リソース
RSAC 2026:運用上の必須要件としてのAIセキュリティ
By Thyaga Vasudevan - EVP of Product
2026年4月3日 3 読了時間:3分
今回も実り多いRSACが終了しました!例年通り、Skyhigh Security 今回のRSAC 2026において、サンフランシスコで同業他社の方々と交流する素晴らしい時間を過ごしました。顧客、アナリスト、パートナー、メディアとの対話を通じて、変化し続けるセキュリティ環境におけるニーズが浮き彫りになり、現在の対策がどこで不十分であるかが明らかになりました。
これらの会話をもとに、本イベントから得られた主なポイントをいくつかまとめました:
生成AIのセキュリティは最低限の要件である
RSACでの経験を通じて私たちに明らかになったことが一つあるとすれば、それはAIセキュリティが今や業務上の必須要件であるということだ。ほぼすべてのセキュリティベンダーが、プロンプトインジェクション攻撃やエンタープライズAIの普及といった脅威を含め、進化し続けるAIリスクの動向について展示や議論を行っていた。 シャドウAI の導入拡大といった脅威を含め、進化するAIリスクの状況を展示または議論していました。
こうした脅威に対処するには、効果的な解決策が必要です。迅速な検査機能やAIを活用したData Loss Prevention DLP)Data Loss Prevention 、セキュリティベンダーにとって基本的な基準となりつつありますが、さらなる改善が求められています。こうした初期の防護策の先には何があり、リスクの高いプロンプトやコンテンツモデレーションの問題が、実際の脅威へと発展する前に、いかにして特定できるのでしょうか。これこそが、私たちの業界が取り組むべき次の課題です。
主体性を持つAIこそが転換点である
RSACにおける最大の概念的転換は、生成型プロンプトから自律型ソリューションへの移行でした。自律型および半自律型のAIエージェントが現実のものとなるにつれ、セキュリティ機能もそれに歩調を合わせて進化させなければなりません。ガバナンスは、単なる入力から、システム全体にわたるAI主導の行動へと移行し、チームがこれまで慣れ親しんできたものよりもはるかに大規模かつ動的な脅威環境からシステムを保護する必要があります。
この新たなコントロールプレーンについては、以下の3つの本質的な問いに分解することができる:
- 誰が実行しているのか?(人間、サービスID、またはAIエージェント――Shadow AIエージェントを含む)
- 彼らは何にアクセスしているのか?(SaaS、API、およびMCPサーバー上のデータ)
- 彼らは一体何をしようとしているのか?(これらの行動は許可されているのか、それともそうでないのか)
能動的な未来においては、文脈、意図、そして結果は、アクセスと同様に極めて重要である。
データ主権が最優先課題となっている
地政学的な圧力や規制当局による監視の強化を背景に、データ主権はRSACにおいて繰り返し話題に上った。AIソリューションは、その性質上、国境を越えたデータ移動を加速させており、それによってデータの所在、処理、保存に関する従来の常識に疑問を投げかけている。
今日の企業は、イノベーションを阻害することなく機密データの管理を維持できる、インラインでのデータ保護とハイブリッドアーキテクチャを求めています。こうしたデータ主権の実現は、単なる例外的なケースにとどまらず、まもなくAI主導の組織にとって不可欠なアーキテクチャ要件となるでしょう。
コンプライアンスは継続的な取り組みでなければならない
AIは主権の問題を複雑化させるだけでなく、従来の「特定の時点における」コンプライアンスの限界も露呈させている。静的なデータ監査や定期的なチェックでは、常時稼働するAIワークフローに対応しきれないため、監査の死角が生じ、コンプライアンス違反のリスクが高まっている。
企業は、進化し続けるAI環境におけるコンプライアンス要件を満たすために、継続的な可視性と管理体制を必要としています。AIシステムによるデータのアクセス、処理、再利用の状況をリアルタイムで把握することで、チームはコンプライアンス対応を単なる報告業務から、データワークフロー全体に組み込まれた、常に機能する管理基盤へと転換することができます。
ブラウザこそが新たなエンドポイントである
RSACでは、目立たないながらも一貫して示されていた傾向として、ブラウザレベルのセキュリティの重要性が高まっていることが挙げられます。AIやSaaSのワークフローがほぼ完全にブラウザ上で動作するようになった今、ブラウザそのものを一から入れ替えることなく、そのセキュリティを確保する方法を見出すことが、最も現実的な解決策として浮上しています。
これにより、多くの企業が抱いている「ブラウザを完全に新しいものに置き換える必要がある」という懸念を解消するのに役立つでしょう。適切なツールさえ利用可能であれば、既存のブラウザをコピー&ペーストや情報漏洩のリスクから保護することは可能です。
Skyhigh Securityの今後の展開
RSAC 2026での経験は、セキュリティにおける当社の「データファースト」アプローチの有効性を強く裏付けるものでしたが、同時に、今後進むべき方向性を再確認する機会ともなりました。AIセキュリティの未来は、単にプロンプトを検査するだけにとどまりません。自律システム全体において、データ、アイデンティティ、アクションがどのように流れるかを確実に保護することこそが重要となるでしょう。私たちの目標は、企業が信頼性の高いセキュリティを維持しつつイノベーションを推進し、AI主導の未来へと安全に踏み出せるよう、確かな自信を提供することです。
著者について
ティヤーガ・ヴァスデヴァン
製品担当エグゼクティブ・バイス・プレジデント
Thyaga Vasudevanは、現在Skyhigh Security製品担当上級副社長として、製品管理、デザイン、製品マーケティング、GTM戦略を指揮する、精力的なソフトウェアのプロフェッショナルです。豊富な経験を生かし、SAASベースのエンタープライズソフトウェア(Oracle、Hightail - 旧YouSendIt、WebEx、Vitalect)とコンシューマーインターネット(Yahoo!)エンドユーザーの根本的な問題とユースケースを特定するプロセスに専心し、これらの課題に対処するためのハイテク製品やサービスの仕様策定と開発を主導することに誇りを持ち、組織がリスクと機会の微妙なバランスをうまく調整できるよう支援することも含まれる。
