こんにちは、VLCセキュリティグループ CISO 兼 VLCセキュリティラボ 代表の中本です。
RSAC 2026 Conferenceも本日で最終日を迎えました。今年も例年通り、非常に密度の高い4日間でした。
最終回のDay4レポートでは、会期中に参加した技術セッションの中から個人的に学びの大きかった3つのセッションを振り返り、それぞれに対する洞察/コメントを添えてお届けします。
今年のRSACでは「AIエージェント」の話題が圧倒的に多かったものの、その一方でSaaSのセキュリティやクラウドガバナンスといった「足元の実務」に踏み込んだ質の高いセッションが数多く開催されていたのが印象的でした。
RSACの強みはまさにこの「トレンドと実務のバランス」にあると改めて感じています。
| 📅 Day 4レポート 概要 — ピックアップセッション一覧
① May the Force Be with You: 5 Salesforce Attacks & How to Stop Them ② Accelerating Threat Modeling with GenAI: Netflix’s Journey ③ Shadow Agents: A Pragmatist’s Guide to Governing Unsanctioned AI |
🔶 ① May the Force Be with You: 5 Salesforce Attacks & How to Stop Them
講演者:Daniel Reyhanian(Cloud Security Researcher, Varonis)、Tamir Yehuda(Cloud Security Research Team Lead, Varonis)
日時:2026年3月23日 14:20〜15:10 カテゴリ:SaaS Security / Cloud Security
Salesforceは世界最大級のCRMプラットフォームでありながら、セキュリティチームにとっては「ブラックボックス」になりがちです。このセッションではVaronisのセキュリティ研究チームが、Salesforce固有の5つの攻撃手法と具体的な防御策を、実例を交えて解説しました。SaaS利用が拡大する日本企業にとって極めて実践的な内容です。当社もSalesForceユーザーなので自分事として聞きました。
セッション要点
| ⚡ 攻撃①:OAuth Connected Apps を悪用した不正アクセス
デフォルトが「許可」設定のため、ソーシャルエンジニアリングで悪意あるアプリをユーザーに接続させ、アクセストークンを奪取。防御策はDeny-by-Default化、リフレッシュトークンの有効期限短縮(7日以内)、接続前の2FA強制。不審IPからのOAuthセッションの監視も必須。 |
| 📧 攻撃②:レポートサブスクリプション×メール変更による内部不正
ユーザーがSalesforceの登録メールを個人ドメインに変更し、レポートのCSVデータを自動送信させるインサイダー脅威。メールドメインのホワイトリスト化(Email Domain Allowance)が唯一の根本的な防御。Setup Audit Trailでのメール変更の監視も推奨。 |
| 🔑 攻撃③:Delegated Admin + Login As による権限昇格
「Customize Application」権限を持つユーザーがDelegated Adminグループを作成し、自らをAdmin化して「Login As」で管理者に成りすます手法。「Login As」のグローバル無効化と、Customize Application保持者のシャドウAdmin化に注意。 |
| 🌐 攻撃④⑤:ゲストプロファイルのAPI経由データ露出 & Agentforce経由の不正アクセス
Experience Sitesのゲストプロファイルが非公開APIで機密データにアクセス可能になるミスコンフィグ。さらにAgentforceのメッセージングチャネルの「ユーザー検証OFF」がデフォルトで、非認証トークンでAIエージェント経由の機密データ取得が可能。いずれも検証の強制化が急務。 |
💬 個人的なコメント
