AI時代のセキュリティは「守る」から「管理し続ける」へ｜Interop Tokyo 2026 参加レポート

2026年6月10日から12日まで開催されたInterop Tokyo 2026に、新入社員として参加しました。今回の目的は、SCS評価制度★4の取得や、★4を目指すお客様への支援を見据え、セキュリティ運用に関する最新動向を学ぶことです。

初めて大規模なIT展示会に参加し、会場の熱量に圧倒される一方で、各セッションを通じて強く感じたのは、これからのセキュリティ対策は「一度確認して終わり」ではないということです。脆弱性診断、特権アクセス管理、継続的なリスクモニタリング、AIガバナンスはいずれも、日々変化する環境を可視化し、運用し、管理し続ける仕組みが重要になると感じました。

Interop Tokyo 2026では、最新技術の展示だけでなく、企業が実際にどのようにセキュリティを運用していくかに焦点を当てたセミナーが多く開催されていました。

SCS評価制度への対応を考えるうえで参考になりそうな領域として、今回特に印象に残ったのは、脆弱性診断の内製化、認証情報・特権IDの管理、リスクの継続的な把握、そしてAI利用のガバナンスです。どのテーマも、導入時のチェックだけでは不十分で、運用の中で状態を見続けることが求められている点でつながっていました。

これまで私は、セキュリティ対策というと「必要な製品を導入する」「決められたチェックを実施する」といったイメージを持っていました。しかし、今回のセッションを通じて、実際には環境の変化に合わせて継続的に見直し、改善していくことが重要なのだと感じました。

SCS評価制度や、★4取得に向けた考え方については、「経済産業省のSCS評価制度「全社で備える」理由」でも紹介していますので、ぜひご参照ください。

「AIが変える脆弱性診断の新常識 —自律的セキュリティ運用への第一歩」 (エーアイセキュリティラボ社) では、AIによって開発も攻撃も高速化している一方で、防御側の脆弱性診断だけが従来のままでは追いつきにくいという課題が語られました。特に印象的だったのは、脆弱性診断を年1回の大きなイベントにするのではなく、必要なタイミングで日常的に確認できる形へ変えていくという考え方です。

内製化は、専門家の知見を不要にするものではなく、重要なリリースや高度な判断が必要な場面では専門家の知見を活用し、小さな改修や再診断はツールや社内運用で回す、という役割分担だと理解しました。これまで私は、脆弱性診断は「専門家に依頼するもの」か「ツールだけで実施するもの」のどちらかだと考えていました。しかし講演を通じて、重要な場面では専門家の知見を活用し、日常的な確認や再診断はツールや社内運用で回すという、場面に応じた使い分けが重要なのだと理解しました。

また、「事例から学ぶ『特権アクセス管理』 ランサム対策やSCS評価対策、AIエージェントにも不可欠な認証情報管理を見直す！ 」(Keeper Security APAC社・JTP) では、ランサムウェア対策やSCS評価制度への対応を考えるうえで、認証情報や特権アクセスの管理がいかに重要かを学びました。攻撃者にとって、IDやパスワードはシステムの入口になる重要な資産です。誰が、いつ、どの環境にアクセスし、どのような操作をしたのかを記録できる仕組みは、単なる監査対応ではなく、被害の予防や早期把握にもつながると感じました。

同セミナーでは、当社社員による実運用を踏まえた説明もあり、認証情報や特権アクセスの管理は、制度対応だけでなく、日々のセキュリティ運用そのものの重要であるといった点にも触れています。本講演内容の詳細は別途公開予定のレポートでも紹介される予定です。

「AI活用時代の「見えづらいリスク」を見抜く －年1回の監査から、データドリブンなリアルタイム評価へ－」 (順天堂大学、アズジェント社) では、クラウドやSaaS、AIエージェントの利用が広がる中で、年1回の監査だけではリスクを把握しきれないという課題が取り上げられました。設定変更や権限変更、新しいサービス連携は日々発生するため、ある時点で「問題なし」と確認できても、その状態が続くとは限りません。

そこで重要になるのが、自動評価と継続的モニタリングです。システムの状態や利用状況をデータとして収集し、継続的に評価することで、リスクの兆候に早く気づける可能性があります。

また、AIエージェントの利用では、単に導入して終わりではなく、どのデータを扱い、どのような判断や操作を行ったのかを監視する仕組みが必要です。AIが扱うデータや実行できる操作の範囲が広がるほど、人間がその行動を適切にガバナンスする役割が重要になると感じました。

このセッションを聞いて、リスクは「見つけたら終わり」ではなく、「変化し続けるもの」として捉える必要があるのだと感じました。特にクラウドやSaaSのように、設定や権限が日々変わる環境では、定期的な点検だけでなく、継続的に状態を把握する仕組みが求められると学びました。

「AIは"新たな委託先" AI時代の委託先管理と企業ガバナンスの未来」 （Conoris Technologies社） では、AIを単なる便利なツールではなく、“新たな委託先”として捉える考え方が紹介されました。AIは文章作成、要約、分類、判断支援など、すでにさまざまな業務を担い始めています。一方で、どの業務で、どのAIに、どのデータを渡し、どの出力を利用しているのかを把握できていなければ、情報漏えいや誤情報、サプライチェーンリスクにつながる可能性があります。

特に、「AIはとりあえず導入する」ではなく、「管理しながら使う」ための仕組みを考える必要がある点が特に興味深かったです。普段から生成AIを身近に感じている世代だからこそ、「便利だから使う」だけでなく、「どのように管理して使うか」まで考える必要があると感じました。

AI機能がSaaSに組み込まれるケースも増えており、自社が直接導入したAIだけでなく、委託先や利用中のサービスを通じたAI利用も管理対象になり得ます。AI活用が当たり前になるほど、ガバナンスの重要性も高まると感じました。

今回のInterop Tokyo 2026を通じて、セキュリティ対策は「導入して終わり」ではなく、「管理し続けるもの」へ変わっていると感じました。脆弱性診断、特権アクセス管理、リスクモニタリング、AIガバナンスは一見別々のテーマに見えますが、どれも変化を継続的に把握し、必要な対応につなげる点で共通しています。

新入社員として、展示会の熱量や各社の問題意識に触れたことで、SCS評価制度★4を目指すうえで重要なのは、ツールや製品を導入することだけではなく、それらをどう運用に組み込み、誰がどのように見続けるかを設計することだと学びました。

今後の業務では、技術知識を深めるだけでなく、お客様の現場で継続的に回せるセキュリティ運用とは何かを考えながら、支援につなげていきたいです。