はじめに
2026年3月23日、CrowdStrikeはRSAカンファレンス2026(RSAC 2026)で Falconプラットフォームの大規模拡張を発表 した。エンドポイントをAIセキュリティの中心に据え、Shadow AI Discovery・EDR AI Runtime Protection・AIDRなど、AIエージェント時代に対応する包括的なセキュリティ機能群を投入する。
CrowdStrikeのセンサーは企業デバイス上で 1,800以上のAIアプリケーションを検出 しており、その数は約1.6億のユニークインスタンスに達する。AIエージェントの急速な普及に伴い、セキュリティチームが「何が動いているか把握できない」状態は深刻なリスクとなっている。
この記事では、RSAC 2026で発表されたCrowdStrike Falconの新機能を体系的に整理し、開発者向けのOSSツール falcon-mcp の活用方法まで解説する。
この記事で学べること
- CrowdStrike FalconのAIエージェントセキュリティ新機能の全体像
- Shadow AI Discovery(エンドポイント・SaaS・クラウド)の仕組みと検出対象
- EDR AI Runtime ProtectionとAIDRによるリアルタイム脅威検知
- falcon-mcp を使ったAIエージェントからのセキュリティ運用自動化
対象読者
- AIエージェントを開発・運用するエンジニア
- エンタープライズ環境でのAIセキュリティに関心がある方
- MCP連携によるセキュリティ自動化に興味がある方
TL;DR
- CrowdStrikeはRSAC 2026で エンドポイントをAIセキュリティの中心 に据える戦略を発表した
- Shadow AI Discoveryがエンドポイント上のAIアプリ・LLMランタイム・MCPサーバー・IDE拡張を自動検出する
- EDR AI Runtime Protectionでエージェント型アプリの振る舞いをリアルタイム監視し、AIDR(AI Detection and Response)でプロンプト攻撃やデータ漏洩を検知する
- OSSの falcon-mcp でAIエージェントからCrowdStrike Falconの脅威インテリジェンスにアクセスできる
CrowdStrikeがRSAC 2026で発表した背景
AIエージェント普及がもたらすセキュリティの構造変化
AIエージェントの普及は、従来のセキュリティモデルに根本的な変化を突きつけている。CrowdStrike社長のMichael Sentonasは 公式発表 で「AIエージェントはテクノロジーの動作方法と、そのセキュリティ確保の方法を根本的に変えている」と述べている。
従来のSaaSセキュリティでは、利用するアプリケーションが明確で、APIコネクタを通じたガバナンスが可能だった。しかしAIエージェントは、従業員がMicrosoft Copilot StudioやSalesforce Agentforceなどのプラットフォーム上で数分のうちに構築・デプロイできる。セキュリティチームの把握が追いつかない「シャドーAI」が急速に拡大している現状がある。
なぜ「エンドポイント」が中心なのか
CrowdStrikeの戦略的主張は明確で、AIエージェントの行動は最終的にエンドポイント上で実行されるという点に集約される。ファイル操作、ネットワーク通信、プロセス起動など、エージェントがどのような行動を取るにしても、その実行はデバイス上で発生する。Falconセンサーはこの実行ポイントで振る舞いを観察し、ポリシーを適用し、リスクのある活動をリアルタイムで停止できるという考え方である。
Shadow AI Discovery — 3層の可視化
Shadow AI Discoveryは、組織内で管理されていないAI関連のコンポーネントを自動的に検出・分類する機能群である。エンドポイント・SaaS・クラウドの3つのレイヤーで 一般提供(GA)が開始 されている。
エンドポイント層
Falcon Exposure Management内のAI Discoveryが、エンドポイント上で動作するAI関連コンポーネントを リアルタイムに特定 する。
検出対象:
| カテゴリ | 具体例 |
|---|---|
| AIアプリケーション | ChatGPT、Gemini、Claude、DeepSeek |
| LLMランタイム | ローカルで動作するLLM推論エンジン |
| MCPサーバー | Model Context Protocol対応サーバー |
| IDE拡張 | GitHub Copilot、Cursor等のAIコーディングツール |
検出されたコンポーネントは資産コンテキストに紐づけられ、権限レベル・接続性・重要リソースへの近接度が分析される。セキュリティチームは「何のAIが動いているか」だけでなく「侵害時の爆発半径がどの程度か」も評価できる。
SaaS層
Falcon Shield内の AI Agent Discovery が、SaaSプラットフォーム上のAIエージェントを統合的に検出・分類する。
対応プラットフォーム:
- Microsoft Copilot(Power Platform)
- Salesforce Agentforce
- ChatGPT Enterprise
- OpenAI Enterprise GPT
- Nexos.ai
各エージェントの構成・ツール/APIアクセス権・データソース・オーナーシップが可視化される。さらに、エンドポイントから収集したDNSテレメトリを分析することで、正式なAPIコネクタなしでもシャドーAIの SaaS利用を検出できる。
クラウド層
Falcon Cloud SecurityのApplication Explorerが、クラウドインフラ上のAI利用を 統合的に可視化 する。
- 未管理のAI利用やガバナンス外のインタラクションを検出
