「AIでAIと戦う」時代の幕開け Google CloudとWizが目指す自律防御の世界：「Google Cloud Next 2026」現地レポート

AIを活用した自律的なサイバー攻撃に人間主導の運用は限界を迎えている。Google CloudとWizの幹部が語る、AIエージェント同士の連携がもたらす「自律防御」の未来と、防御側が持つアドバンテージを紹介する。

[末岡洋子，ITmedia]

　「AIでAIと戦う」――2026年3月、Google Cloudはセキュリティ強化に向けて320億ドルでWizを買収した。Google史上最大の金額を投じた背景にあるのは、マルチクラウドやAIといったトレンドによるセキュリティの変化だ。攻撃者がAIを使って脆弱（ぜいじゃく）性を自動的に発見し、攻撃チェーンを自律的に実行する時代に、人間が主導するセキュリティ運用はもはや追い付けない。Google CloudとWizが描くのは、セキュリティチームの日常業務そのものをエージェントが担う世界だ。

　Google Cloudが2026年4月、米国ラスベガスで開催した「Google Cloud Next '26」で、Google CloudのCOO兼セキュリティ製品担当プレジデントのフランシス・デソーザ（Francis deSouza）氏とWiz共同創業者でプロダクト担当バイスプレジデントを務めるイノン・コスティカ（Yinon Costica）氏らが登壇したセッションの内容をレポートする。

左がイノン・コスティカ氏、右がフランシス・デソーザ氏（筆者撮影）

開発者でない社員がエージェントを作る時代、セキュリティはどう変わるか

　セキュリティ運用の現場では今、3つの変化が同時進行しているとコスティカ氏は話す。

　変化の1つ目は、開発の民主化だ。「以前は開発者だけがアプリケーションを作っていた。今は社員なら誰でも開発者になれる」とコスティカ氏は指摘する。エージェント時代になり、コードを書けない社員でもAIアプリケーションの構築がさらに簡単できるようになった。これはセキュリティチームが管理すべき対象が爆発的に増えることを意味する。

　2つ目は、エージェントの進化だ。エージェントはデータベースへのアクセスやコードの実行、外部APIと自律的に連携する。その一つ一つが新たな攻撃対象になる。

　3つ目は攻撃側もAIを使い始めているということだ。脆弱性の発見や悪用、攻撃チェーンの実行、これらが自動化されつつある。

　セキュリティチームが守るべき対象は、従来のインフラやアプリケーションだけではない。社員が日常的に生み出すエージェントや、それらが使うモデル、データパイプライン、プロンプトにまで広がった。デソーザ氏は「AIを使う攻撃者と戦うには、AIで戦うしかない。AIネイティブで、機械速度で動く防御戦略が必要だ」と述べる。

　こうした状況への対策として、コスティカ氏が強調したのは「可視性」だ。「どんなAIコンポーネントが使われているかを把握することが、セキュリティプログラムの出発点になる」。先のRSA ConferenceでWizが発表した「AI Application Protection Platform」（AI-APP）では、この可視性を土台に、「攻撃者より先にリスクを見つけて修正する」「セキュアバイデザインで開発する」「脅威に自動で対応する」という三つの機能で保護できるとコスティカ氏は説明した。

　一方で、コスティカ氏は楽観的な見方も示す。「歴史的に、セキュリティは常に後回しだった。技術が先行して普及し、人々が使い始めてからようやくセキュリティ対策が整う。しかし、今回は違う。私たちは攻撃者がAIを使い始めたのとほぼ同時に、防御側のツールも用意できている」。

　実際に、Google Cloudは「Gemini」を基盤とするエージェント型SOCの構築を進めている。既に稼働しているTriage Agentは30分かかった初期調査を60秒以内に完了させ、過去1年間で500万件以上のアラートを処理したと報告した。

Red、Green、Blue　エージェントが回す自律防御のサイクル

　「今年の目標は、既知のセキュリティプロセスを全て自動化すること」とコスティカ氏は前置きした上で、Wizが発表した3つのエージェントを説明した。それぞれが支援するチームにちなんで、Red、Green、Blueと名付けられている。

　Red Agentは「友好的なハッカー」として機能するエージェントだ。Wizがクラウドサービスの深い可視性を生かし、インターネットに公開されているAPIやアプリケーションを網羅的に特定した上で、実際に侵入を試みる。

　Red Agentの最大の価値は「検証済みの攻撃経路」だけを出力する点だ。見つかったリスクはすぐに優先対応すべきものとして扱えるため、セキュリティチームは優先順位付けを迷わずに済む。既にパブリックプレビューとして提供されており、Wizの顧客は利用できる。

