 6% 増加しています。
攻撃は、最小の労力で最大の被害を出せる場所に仕掛けられます。現在、その場所はアイデンティティです。
幸い、この問題に対処するためのブループリントがあります。新入社員のオンボーディング手順を考えてみましょう。その従業員の身元を確認し、職務を決定し、業務に必要な範囲に限定してアクセスを許可して、マネージャがその従業員の責任者となります。エージェントも同じように扱う必要があります。すべてのエージェントのアイデンティティを確認し、権限の範囲を定義して、エージェントの行動に対して責任を持つ人間の所有者を置きます。
シスコは今週、Zero Trust をエージェントワークフォースに拡張するため、Duo IAM および Secure Access に新機能を追加します。これにより、すべてのエージェントにタスク固有の期限付き権限が付与され、セキュリティチームは自社環境で動作しているすべてのエージェントとツールをリアルタイムで可視化できるようになります。これには、正式に承認されていないエージェントやツールも含まれます。
最後に求められるのは、セキュリティ脅威やインシデントをマシンのスピードで検出して対処すること
エージェントは、人間が監視できないほど高速に動作します。自動化されたエージェントアクティビティによって攻撃が展開されるとき、「異常の検知」から「被害発生」までの時間はわずか数秒しかないこともあります。セキュリティ オペレーション センターがいまだに人間の速度で稼働しているとしたら、対応が追い付きません。攻撃者はすでにエージェント型 AI を活用して、偵察の自動化、エクスプロイトキットの開発、1 人または 1 グループが 1 回の攻撃で実行できる範囲の拡大を進めており、これによって攻撃活動の規模を拡大しています。防御側にも、同じレベルの力が必要です。
シスコは、セキュリティ オペレーション センター(SOC)を事後対応型から事前対応型に進化させるための新機能を Splunk に導入しました。具体的には、継続的なリアルタイムのリスクスコアリングを可能にする Exposure Analytics、検出ルールの構築と展開を合理化する Detection Studio、アナリストがデータを一箇所に集約しなくても分散データ環境を横断して調査を実施できる統合サーチなどがあります。エージェントのアクティビティによって生成されるデータが飛躍的に増加する中、統合サーチは大きなメリットとなります。
また、SOC の内部に、検出、トリアージ、対応に特化した AI エージェントを導入します。これはアナリストに置き換わるものではなく、反復的な調査作業を AI エージェントが処理することで、人間の担当者が経験と判断力が必要な意思決定に集中できるようにするものです。
セキュリティはアクセラレータ
今、私が心から興味深いと思うことがあります。テクノロジーの歴史の大半において、セキュリティは重要な要素でしたが、その役割は保守的なものでした。起こり得る問題を特定し、運用開始を遅らせ、リスクの軽減という名目であえて手間を加える、こうした役割を担ってきたのです。
エージェント型 AI により、この状況は逆転します。セキュリティのせいで対応が遅くなることはもうありません。むしろ、セキュリティがあるからこそ、迅速な対応が「可能」になるのです。エージェントを試験導入している組織と、本番運用している組織の間にある 80 ポイントのギャップは、テクノロジーのギャップではありません。これは信頼の欠如によるものであり、エージェントワークフォースに合わせてセキュリティを刷新しない限り、このギャップを埋めることはできません。
私たちは、こうした状況を過去にも経験しています。インターネットを安心して商取引できる場にし、クラウドやモバイルを解明してきました。ツールやメンタルモデルが整うまで時間はかかりましたが、形になりました。エージェント時代は次なるフロンティアであり、セキュリティを適切に確立した組織こそが、AI の真の可能性を引き出すことができるのです。
さあ、始めましょう。
リソース
- プレスリリース:『Cisco Reimagines Security for the Agentic Workforce』
- Talos『一年の総括』:2025 年版 Cisco Talos『一年の総括』レポート
ブログ:
- Raj Chopra:『Securing Agentic AI: How Cisco Brings Zero Trust to Your New Digital Workforce』
- Matt Caulfield:『Introducing Duo Agentic Identity』
- Gurpreet Kaur Khalsa:『Cisco AI Defense: Explorer Edition Brings Agentic AI Red Teaming to Builders』
- Amy Chang:『Introducing the Cisco LLM Security Leaderboard: Bringing Transparency to AI Security』
- DJ Sampath:『Cisco Announces DefenseClaw』
- Michael Marti:『The Evolution of the SOC: Moving from Reactive to Agentic with Enterprise Security at RSAC 2026』
- Hazel Burton:『2025 Talos Year in Review: Speed, Scale, and Staying Power』
Authors