エンタープライズ向けAIガーディアンの構築：Onyx Security CEO Maxim Bar Koganとの対談

AIエージェントが自律的に行動し、企業の重要なシステムを動かす未来が目前に迫る中、その安全性をどう担保するか。本エピソードでは、ホストのSarah Guoが、イスラエル発のスタートアップOnyx Securityの共同創業者兼CEOであるMaxim Bar Koganを迎え、エンタープライズ向けAIエージェントの監視・制御という新たなセキュリティ領域について深く掘り下げている。Onyxは、AIエージェントの行動を監視するための専用モデルを自社で訓練し、「AIコントロールプレーン」という製品として提供する。その背景には、AutoGPTに触発された「超知能エージェントをいかに制御するか」という根源的な問いと、エンタープライズにおける自律型コーディングエージェント（Claude Code、Cursor、OpenAIのCodexなど）の急速な普及がある。Maximは、従来のセキュリティツール（ID管理、エンドポイント保護、APIセキュリティ）では、AIエージェントの「意図」や「文脈」を理解できないため、まったく役に立たないと指摘する。Onyxのアプローチは、軽量で高速な「トリガーモデル」を訓練し、危険な行動が疑われる場合のみ、より高度な監視エージェントを呼び出すという二段構えの仕組みだ。これは、チェスのグランドマスターが直感的な手を高速で指し、重要な局面でのみ深く読む戦略に例えられる。さらに、モデルの内部動作を理解する「メカニスティック・インタープリタビリティ」への投資や、AIラボ（Anthropic、OpenAI）が自社でこの問題を解決できない構造的理由についても議論が及ぶ。エンタープライズは、データを訓練に使われるリスクを避けるため、AIラベンダーにエージェントの行動履歴を預けたがらない。このため、独立した第三者による監視が不可欠となる。イスラエルのセキュリティ人材の強みは、単なる技術力だけでなく、セキュリティチームの日常業務や組織構造への深い理解にあるとMaximは語る。そして、自らを「AGIに完全に傾倒している（AGI-pilled）」と評し、将来的にはセキュリティチーム自体もAIエージェントによって運営される未来を見据えつつ、現在は人間のセキュリティ担当者にとって使いやすい製品を提供することに注力している。

0:00AIエージェントの台頭とセキュリティ危機の本質

エピソードは、AIエージェントの行動がもたらすリスクの現状認識から始まる。Maximは、エンタープライズにおけるAIエージェントの採用が急増し、それに伴い「エージェントが誤ってコードやトークンを公開する」といったインシデントが現実のものとなっていると指摘する。このリスクは指数関数的に拡大しており、企業はもはやAIの導入を止めることはできず、何らかの対策を講じる必要に迫られている。Onyx創業の決定的な契機となったのは、2023年初頭に登場したAutoGPTだった。AutoGPTは、LLMにテキスト生成だけでなく「次に何をするか」を決定させ、APIを通じて実際に行動させるという、初の本格的な自律エージェントのプロトタイプであった。当時はモデルの性能が不十分で実用には至らなかったが、Maximは「もしモデルが十分に賢くなったら」という未来を強く確信したという。彼は「モデルが人間よりはるかに賢くなったとき、電力網や水道システムといった重要なインフラを管理するエージェントを、どうやって安心して任せられるのか」という問いを抱き、Onyxを創業した。しかし、当時エンタープライズはエージェントをほとんど使っておらず、セキュリティ予算の責任者からは「時期尚早だ」と言われ、Sarah Guoからも「資金が尽きる前に市場が来ると思うか」と問われるほどの賭けだった。その後、推論モデルの登場、Claude Codeの爆発的な普及、CursorやOpenAI Codexの台頭により、市場は急速に追いついてきた。特に、Anthropicの収益がエンタープライズ向けClaude Codeからもたらされている事実は、この流れを象徴している。Maximは、低コードのAIオートメーションプラットフォームは限定的な生産性向上しかもたらさなかったのに対し、制約の少ない自律型エージェントは圧倒的なメリットを提供し、大企業でさえ採用を決断したと説明する。

5:17Onyxの製品：AIエージェントを監視するAI

Onyxの製品は、一言で言えば「AIコントロールプレーン」である。その中核は、他のAIエージェントを監視するための専用モデルとエージェントを自社で訓練している点にある。目的は、指数関数的に増加するAIエージェントの行動がすべて正当であるかを判断することだ。従来の「人間による承認（Human-in-the-loop）」は、アクション数が100倍、1000倍、100万倍になる未来では機能しない。Onyxはエンタープライズに対し、「すべてのAIと自律エージェントをOnyxに接続し、彼らが何をしているかを監視する」というソリューションを提供する。現在のエンタープライズにおけるAIエージェントの導入状況について、Maximは三つのカテゴリーに分類する。第一に、ドラッグ＆ドロップで構築される低コードのSaaSプラットフォーム上のエージェント（AIオートメーション）。第二に、企業が自社のクラウド上で構築するファーストパーティのエージェント。第三に、非常に自律性の高いコーディングエージェントとアシスタント（Claude Code、Cursorなど）。驚くべきことに、平均的なエンタープライズでは、この第三のカテゴリーがすでに50%以上を占めており、最も急速に成長している。低コードのオートメーションが約45%、自社開発のエージェントはわずか2%である。特に、Claude Codeに続き、Claude Coworkの成長が著しく、OpenAIのCodex（旧OpenAI Codex）も企業に正式に導入され始めている。これらの自律型エージェントは、ほとんどの場合、何のセキュリティコントロールも伴わずに導入されているのが現状だ。

