SSLのRSAC 2026カンファレンスにおける日々の活動報告

最新ニュース、洞察、そしてセッションの合間に耳にする情報。SSLの社長兼CEOであるレオ・グローブをはじめとする現地チームが、モスコーニ・センターの会場から直接お届けする日誌です。 

2009年3月26、2026

SSL社戦略的パートナーシップおよび事業開発担当上級副社長、ダニエル・レンドン:

RSAC 2026の最終日、私はCVEに関するセッションに参加しました。 クラウド署名コンソーシアム 理事として、私は特に、共通のイノベーションと効果的な国境を越えたコミュニケーションを促進するための標準規格と技術の相互運用性に関心を持っています。

CVE理事会は、戦略的な監督を行う。 共通脆弱性識別子（CVE）プログラムの使命。 政府機関と民間企業の間で脆弱性を特定、命名、共有するための政策。

一方、 マイター株式会社 同プログラムは、これまで米国国土安全保障省の資金援助と支援を受けて運営されており、グローバルなサイバーセキュリティ調整に不可欠な官民連携型のガバナンスモデルの中に位置づけられてきた。近年、資金の安定性や地政学的な分断化に関する懸念が生じ、中央集権的なCVEシステムが弱体化または分裂するリスクが高まっている。

CVEを継続的に最新の状態に保ち、適切に管理することは、脆弱性管理における普遍的な参照レイヤーとしての役割を果たすため不可欠です。CVEがなければ、協調的な情報開示、パッチ適用、国境を越えた脅威インテリジェンスは、より遅く、一貫性を欠き、効果も著しく低下するでしょう。

こうした課題はセッション中にも繰り返し提起され、参加者たちは急速に変化するサイバーセキュリティの状況に対処するための基準設定における政府の役割について疑問を呈した。私もパネリストたちの意見に賛同する。公共の利益が重要な考慮事項であり、利害の対立が共通基準の採用意欲を阻害する可能性がある場合には、政府が基準策定において果たすべき役割がある。この役割から政治を完全に排除することは非常に難しいが、完全に民間主導の基準策定枠組みには、必然的に公共の利益とは相容れない個人的および金銭的なインセンティブが伴う。

クラウド署名コンソーシアムのような組織の文脈では、 メルコスール／欧州委員会貿易協定ますます多極化する貿易環境において、デジタルIDとデジタル署名の相互運用可能な標準規格の必要性が高まるでしょう。 CSCの「国境なき信頼」イベント5月13日～14日にコロンビアのボゴタで開催される会議では、政府、民間企業、学術界の関係者が一堂に会し、国境を越えた相互運用性を高める方法について議論するだけでなく、具体的な行動を起こすことを約束します。 

水曜日3月25、2026

SSL社戦略的パートナーシップおよび事業開発担当上級副社長、ダニエル・レンドン:

ここでいくつか考えていただきたい点があります。LLM（ローリング・ラーニング・マネージャー）は、ユーザーに提供するAI生成コードにコード署名を組み込むべきでしょうか？LLM主導の開発ワークフローにおいて、エンジニアはどの程度の責任を負うべきでしょうか？

今週RSACで開催された最も洞察力に富んだパネルディスカッションの一つは、ソフトウェア開発におけるGenAIを取り巻く多くの雑音を払拭するものでした。このディスカッションは、重要な現実、すなわちGenAIはコーディングを加速させる一方で、脆弱なコードパターン、プロンプトインジェクション攻撃、安全でない依存関係など、新たなリスク層をもたらすという点に焦点を当てました。ガバナンス、ガードレール、透明性の重要性を強調することで、安全な導入は選択肢ではなく、基盤となるものであることが明らかになりましたが、現実世界ではまだ改善の余地があることも示されました。

特に興味深かったのは、GenAI支援コーディングにおけるエンジニアの役割について、パネリストの間で活発な議論が交わされた場面だ。エンジニアはコードの生成とレビューの両方に深く関与し続け、LLMは意思決定者ではなく生産性向上ツールとして扱うべきだと主張するパネリストもいた。一方、LLMがコード生成の大部分を担い、エンジニアは主に監視とレビューの役割を担う、より自動化された未来を求めるパネリストもいた。特定の言語やフレームワークに関する専門知識はもはや重要ではないという議論さえ交わされた。

