はじめに
AIエージェントが自律的にコードを書き、MCPサーバー経由でデータベースやファイルシステムにアクセスする時代が到来している。しかし、エージェントが利用するスキルやツールに悪意あるコードが仕込まれていた場合、被害は即座に広がる。
2026年3月23日、CiscoはRSA Conference 2026で DefenseClaw を発表した。AIエージェントのスキル・MCPサーバー・エージェント間通信・生成コードを統合的にスキャンし、ポリシーベースで制御するオープンソースのセキュリティガバナンスフレームワークである。Apache 2.0ライセンスで 2026年3月27日にGitHub公開 が予定されている。
この記事では、DefenseClawのアーキテクチャ、5つのコアコンポーネント、導入手順、CI/CDパイプラインへの組み込み方法を解説する。
この記事で学べること
- DefenseClawの全体アーキテクチャと5つのセキュリティコンポーネントの役割
- Skill Scannerを使ったエージェントスキルの脆弱性検出
- MCP Scanner・A2A Scannerによるプロトコルレベルの防御
- CI/CDパイプラインやpre-commitフックへの統合方法
対象読者
- AIエージェントを開発・運用しているエンジニア
- MCPサーバーを構築・管理している開発者
- エージェントセキュリティの導入を検討しているチームリーダー
TL;DR
- DefenseClawはCisco発のOSSで、AIエージェントのスキル・MCP・A2A・生成コード・資産管理を5つのスキャナーで統合防御する
-
pip install cisco-ai-skill-scannerで即導入でき、GitHub Actionsとの連携もワークフロー1つで完了する - ブロックリスト適用は2秒以内、エージェント再起動不要でポリシー強制が可能
- NVIDIA OpenShellとのサンドボックス統合、Splunkへのテレメトリ送信に対応
DefenseClawが解決する課題
Ciscoの RSA Conference 2026での発表 によると、主要エンタープライズ顧客の85%がAIエージェントを検証済みだが、本番環境にデプロイしたのはわずか5%にとどまっている。最大の障壁はセキュリティへの懸念である。
従来のセキュリティツールは個別のレイヤー(コードスキャン、ネットワーク監視など)を対象としていたが、AIエージェントはスキル・MCPサーバー・他エージェント・生成コードという複数のアタックサーフェスを同時に持つ。DefenseClawはこれらを単一のフレームワークで統合管理する。
既存ツールとの違い
| 観点 | 従来のセキュリティツール | DefenseClaw |
|---|---|---|
| 対象 | コード・ネットワーク単体 | スキル・MCP・A2A・生成コード統合 |
| 検出タイミング | ビルド時 or ランタイム | 両方(プリスキャン+ランタイム監視) |
| ポリシー反映 | 設定変更後に再起動 | 2秒以内にホットリロード |
| AIエージェント対応 | 汎用 | エージェント専用設計 |
| 導入時間 | 数時間〜数日 | 約5分 |
5つのコアコンポーネント
DefenseClawは以下の5つのセキュリティエンジンを統合している。
1. Skill Scanner — スキルの脆弱性検出
Skill Scanner は、AIエージェントのスキル(プラグイン)をインストール前に多層解析するツールである。 PyPIパッケージ として公開されており、静的パターンマッチング、行動分析(AST dataflow解析)、LLMによるセマンティック分析の3段階で脅威を検出する。
# インストール
pip install cisco-ai-skill-scanner
# 単一スキルのスキャン(静的+行動分析)
skill-scanner scan /path/to/skill --use-behavioral
# 全スキルを再帰的にスキャン(LLM解析付き)
skill-scanner scan-all /path/to/skills --recursive --use-behavioral --use-llm
検出エンジンは8種類あり、用途に応じて組み合わせられる。
| 解析エンジン | 手法 | 対象 | 要件 |
|---|---|---|---|
| Static | YAML + YARAパターン | 全ファイル | なし |
| Bytecode | .pyc整合性チェック | Pythonバイトコード | なし |
| Pipeline | コマンドテイント分析 | シェルパイプライン | なし |
| Behavioral | ASTデータフロー解析 | Pythonファイル | なし |
| LLM | セマンティック分析 | SKILL.md + スクリプト | APIキー |
| Meta | 偽陽性フィルタリング | 全検出結果 | APIキー |
| VirusTotal | ハッシュベースマルウェア検出 | バイナリファイル | APIキー |
| AI Defense | クラウドベースAI分析 | テキストコンテンツ | APIキー |
ポリシーは strict / balanced / permissive の3段階、またはカスタムYAMLで定義できる。
# 厳格ポリシーでスキャン
skill-scanner scan /path/to/skill --policy strict
# カスタムポリシー
skill-scanner scan /path/to/skill --policy custom_policy.yaml
2. MCP Scanner — MCPサーバーの検証
MCPサーバーはAIエージェントと外部リソース(データベース、ファイルシステム、メールクライアントなど)を仲介するブリッジである。DefenseClawのMCP Scannerは、エージェントが接続するすべてのMCPサーバーの整合性を検証し、許可リストとの照合、エンドポイントの変更監視を 継続的に実行する。
3. A2A Scanner — エージェント間通信の監査
A2Aプロトコル(Agent-to-Agent)で通信するエージェント間のメッセージフローを検査し、不正なリクエストやデータ流出パターンを検出する。
4. CodeGuard — 生成コードの静的解析
AIエージェントが生成したコードを実行前に静的解析し、セキュリティベストプラクティスに基づくポリシールールセットで検証する。 Ciscoの公式ブログ によると、未チェックのファイルシステム書き込み、オープンネットワークソケット、権限昇格の試行といった危険なパターンをフラグする。