- AIから機密データへのアクセス経路を特定
- eBPFベースのモニタリングで、MCPサーバーやAmazon SageMaker・AWS Bedrockなどのサービスを経由するデータフローをリアルタイム監視
EDR AI Runtime Protection — エージェントの振る舞い監視
従来のEDR(Endpoint Detection and Response)がマルウェアやラテラルムーブメントを検知するのと同様に、EDR AI Runtime Protectionは AIエージェント型アプリケーションの振る舞いをリアルタイムで監視 する。
Falconセンサーがキャプチャする情報は以下の通りである。
| キャプチャ対象 | セキュリティ上の意味 |
|---|---|
| コマンド・スクリプト | エージェントが実行する操作の監視 |
| ファイルアクティビティ | 機密ファイルへのアクセス検知 |
| ネットワーク接続 | 外部へのデータ送信検知 |
不審な振る舞いが検出された場合、人間のセキュリティチームとエージェント型セキュリティチームの両方が、活動を元のプロセスまでトレースし、影響を受けたエンドポイントを即座に隔離して脅威の拡散を防止できる。
AIDR(AI Detection and Response) — プロンプト層の保護
AIDR は、AIアプリケーションのプロンプト層で発生する脅威を 検知・対応する機能 である。
検知対象
- プロンプトインジェクション攻撃 — 悪意あるプロンプトでAIの振る舞いを操作する試み
- データ漏洩 — 機密情報がAIアプリケーション経由で外部に送信されるケース
- アクセス制御違反 — AIエージェントが許可されていないリソースにアクセスする行為
対応環境と提供状況
| 環境 | 対象 | 状態 |
|---|---|---|
| デスクトップアプリ | ChatGPT、Gemini、Claude、DeepSeek、Microsoft Copilot、O365 Copilot、GitHub Copilot、Cursor | プレベータ(GA: 2026年Q2予定) |
| Microsoft Copilot Studio | Copilot Studioエージェント | プレベータ(GA: 2026年Q1予定・発表時点) |
| クラウド(コンテナ) | OpenAI API仕様準拠のコンテナ化アプリ | プレベータ(GA: 2026年Q2予定) |
クラウド環境では、Falcon Cloud SecurityがOpenAI API呼び出しをインターセプトし、AIDR検知エンジンにルーティングする。検知結果はFalcon AIRDコンソールとFalcon Next-Gen SIEMに表示される。
falcon-mcp — AIエージェントからFalconを操作するOSSツール
CrowdStrikeはGitHub上で falcon-mcp を公開している。MCP(Model Context Protocol)サーバーとして動作し、AIエージェントからCrowdStrike Falconの検知・インシデント・脅威インテリジェンスにプログラマティックにアクセスできる。
セットアップ
前提条件:
- Python 3.11以上
- CrowdStrike APIクレデンシャル(Client ID / Secret)
-
uvまたはpipパッケージマネージャ
インストール(uvx推奨):
uvx falcon-mcp --modules detections,incidents
pip経由:
pip install falcon-mcp
falcon-mcp --modules detections,incidents
Docker:
docker run -i --rm --env-file .env quay.io/crowdstrike/falcon-mcp:latest
認証設定
環境変数または .env ファイルでクレデンシャルを設定する。
export FALCON_CLIENT_ID="your-client-id"
export FALCON_CLIENT_SECRET="your-client-secret"
export FALCON_BASE_URL="https://api.crowdstrike.com"
利用可能なモジュール
falcon-mcpは機能ごとにモジュール化されており、必要なものだけを --modules フラグで指定できる。
| モジュール | 用途 | 主なツール |
|---|---|---|
| Detections | 脅威分析 |
falcon_search_detections, falcon_get_detection_details
|
| Incidents | 攻撃パターン分析 |
falcon_search_incidents, falcon_show_crowd_score
|
| Hosts | デバイスインベントリ |
falcon_search_hosts, falcon_get_host_details
|
| Intel | 脅威リサーチ |
falcon_search_actors, falcon_search_indicators
|
| Spotlight | 脆弱性管理 | falcon_search_vulnerabilities |
| Cloud Security | コンテナ/CSPM |
falcon_search_kubernetes_containers, falcon_search_cspm_assets
|
| IOC | カスタムインジケーター |
falcon_search_iocs, falcon_add_ioc
|
| Custom IOA | 振る舞い検知ルール |
search_ioa_rule_groups, create_ioa_rule
|
Claude Codeでの設定例