このセッションで最も印象的だったのは、5つの攻撃すべてがSalesforceの「デフォルト設定」のまま運用することで発生するという点です。Salesforceに限らず、SaaSは「使える状態」で提供されるがゆえに、セキュリティ設定がデフォルトのまま放置されがちです。日本でもSalesforceの導入企業は増え続けていますが、セキュリティ設計のレビューまで行っている企業はまだ少数派でしょう。当社にも時たまSalesForceについての監査依頼が来る程度です。「Customize Application」権限の棚卸し、Login As機能の無効化、Agentforceのユーザー検証の有効化——いずれも今すぐ取り組める具体的なアクションです。SaaSセキュリティは「設定のセキュリティ」であり、SSPM(SaaS Security Posture Management:SaaSセキュリティ態勢管理)の重要性を改めて実感しました。
🔴 ② Accelerating Threat Modeling with GenAI: Netflix’s Journey
講演者:Anish Menon(Security Engineer, Netflix)
日時:2026年3月24日 9:40〜10:30 カテゴリ:Threat Modeling / AI for Security
セキュリティエンジニア1人あたり数百〜1,000人の開発者を支える状況で、AIマルチエージェントを活用して脅威モデリングをスケールさせるNetflixの取り組みを紹介。3億ドル規模のリスクがある未公開コンテンツのセキュリティを題材に、人間とAIの脅威モデルを比較検証した実践的なケーススタディです。
セッション要点
| 🤖 マルチエージェント・アーキテクチャによるスレットモデリング
OpenAI SDKとTemprlで専門エージェント(STRIDEエージェント、制御検証エージェント等)を連携。内部RAGに過去の脅威モデルやソースコードを接続し、組織固有のコンテキストを反映した脅威分析を実現。単一のLLMではなく「チームとしてのAI」を設計している。 |
| 📊 人間 vs. AIの脅威モデル比較:驚異的なスピードと75%の再現率
200以上のマイクロサービスからなるNetflixの未公開コンテンツ管理基盤を対象に検証。人間チーム(6名・3か月)が24脅威を特定したのに対し、AIエージェントは45分で30脅威を特定。うち18件が人間の結果と一致(再現率75%)。スピードとカバレッジで圧倒的な可能性を示した。 |
| ⚠️ AIが見逃すもの:ビジネスコンテキスト・制度知識・暗黙知
AIが取りこぼした6件は、SNSでのリーク対策(NDA運用)、オンボーディングミスによる誤アクセス、Slack上の非公式な業務知識など、コードに表れないビジネスコンテキストに起因。AIを「新入社員」として扱い、明示的にビジネス文脈を提供することが不可欠。 |
| 🔄 今後の展望:CI/CDへの統合とマルチモーダル化
将来的にはCI/CDパイプラインにエージェントを統合し、開発者へのフィードバックループを構築。アーキテクチャ図の読解(マルチモーダル)やファインチューニングによる組織固有用語の学習も計画中。脅威モデリングの「民主化」が進む。 |
💬 個人的なコメント
このセッションは、「AIを使ったセキュリティ」の中でも最も実践的かつ正直なプレゼンテーションの一つでした。「45分 vs. 3か月」というインパクトは大きい一方で、講演者が自ら「AIが見逃したもの」を率直に開示していたのが素晴らしかった。
セキュリティ人材1人が開発者1,000人を支えるという比率は、日本企業でも珍しくありません。むしろ日本のほうが比率は悪いケースが多いでしょう。Netflixのアプローチは「AIに置き換える」のではなく「AIで増幅する(Augment)」という姿勢を一貫しており、この「Human-in-the-Loop」の思想は日本のセキュリティチームにもそのまま適用できるモデルです。
VLCセキュリティとしても、AIエージェントを活用した脅威分析の自動化は注力テーマの一つであり、Netflixの成功と課題から多くの示唆を得られました。
🟢 ③ Shadow Agents: A Pragmatist’s Guide to Governing Unsanctioned AI
講演者:Anton Chuvakin(CISO, Google Security)
日時:2026年3月25日 13:15〜14:05 カテゴリ:AI Governance / Enterprise Security