5. AI Bill of Materials (AI BoM) — 資産管理台帳
環境内のすべてのAI資産(稼働中のエージェント、使用スキル、接続MCPサーバー、依存モデル)を自動インベントリ化し、エージェントの変化に応じて 継続的に更新する。ソフトウェアBOM(SBOM)のAIエージェント版と位置づけられる。
ポリシー強制とランタイム防御
DefenseClawのポリシー強制は「ハードな制約」として機能する。スキルをブロックすると、サンドボックス権限の剥奪、ファイルの隔離、エージェントへのエラー返却が 2秒以内に完了し、再起動は不要 である。
ランタイム監視では、実行ループ内のすべてのメッセージフローを検査する。スキャン結果、ブロック/許可判定、プロンプト-レスポンスペア、ツール呼び出し、ポリシー強制アクション、アラートが構造化イベントとして Splunkにストリーミングされる。
CI/CDパイプラインへの統合
GitHub Actions
Skill ScannerはSARIF 2.1.0形式の出力に対応しており、GitHub Code Scanningと直接連携できる。PRに対してインラインでセキュリティアノテーションが表示される。
# .github/workflows/scan-skills.yml
name: Scan Skills
on:
pull_request:
paths: [".cursor/skills/**"]
jobs:
scan:
uses: cisco-ai-defense/skill-scanner/.github/workflows/scan-skills.yml@main
with:
skill_path: .cursor/skills
permissions:
security-events: write
contents: read
pre-commitフック
.pre-commit-config.yaml に追加するだけで、コミット前に自動スキャンが走る。
repos:
- repo: https://github.com/cisco-ai-defense/skill-scanner
rev: v1.0.0
hooks:
- id: skill-scanner
CIでの失敗制御
# high以上の深刻度でビルド失敗
skill-scanner scan-all ./skills --fail-on-severity high --format sarif
Python SDKでの利用
プログラマティックに利用する場合は、Python SDKが用意されている。
from skill_scanner import SkillScanner
from skill_scanner.core.analyzers import BehavioralAnalyzer
scanner = SkillScanner(analyzers=[BehavioralAnalyzer()])
result = scanner.scan_skill("/path/to/skill")
print(f"検出件数: {len(result.findings)}")
print(f"最大深刻度: {result.max_severity}")
if not result.is_safe:
print("問題を検出 — デプロイ前にレビューが必要")
NVIDIA OpenShellとの連携
DefenseClawは NVIDIA OpenShell のサンドボックス環境と統合される計画が 発表されている。OpenShellはAIエージェントを安全に実行するためのランタイム環境であり、DefenseClawのスキャン・ポリシー機能と組み合わせることで、スキャン→サンドボックス化→実行→監視の一連のパイプラインが自動化される。
AI Defense Explorer Edition — 無料のレッドチーム
DefenseClawと同時に発表された AI Defense Explorer Edition は、エンタープライズ版と同等のAIレッドチーミング機能を無料で提供する。200以上のリスクサブカテゴリ(知的財産窃取、毒性、機密データ抽出など)を約20分で評価し、GitHub Actions・GitLab・Jenkinsとの CI/CD統合も可能 である。 explorer.aidefense.cisco.com からアクセスできる。
まとめ
Cisco DefenseClawは、AIエージェントのセキュリティを「個別ツールの寄せ集め」から「統合ガバナンスレイヤー」に引き上げるオープンソースフレームワークである。
- 5つのスキャナー統合: Skill Scanner、MCP Scanner、A2A Scanner、CodeGuard、AI BoMで全アタックサーフェスをカバー
- 即時ポリシー強制: ブロック適用は2秒以内、エージェント再起動不要
-
5分でセットアップ:
pip installとGitHub Actionsワークフロー追加で導入完了 - エコシステム連携: NVIDIA OpenShellサンドボックス、Splunkテレメトリ
2026年3月27日のGitHub公開後は、既存のOpenClawやCursor、Claude Codeのスキル環境に組み込むことで、エージェントのデプロイ前後を一貫して保護できる。エンタープライズのAIエージェント本番導入率が5%にとどまる現状を打破する鍵となるフレームワークと言える。
参考リンク
- Cisco DefenseClaw GitHub — セクション「5つのコアコンポーネント」で引用
- Cisco Newsroom: Reimagines Security for the Agentic Workforce — セクション「DefenseClawが解決する課題」「NVIDIA OpenShellとの連携」で引用
- Cisco Blog: I Run OpenClaw at Home — セクション「5つのコアコンポーネント」「ポリシー強制とランタイム防御」で引用
- Cisco Blog: AI Defense Explorer Edition — セクション「AI Defense Explorer Edition」で引用
- Skill Scanner GitHub — セクション「Skill Scanner」「CI/CDパイプラインへの統合」で引用
- SiliconANGLE: Cisco debuts DefenseClaw — セクション「既存ツールとの違い」で引用