9:58なぜ従来のセキュリティツールは無力なのか

既存のセキュリティツールがAIエージェントの監視に全く役に立たない理由を、Maximは明確に説明する。企業はすでにID管理、エンドポイント保護、クラウドセキュリティ、ネットワークセキュリティなどに年間約1,000億ドルを費やしているが、これらのツールはAIエージェントが引き起こす問題に対処できない。例えば、従来のIDセキュリティでは、ソフトウェアシステムに最小限の権限を与えることでリスクを制御する。しかし、自律型エージェントは人間の代わりに多様なタスクを実行するため、人間と同等の広範な権限を与えざるを得ない。これにより、IDセキュリティの前提が崩れる。また、エンドポイントセキュリティやAPIセキュリティは、エージェントが「なぜ」その行動をとったのかという「文脈（context）」を理解できない。Claude Codeがデータベースの再作成を指示された場合、それは生産的なタスクだが、無関係な作業中に突然同じ行動をとった場合、それは破壊的なインシデントとなる。既存のツールは、この「意図」の違いを識別できない。Sarah Guoが提案する「プロキシとポリシーエンジン」による解決策も、Maximは否定する。第一に、AIはクラウド上やエンドポイント上など多様な環境で動作するため、プロキシを介した統合が技術的に不可能なケースが多い。第二に、プロキシでデータを傍受できたとしても、肝心なのは「その行動が適切かどうかを判断するエンジン」である。このエンジンこそが、世界で最も賢いモデルが何を考え、何を計画しているかを理解するという、極めて困難な技術的課題の核心なのだ。

14:11自社モデル訓練の戦略：チェスとコスト最適化

Onyxが自社でモデルを訓練する理由は、コスト、レイテンシ、信頼性のトレードオフを最適化するためである。単純にClaude Codeに「他のエージェントを監視しろ」と指示するだけでは、監視エージェントを動かすコストが監視対象のエージェントを動かすコストを上回り、速度も遅くなる。そこでOnyxは、「今、より賢い監視エージェントを呼び出すべきか」を判断する、非常に小さく、特定のタスクに特化したモデルを訓練する。このモデルは、ほとんどの場合「問題なし」と判断し、本当に危険な行動が疑われる場合のみ、高コストな監視エージェントを起動する。この二段構えのアプローチにより、全体のコストとレイテンシを低く抑えつつ、高い検出精度を実現する。Sarah Guoはこの戦略を「ブリッツチェス」に例える。トップ棋士はほとんどの手を直感で指し、重要な局面でのみ深く読む。Onyxのモデルも同様に、膨大なデータから「直感」を学習し、リスクの高い行動を効率的に見極める。この「直感モデル」の訓練こそがOnyxの技術的な核心であり、フロンティアモデルが進化するにつれて、このモデルも継続的にアップデートする必要がある。

18:38イスラエルの人材とメカニスティック・インタープリタビリティへの投資

Onyxのチームは、イスラエルを拠点とし、数学とサイバーセキュリティの交差点に特化した軍事情報部隊（ユニット8200など）の出身者が多い。共同創業者のGilは、Nvidiaでの勤務経験と合成データ生成のバックグラウンドを持ち、会社のDNAは「サイバーとAIの混成」である。Maximは、イスラエルがAI分野で急速にキャッチアップしており、ワールドモデル、AIインフラ、チップ設計などで優れた企業が生まれていると評価する。Onyxの長期的なビジョンは、単なるセキュリティ企業を超えることだ。彼らは、AI企業が時価総額10兆ドルになる時代に、そのAI自体のベンダーではない独立した第三者として、AIの行動を監視・制御する企業になることを目指す。これは1,000億ドル規模の市場機会だと見ている。そのための重要な研究分野が「メカニスティック・インタープリタビリティ（機械的解釈可能性）」である。これは、モデルの内部の重みや活性化が何を意味するのかを理解しようとする試みだ。Maximは、人間の知能レベルではこの理解は困難かもしれないが、人間を超える知能を持つモデルが登場すれば、そのモデルを使って解釈可能性の研究を飛躍的に進められると考える。これは、AIの監視だけでなく、「知能とは何か」という根本的な理解にもつながる可能性を秘めている。

