※2 ISC2:正式名称は、International Information System Security Certification Consortium, Inc.
情報セキュリティーの専門家向けに認定資格を発行する国際的な非営利団体です。
※3 CISSP:正式名称は、Certified Information Systems Security Professional
ISC2が発行する国際的に認められた情報セキュリティー・プロフェッショナル資格で、セキュリティー管理、リスク分析、ネットワークセキュリティーなど、情報セキュリティーの幅広い知識と実践的なスキルを証明します。
2.テーマの変化
ここではRSACのテーマの変化について考えてみたいと思います。なお、RSAC 2025のテーマは「Many voices. One community.」で、RSAC 2024は「The Art of Possible」でした。それぞれ直訳するとRSAC 2025は「たくさんの声、1つのコミュニティー」、RSAC 2024は「可能性の芸術」です。これだけでは何のことだかわからないため、セキュリティーのトレンドの変化を加味しつつ考えていきたいと思います。
(1)テーマの変化「想像から実現へ」
RSAC 2024は、昨年の記事でもお伝えした通り、AIが主役でした。セキュリティーにAIが組み込まれた未来に何が起きるか想像力を働かせることがカンファレンス全体のテーマに相応しいと主催者側が考えたのではないかと思います。「The Art of Possible」とは、アート思考で可能性を追いかける、つまりAIをどう使うか想像力を発揮できればセキュリティーが大きく進化する可能性がある、というメッセージではないでしょうか。
一方、RSAC 2025も引き続きAIが主役でした。ただ、テーマの「Many voices. One community.」は、RSAC 2024と比べると、想像から脱して、より実現性が増したと感じます。これは、必要なたくさんのデータを「声」に置き換え、その声の集約先であるコミュニティーを「AI」に置き換えると、理解しやすいかもしれません。AIをセキュリティーにどう組み込むか想像して可能性を追求しましょうと言及していたRSAC 2024より、セキュリティーの取り組みで蓄積されたたくさんのデータをAIに集約しましょう、と言及しているRSAC 2025の方がより現実的で、セキュリティーにAIを組み込む未来が想像ではなく、具体的に実現されると思えます。テーマの変化についてまとめると、次の通りとなります。
AI SOC やAIエージェントは、サイバーセキュリティー運用の効率化や人による意思決定の迅速化をサポートする役割を担います。防御側にAIがなければ、攻撃側のAIに太刀打ちできなくなるということです。
最後に、取り上げないわけにはいかないのが、「Knostic」社です。実はRSAC2024のLaunch Padに出場していた時から印象に残っていました。Launch Padは、Innovation Sandbox以上にアーリーステージなスタートアップ企業が3社出場します。「Knostic」社は、いわゆるNeed to Know(知る必要性)を提供し、生成AIのフロントでLLM Gatewayとして動作します。簡単に言うと、社長への返答と一般社員への返答を制御します。社長と一般社員が同じ質問を生成AIにした際に、社長のNeed To Know(知る必要性)と一般社員のNeed To Know(知る必要性)が同じであるはずがなく、当然違う回答が必要になります。2年連続でRSACに参加したことで、「Knostic」社がたった1年で成長していることがわかり、AIにNeed To Know(知る必要性)を提供する重要性を強く認識しました。
AI とセキュリティーの関係性は 、「AI for Security」と呼ばれるセキュリティー保護のための AI、「Security for AI」と呼ばれる AI 保護のためのセキュリティーで表現されますが、Agentic AIが企業に入ると、Non-Human Identityのようなセキュリティー保護も必要となってきます。これは 「AI for Security」か、「Security for AI」か、分類すること自体は重要ではなく、AIによって新たに生み出されるセキュリティー領域があることを示唆しています。アカウント保護以外にもAI(特にAgentic AI)が新たに生み出すであろうセキュリティー課題への先回りを意識すべきと感じました。