エンジニアリング主導のセキュリティと、Agentic protectionの未来（Raghu Sethuraman氏）

サマリー

本エピソードでは、SecOps Confidential のホストである James Berthoty が、Automation Anywhere のエンジニアリング本部長である Raghu Sethuraman を迎え、セキュリティ組織の構造がどのように進化しているのか、そしてなぜエンジニアリングリーダーがプロダクトセキュリティの責任を担うケースが増えているのかについて議論します。

Raghu は、コード生成セキュリティ、システムプロンプト保護、ランタイムモニタリングを含む AI セキュリティの3つの側面を分解して解説し、まだ先の話に思える場合でも、チームは今からエージェント間（A2A）通信への備えを始める必要がある理由を説明します。

また、セキュリティが SDLC 全体を通じて全員の責任になりつつある背景、Agentic な世界においてデータの権限制御とガバナンスを後回しにできない理由、さらに AI レッドチーミングおよび倫理フレームワークを構築するための実践的な第一歩についても議論します。

さらに Raghu は、Agentic オートメーションの最前線での経験から得た知見として、Automation Anywhere における多層防御アプローチ、エージェントのアイデンティティ管理、そしてエージェント導入初期からエージェントの急速な普及へと移行する流れについて共有します。

ショーノート

• プロダクトセキュリティがエンジニアリング主導へ移行する一方で、InfoSec が CIO 組織に残る理由
• 開発者、DevOps、セキュリティチーム間でセキュリティがどのように共有責任となるのか
• AI セキュリティの3つの側面：コード生成、システムプロンプト、ランタイムモニタリング
• AI レッドチーミング、倫理、ガバナンスは逐次ではなく並行して進めるべき理由
• エージェント間（A2A）セキュリティプロトコルと、MCP から Agentic スウォームへの進化
• データセキュリティの多層アプローチ：公開、組織、部門、ユーザー単位の権限制御
• 従来ソフトウェアにおける依存関係チェーン分析と同様に、エージェント通信の脅威モデリングを行う方法
• チームがエージェントの価値を発見した際に生じる急速な拡大（スノーボール効果）と、早期準備の重要性
• 実践的な第一歩として、エージェントの普及前に AI レッドチーミングとガバナンスから着手すること

リンク

• Automation Anywhere
• エクサフォース