Google SecurityのCISOであるAnton Chuvakin氏が、企業内で管理されずに増殖する「シャドウAI」と「シャドウエージェント」にどう対処すべきかを、プラグマティスト(実務家)の視点から語りました。「禁止ではなく誘導」というメッセージが一貫していた実践的かつ示唆に富むセッションです。
セッション要点
| 👥 シャドウAIの2つの類型:消費者AIとシャドウSaaS
Type 1:ChatGPTなどの消費者向けAIを業務に使用(データ漏洩リスク)。Type 2:CIOの承認を得ないまま部門がクレジットカードで購入するAI搭載SaaS(統制の空白)。さらにAIエージェントの登場で、リスクが「データ漏洩」から「オペレーション被害(システム乗っ取り・DoS)」に拡大。 |
| 📐 Connectivity × Agency:2軸リスクモデル
エージェントのリスクを「接続性(何のシステム/データにアクセスできるか)」と「行動力(何を実行できるか)」の2軸で評価するフレームワーク。ブラウザベースの消費者AIは低リスク、CRM/SAPにAPI接続する開発者エージェントは高リスクと分類。用途に応じたガバナンスの濃淡を設計する。 |
| 🚫 全面禁止は逆効果——「ライテッドパス」アプローチ
AIの全面禁止は利用を個人デバイスに追いやり、可視性を完全に失うと警告。代わりに、法的・コンプライアンス上の「絶対NG」を最小限に定め、それ以外は企業版ツール(プロンプトを学習しない版等)へ誘導する「Lighted Path(照らされた道)」戦略を推奨。 |
| 🔍 エージェント・ディスカバリーの現実解
シャドウエージェントを一括検出する「魔法の杖」はない。CASB・エンドポイントの監視・ネットワーク解析など複数のシグナルを組み合わせて発見するしかない。ベンダーの「CASB for Agents」的ソリューションが登場し始めているが、DIYでも核心的なテレメトリは収集可能。 |
| 🛡️ エージェント・ゲートウェイの提案:ファイアウォール時代のアナロジー
暫定策として「エージェント・ゲートウェイ」をチョークポイントに配置し、エージェントのやり取りを仲介・監視・レート制限する。長期的にはSDLCに組み込んだSecure-by-Defaultなエージェント設計が目標。ゲートウェイはあくまで「過渡期のファイアウォール」。 |
💬 個人的なコメント
Google SecurityのCISOという立場から発せられた「全面禁止は逆効果」というメッセージは、日本企業の経営層にこそ聞いてほしい内容でした。日本では「まず禁止」から入る組織が多いですが、その結果として利用が地下に潜り、インシデント発生時に何が起きたのか把握できないリスクがあります。
「Connectivity × Agency」の2軸モデルは、日本企業でのAIエージェントガバナンス設計にすぐに使えるフレームワークです。エージェントの「接続先」と「実行権限」でリスクレベルを分類し、それぞれに適した統制を設計する。この分かりやすさと実践性がChuvakin氏のセッションの真髄でした。
VLCセキュリティのコンサルティングでも、お客様のシャドウIT管理にAIエージェントの観点を追加すべきフェーズに来ていると強く感じます。
🔎 3セッションを通じた共通テーマ
今回取り上げた3つのセッションは分野が異なるものの、共通して「AIがセキュリティの前提を書き換えている」という認識が底流にありました。
| 🔗 デフォルトの危険性
Salesforceの「許可がデフォルト」、Agentforceの「検証なしがデフォルト」、そしてシャドウAIの「禁止されていないから使う」——すべて共通して「デフォルト設定の甘さ」が攻撃面を生んでいます。Secure-by-Defaultの設計思想が改めて重要です。 |
| 🤝 AIは「置き換え」ではなく「増幅」
Netflixの脅威モデリング「AIを新入社員として扱う」、Chuvakin氏の「禁止より誘導」——いずれもAIを人間の敵ではなく味方として位置づける実務家の視点。AIの限界を正しく理解した上で、人間の判断力を活かす設計が求められています。 |
| 📋 ガバナンスは「後付け」では間に合わない
CrowdStrike基調講演(Day 2)の「AIエージェントがポリシーを書き換えた」事例、Chuvakin氏の「シャドウエージェント」の警告、Salesforceの「管理外アプリ接続」——AIの自律性が高まるほど、事後対応では間に合いません。ガバナンス設計はAI導入と同時に着手すべきです。 |