　2つ目のGreen Agentは、Red Agentが見つけたリスクのトリアージを自動化するエージェントだ。リスクのオーナーを特定し、修正方法を提案し、問題を引き起こしたコードの該当行を特定する。開発者へのプルリクエストとして送信することも、コーディングエージェントに委ねて本番環境への再デプロイまで完結させることができる。従来のトリアージは、開発チームとセキュリティチームの関係者が一室に集まり、誰がオーナーで何を修正すべきかを議論しながら進める、数日から数週間かかる作業だった。それが「数分で完結する」という。

　3つ目のBlue Agentは、実際のインシデントが発生したときに動く。これまで人間のアナリストがTier1、Tier2として担ってきた調査プロセスを自動化するものだ。コスティカ氏は「AIが主役でない世界なら時間がかかっても許容できた。しかし、ほぼ全てがAIで動く世界では、その余裕はない」と説明した。

　Red、Green、Blueの3つのエージェントは単独でも機能するが、互いに連携しても動く。Red Agentが脆弱性を発見すると、Green Agentがトリアージを開始するという具合だ。「発見、修正、防御が自律的なサイクルとして回る。従来のセキュリティ運用モデルと大きく異なるわけではないが、各チームが自分たちのワークフローを自動化できるようになった」とコスティカ氏は述べた。

　こうした仕組みを支えるのがWizのセキュリティグラフだ。コードとクラウドからエージェントレスでAI資産のインベントリを自動構築し、モデルやエージェントスタジオ、クラウド、データのあらゆる層を横断してリスクを相関させる。今回新たに「Databricks」「AWS Agentcore」「Salesforce Agentforce」「Microsoft Azure Copilot Studio」「Gemini Enterprise Agent Platform」など、対応するエージェントスタジオとクラウドが拡充され、マルチクラウドの一元的なセキュリティ管理が一段と現実的になった。

　「10以上の異なるクラウドをサポートし、それぞれに同じレベルのセキュリティコントロールを適用できる。マルチクラウドセキュリティを大きくパワーアップする」（コスティカ氏）

　GoogleのSIEMである「Google Security Operations」にも3種のエージェントが加わった。環境内の脅威を継続的に探索するThreat Hunting Agentと、既存の検知ルールのカバレッジギャップを特定し新たなルールを自動生成するDetection Engineering Agent、サードパーティーのコンテンツからコンテキストデータをワークフローに補完し調査の精度を高めるThird-Party Context Agentだ。

　デソーザ氏はDetection Engineering Agentについて「新しい脅威インテリジェンスが出るたびに、何千ものルールとの整合性を人間が確認するのは現実的ではない。このエージェントが自動でやってくれる」と説明する。さらに3月、自社脅威インテリジェンス「Google Threat Intelligence」にダークウェブインテリジェンスの統合を発表、通常インデックスされないインターネットの脅威活動を監視できるようになった。内部テストでは外部脅威を98％の精度で特定できたという。

「コンテキスト」を持つ者が勝つ

　エージェントが急増する中、新たな課題として浮上しているのがアイデンティティー管理だ。Gemini Enterprise Agent Platformでは、エージェントにユニークなIDを付与する新機能Agent Identityを備えるが、デソーザ氏は「エージェントのアイデンティティー管理には大きなニーズがある」という。

　「承認済みのエージェントだけでなく、未承認のエージェントも含めて、環境内にどんなエージェントが存在するかを把握することが出発点となる。その上で、承認済みエージェントには持続的なアイデンティティーを付与し、何にアクセスできるかを明確にし、そのアクセス制御は人間のアイデンティティーよりもダイナミックに変化する可能性がある。それを管理する新しいモデルが必要だ」

　脅威は常に変化している。18〜24カ月後の脅威ランドスケープはどうなっているか。

　まず、コスティカ氏は攻撃側の変化を指摘した。「攻撃チェーン全体を自動化する能力が現実のものになりつつある。これはセキュリティの考え方を根本から変える」。ただし同時に防御側にも希望があると言う。「同じモデルでも、与えるコンテキストによって全く異なる結果が生まれる。攻撃者は私たちの環境についてほとんど知らない。防御側は知っている。そのアドバンテージを生かすために、今すぐ動かなければならない」。

　デソーザ氏は次のように付け加えた。「世界には攻撃者より防御者の方がはるかに多い。全てのソフトウェア開発者が、コードのリスクを修正することで防御者になれる。防御側だけが、自社の最も価値ある資産がどこにあるかを知っている。従業員が通常どう動くかを知っている。攻撃者はそれらを知らない。「AIによってそのコンテキストを完全に統合し、深く理解できるようになった今、防御側には大きなアドバンテージがある」（デソーザ氏）。

（取材協力：Google）