「意図を読み、人間と同じように管理」　AIエージェントで激変するセキュリティ防御の設計図

　セキュリティ防御の主戦場は、「対人間」から「対AIエージェント」に移りつつある。Cisco Systems、Palo Alto Networks、Microsoftの各社は、3月23日から開催されたセキュリティイベント「RSA Conference 2026」に合わせ、それぞれ企業内でエージェントを安全に利用するための防御策や製品を解説した。エージェントは自律的にタスクを実行し、ツールやサービスと相互作用しながら行動する。そんなエージェントへの対策の各社のアプローチの違いを読み解く。

セキュリティの境界線は「ネットワーク」から「意図」へ

　「AIエージェントは機械の速度で複雑なタスクを実行するが、人間に不可欠な判断力やコンテキスト認識能力は完全に欠如している」。3月23日公開のCiscoのセキュリティブログは、エージェントと人間との違いをこう説明しながら、新しいセキュリティ対策の必要性を強調した。

　事前に定義した静的なネットワークベースのセキュリティモデルは、自律的に行動を変えるエージェントに対しては役に立たない。そこではゼロトラストの原則が求められるのだが、従来のゼロトラストは不十分だとCiscoは主張する。

　理由として、まだエージェントは初期段階で、そのエコシステムが断片的であること。現状のセキュリティ策が複数のサービス層に散在して一貫性を欠いていること。そして、エージェントの行動が動的で予測不可能なため、静的な防御策では対応できないことなどを挙げる。

　Ciscoが提唱するのは「（エージェントの）『意図』こそが新しい境界線になる」というアプローチだ。これを具体化したフレームワーク「DefenseClaw」を同じ23日に発表した。AIソフトウェア＆プラットフォーム・シニアVPのDJ Sampath氏は、OpenClawのスキルを検査する「Skill Scanner」のようなオープンソースのツールは出てきたが、まだ「運用レイヤーが欠けていた」と述べ、DefenseClawをその運用レイヤーと紹介している。

　DefenseClawはNVIDIAが提供するインフラ層のサンドボックス「OpenShell」の上に構築され、対エージェントガバナンスの運用レイヤーとなる。「（従来のようにゲートウェイで）一度承認したものを安全とは考えず、実行ループ内で全てのメッセージを検査する」という仕組みだ。

　DefenseClawは、「skill-scanner」「mcp-scanner」「a2a-scanner」「CodeGuard静的解析」「AI BOM（部品表）ジェネレーター」などのツールで構成される。a2a-scannerは人間の言葉を使わずに高速で行われるエージェントのやり取りを監視。CodeGuard静的解析は、AIが生成したコードを静的解析して脆弱性やバックドアがないかを確認する。

　そして、禁止された動きを検知すると、サンドボックスの権限を取り消し、ファイルを隔離し、全ての接続を拒否する――。これが2秒以内に完了するという。AIの「実行ループそのもの」に介入する物理的な壁（防御層）である。