🌏 RSAC参加のすすめ:3つの視点から
最後に、RSAC 2026全体を振り返り、RSACに参加するメリットを「エンジニア」「営業」「経営者」の3つの視点からお伝えしたいと思います。
セキュリティ業界に携わる方であれば、ぜひ一度は現地で体感していただきたいイベントです。
🛠️ エンジニア目線:技術の最前線を体感し、自分の視野を広げる
RSACのセッションは、ベンダーの製品紹介にとどまらず、Netflix・Google・FBI出身の実務家がリアルな課題と解決策を共有する場です。日本にいるだけでは得られない「一次情報」に触れることで、自分が取り組んでいる技術の方向性が正しいのか、世界と比べてどの位置にいるのかが見えてきます。Black Hatは技術に重きを置いていてまた違った雰囲気であれはあれで良いものだとは思います。
また、Expo Hallでは最新のツールやプラットフォームを直接触ることができ、「ドキュメントを読むだけ」では分からない製品の質感を確認できます。セキュリティエンジニアとしての「目利き力」を鍛えるこの上ない機会です。
💼 営業目線:海外ベンダーとの関係構築と市場感覚の獲得
RSACはセキュリティ製品の世界最大の「見本市」でもあります。日本未上陸のスタートアップと直接話し、パートナーシップの可能性を探れる場は他にありません。今回レポートしたHorizon3.ai、Torq、Aikido、Halcyonのいずれも、現地でブースを訪れたからこそ得られた情報です。
「この製品は日本市場で売れるか?」という目利きは、現地でCISOたちの反応を見ることで格段に精度が上がります。行列の長さ、ブースでの質問の質、CISOが何を聞いているか——これらの「空気感」はオンラインでは絶対に得られません。
👔 経営者目線:業界の構造変化を肌で感じ、投資判断を向上させる
基調講演でCrowdStrike・SentinelOneのCEOが語った「従来のセキュリティモデルの終焉」、ChuvakinのAIガバナンス提言——これらはホワイトペーパーやニュース記事で読むのと、現地で数千人のCISOと一緒に聴くのとでは、受け取るインパクトがまったく違います。
RSACに参加することで、セキュリティ投資の「何に」「いつ」「どの規模で」投資すべきかの判断材料が桁違いに増えます。「AIエージェントのガバナンス」「SaaSセキュリティの強化」「ランサムウェア専門対策」——今年のRSACで見えた投資すべき3領域は、間違いなく経営判断に直結するものです。
🇯🇵 そして何より——JapanNightのイベントに感謝を
最後に、個人的に最も強調したいRSAC参加のメリットがあります。それは、現地で同業界の日本人と深い関係を築けるということです。
RSACのような濃密なイベントに日本から参加する方々は、総じてセキュリティに対する熱量が高く、昼間はそれぞれ別のセッションやブースを回り、夜に集まって「今日一番面白かったセッションは?」「あの企業のブース見た?」と情報交換する——この密度の高いコミュニケーションが、帰国後も続く関係性の基盤になります。
特にJapanNightは本当にありがたい取り組みです。日本から参加したセキュリティ専門家が一堂に集まり、普段は出会えない他社のCISO・エンジニア・経営者と肩の力を抜いて話せる場が用意されている。名刺交換にとどまらない「仲間意識」が生まれる場であり、日本のセキュリティコミュニティ全体の底上げにつながっていると実感しています。
海外カンファレンスというと身構えてしまう方もいるかもしれませんが、JapanNightのようなコミュニティの力で、初参加でもすぐに仲間が見つかります。来年のRSAC 2027にご興味がある方は、ぜひお声がけください。一緒に行きましょう!
📝 RSAC 2026 総括
4日間にわたるRSAC 2026 Conferenceを振り返ると、今年のキーワードは間違いなく「AIエージェントとガバナンス」でした。攻撃にも防御にもAIが浸透し、そのガバナンスが追いついていないという現実を、あらゆるセッションが異なる角度から指摘していました。
4日間の現地レポートにお付き合いいただき、ありがとうございました。VLCセキュリティの今後の取り組みに引き続きご期待ください!
VLCセキュリティグループ CISO / VLCセキュリティラボ 代表
中本 有哉
RSAC 2026 サンフランシスコ現地より