Claude Codeの settings.json に以下のようにMCPサーバーとして登録することで、AIエージェントからFalconの脅威データにアクセスできる。
{
"mcpServers": {
"falcon": {
"command": "uvx",
"args": ["falcon-mcp", "--modules", "detections,incidents,hosts,intel"],
"env": {
"FALCON_CLIENT_ID": "your-client-id",
"FALCON_CLIENT_SECRET": "your-client-secret"
}
}
}
}
この設定で、Claude Codeから「最新の高優先度検知を調べて」「このホストの脆弱性を確認して」といった自然言語の指示でFalconのセキュリティデータを操作できる。
falcon-mcpは パブリックプレビュー 段階にあり、本番環境での運用は推奨されていない。AIが生成するFQL(Falcon Query Language)クエリは実行前にバリデーションが必要である。
Seraphic Security買収 — ブラウザランタイム保護の補完
CrowdStrikeは Seraphic Security の買収(2026年1月発表、2月クローズ済み)を活用し、ブラウザ環境でのエージェント型アクティビティに対するランタイム保護を拡張する。ブラウザ上で動作するAIツール(ChatGPT Web、Gemini Web等)の利用監視やデータ漏洩防止を、エンドポイントセンサーと連携して実現する。
競合との比較
RSAC 2026では、CrowdStrike以外にも複数のベンダーがAIエージェントセキュリティを発表している。
| ベンダー | アプローチ | 特徴 |
|---|---|---|
| CrowdStrike | エンドポイント中心 | Falconセンサー活用、EDR統合、MCP Server検出 |
| Astrix Security | NHI(Non-Human Identity)中心 | Agent Control Plane、4カテゴリDiscovery(Platform / NHI / Sensor / Custom)、Agent Policies |
| Microsoft | プラットフォーム統合 | Purview/Entra連携、Security Store(3/31 GA) |
CrowdStrikeの強みは既存のFalconセンサー基盤を活用できる点にあり、新たなエージェントやプロキシの追加展開なしにAI可視化を開始できる。一方、Astrix Securityは4つの異なる手法(AIプラットフォームAPI統合、NHIフィンガープリンティング、EDRテレメトリ、ネットワークセンサー)を組み合わせた包括的な検出を強みとしている。
開発者が押さえるべきポイント
AIエージェントを開発・運用するエンジニアにとって、今回の発表から得られる示唆は以下の通りである。
1. MCPサーバーは可視化対象になった
Shadow AI Discoveryがエンドポイント上のMCPサーバーを自動検出する。組織内でMCPサーバーを立てる場合、セキュリティチームとの事前調整が不可欠になる。
2. エージェントのAPIアクセスは監視される
SaaS層のAI Agent DiscoveryやクラウドのAIDRにより、エージェントがどのAPIにアクセスし、どのデータを扱っているかが可視化される。最小権限の原則に基づいたアクセス設計がより重要になる。
3. falcon-mcpでセキュリティ運用を自動化できる
MCPサーバーとして提供されるfalcon-mcpにより、AIエージェントからセキュリティオペレーションを自動化する新しいワークフローが可能になった。インシデント対応の初動トリアージや脅威インテリジェンスの自動収集といったユースケースが考えられる。
まとめ
- CrowdStrikeはRSAC 2026でエンドポイントをAIセキュリティの中心に据える戦略を明確に打ち出した
- Shadow AI Discoveryにより、エンドポイント・SaaS・クラウドの3層でAIアプリ・エージェント・MCPサーバーが可視化される
- EDR AI Runtime ProtectionとAIDRにより、エージェント型アプリの振る舞い監視とプロンプト層の脅威検知が実現される
- OSSの falcon-mcp は開発者がAIエージェントからFalconのセキュリティ機能にアクセスするための実用的なツールである
- AIエージェントの開発・運用には、セキュリティチームとの連携とガバナンス設計が必須の時代に入った
参考リンク
- CrowdStrike公式プレスリリース: Establishes the Endpoint as the Epicenter for AI Security — セクション「はじめに」「EDR AI Runtime Protection」で引用
- CrowdStrike公式ブログ: New CrowdStrike Innovations Secure AI Agents and Govern Shadow AI — セクション「Shadow AI Discovery」「AIDR」で引用
- BusinessWire公式発表 — セクション「はじめに」で引用
- falcon-mcp GitHubリポジトリ — セクション「falcon-mcp」で引用
- SiliconANGLE: CrowdStrike targets AI security gap at RSAC Conference — セクション「背景」で参考
- Astrix Security公式プレスリリース — セクション「競合との比較」で引用
- Microsoft Edge Blog: RSAC 2026 Shadow AI Announcements — セクション「競合との比較」で引用