この緊張関係は、業界が依然としてスピードと制御のバランスを模索していることを示しています。私が得た結論は、GenAIは単なるツールの移行ではなく、根本的なガバナンス上の課題であるということです。成功する組織は、明確な責任分担を設定し、厳格なレビュープロセスを実施し、時期尚早な過剰自動化を避ける組織でしょう。

そこで改めてお伺いしますが、LLM（ローカルリーダー）はユーザーに提供するコードにコード署名を組み込むべきでしょうか？LLM主導の開発ワークフローにおいて、エンジニアはどの程度の責任を負うべきでしょうか？ぜひご意見をお聞かせください。

23年３月９日（月）

SSL社テクノロジー担当上級副社長、ダスティン・ウォード氏：

RSAカンファレンス（RSAC）は、世界最大のサイバーセキュリティイベントです。毎年、数万人のセキュリティ専門家がサンフランシスコのモスコーニセンターに集結し、今後の開発動向、問題点、そしてそれらへの対策について議論します。まさに業界が議題を設定する場なのです。

業界全体で私が耳にしているのは以下の通りです。

•  組織は知っている ポスト量子暗号 来ることは分かっているが、どこから（あるいはどのように）始めればいいのか分からない
• AIは新たな攻撃対象領域と新たな信頼要件を同時に生み出している。
• C2PAとコンテンツの出所は、「興味深い」ものから「不可欠な」ものへと変化しつつある。
• 証明書のライフサイクル管理は、公的信頼と プライベート PKI
• ほとんどのチームは、昨日までのツールで上記のすべてを管理している。

特に印象に残ったセッションが一つありました。それは、証明書の有効期間を47日間に短縮する動きに焦点を当てたものでした。398日間の証明書から200日間、100日間、そして最終的には47日間へと移行していくというものです。これは証明書の更新頻度が8倍に増加することを意味し、コンプライアンス上の問題ではなく、運用上の問題です。もしあなたの解決策が依然として手動プロセスと連携の弱いツールであるならば、あなたは既に時代遅れです。そして、24時間以内にすべての証明書を交換する必要が生じた場合、単一の認証局への依存は深刻なリスクとなります。

SSL.comでは、この点に特に力を入れています。 プライベート PKI パブリックトラストが適切なモデルではないユースケース、および検証が既に実施され、発行パスが確立され、重要なときにトラフィックを切り替えたり並行して発行したりできる、真のバックアップCAの準備状況に対応します。

資格認定以外では、今日のほぼすべての会話で2つのテーマが中心となっていた。それはAIとPQCである。

AIの分野では、エージェント型AIが今日至る所に存在し、生産性革命をもたらしている一方で、AIによる攻撃から、ユーザーに代わって行動する自律型エージェントを管理するという課題まで、深刻なリスクも抱えています。私たちはどのように対処すればよいのでしょうか？ AIが生成したコンテンツを認証する？ モデル自体をどのように保護すればよいのでしょうか？ここで、次のような標準規格が重要になります。 C2PA そして強い PKI それらは単なるあれば便利なものではなく、基盤となるものになりつつある。

PQC側では、 NIST ポスト量子標準を最終決定しました。移行の期限が迫っています。証明書に関わるあらゆること、例えば公的信頼に関わることなどを担当している場合は、 TLS/SSL、プライベート PKIコード署名、C2PAコンテンツ認証など、PQC移行計画が必要かどうかではなく、既に計画を持っているかどうかが問題です。

これらは、私と私のチームがSSL.comで日々取り組んでいる内容です。これらのトピックに関して何か気になることがあれば、遠慮なくご連絡ください。

このジャーナルはRSACウィーク中毎日更新されます。明日は2日目の報道をお届けしますので、ぜひまたチェックしてください。 LinkedIn コート上のリアルタイムハイライトをご覧いただけます。

貴社が証明書のライフサイクル短縮、複数認証局（CA）への対応、量子耐性対策などに向けてどのような準備を進めているかについてお話してみませんか？ぜひご連絡ください。