23:35顧客の信頼と独立した監視の重要性

Onyxのような創業2年の小さなスタートアップが、なぜFortune 10や20の大企業から信頼を得られるのか。Maximは、それは「痛みが非常に強いから」だと答える。企業のCISO（最高情報セキュリティ責任者）は、AIエージェントのリスクに日々直面しており、問題を放置すればビジネスが停止すると認識している。彼らは、まだ小さくとも正しい馬に賭けたいと考え、Onyxに問い合わせをしてくる。これは、セキュリティが「収益の保全」というビジネスであることの現れだ。さらに、AIエージェントの行動監視とは別に、CISOが恐れるもう一つの大きな問題は、AIによる脆弱性発見コストの急激な低下である。Maximは、10年前には夢物語だった自動脆弱性研究が現実のものとなり、市場は過剰反応しているわけではないと述べる。彼は、短期的な応急処置（パッチ適用など）と並行して、AI攻撃面に対する「基礎的なセキュリティ対策（foundational security）」を整備する必要があると主張する。Onyxは、まさにこのAI領域における基礎的なセキュリティソリューションを提供する立場にある。AIラボ（AnthropicやOpenAI）が自社でこの問題を解決できない理由について、Maximは三つのポイントを挙げる。第一に、セキュリティバイヤーは、製品を販売する同じベンダーにその製品の安全性を認定させることを信用しない。独立した第三者による検証が必要だ。第二に、エンタープライズは、AnthropicやOpenAIにエージェントの行動履歴を預けることを拒む。これらの企業はデータを訓練に使う可能性があるからだ。Onyxは、顧客のデータを訓練に使わないという立場から、より多くの文脈情報にアクセスできる。第三に、企業はコストや性能の理由から複数のAIベンダー（オープンソースモデルを含む）を利用するため、すべてのベンダーが同じレベルのセキュリティを提供するとは期待できない。

27:45段階的ロールアウトと将来展望

AnthropicやOpenAIが進める「Glasswing」や「Daybreak」といった次世代モデルの段階的ロールアウトについて、Maximは複雑な立場を示す。もし誰も強力なモデルをリリースしないのであれば、準備時間が確保できるため理想的だが、競合他社（中国など）が先に同等のモデルをリリースした場合、自社の企業は無防備なまま取り残されるリスクがある。彼は、より多くの企業が早期にアクセスできるようにし、企業側も「これらのモデルは必ず来る」と想定して、今すぐ基礎的なセキュリティ対策に投資すべきだと助言する。大企業におけるAI導入の「保留派」について、Maximは1年半前には「すべてを禁止する」という企業もあったが、今ではほとんど見かけないと語る。金融セクターなど一部の企業は利用ツールを限定しているが、市場の変化が速いため、複数のツールを許容する企業の方が成功すると彼は見る。スタートアップはリスクを取ってAIを最大限活用すべきだが、JPモルガンのような大企業は失うものが多いため、より慎重な姿勢は理解できる。最後に、イスラエルのセキュリティ人材の真の強みは、技術力だけでなく、セキュリティチームの「日常」を深く理解している点にあるとMaximは強調する。彼らは、セキュリティ担当者が朝コーヒーを飲みながら何のシステムを開くか、上司や同僚から何を求められ、何を評価されるかを知り尽くしている。このユーザー理解が、優れたセキュリティ製品を生み出す基盤となる。そして、自らを「AGIに完全に傾倒している」と評するMaximは、将来的にはセキュリティチーム自体もAIエージェントによって運営される未来を見据えつつ、現在は人間のユーザーにとって最高の体験を提供することに集中している。

結びに

本エピソードがリスナーに残すのは、AIエージェントの急速な普及がもたらす、セキュリティの「パラダイムシフト」の実感である。従来のセキュリティの常識（最小権限の原則、プロキシによる監視、ベンダーへの信頼）は、自律的に思考し行動するAIエージェントの前では無力である。Onyxのアプローチは、AIを監視するための専用AIを訓練するという、まるで「番人を監視する番人」のようなメタな構造を持つ。このアイデアは、単なるスタートアップの製品戦略を超えて、超知能エージェントをいかに制御するかという、人類全体の課題に対する一つの具体的な回答を示している。特に、AIラボが自社でこの問題を解決できない構造的理由（データの独立性、顧客の信頼、マルチベンダー環境）を明確にした点は、今後のAIセキュリティ市場の在り方を考える上で極めて示唆に富む。Maximの「AGI-pilled」という自己認識は、彼のビジョンが短期的なセキュリティ製品の販売にとどまらず、人類と超知能の共存という長期的なテーマに根ざしていることを物語っている。このエピソードは、AIの進化がもたらす新たなリスクと、それに対抗するための革新的な思考の両方を、投資家と起業家の対話を通じて鮮やかに描き出している。

要点

• Onyx Securityは、自律型AIエージェントの行動を監視・制御する「AIコントロールプレーン」を提供する。中核技術は、危険な行動を検知するための軽量な自社訓練モデルである。
• エンタープライズにおけるAIエージェント導入の50%以上は、Claude CodeやCursorのような自律型コーディングエージェントが占め、最も急速に成長している。これらのエージェントは多くの場合、セキュリティコントロールなしで導入されている。
• 従来のID管理、エンドポイント保護、APIセキュリティは、AIエージェントの「意図」や「文脈」を理解できないため、エージェントの不正行動を防ぐことができない。
• Onyxの監視システムは、チェスのグランドマスターの思考プロセスに類似しており、ほとんどの行動を高速な「直感モデル」で処理し、リスクが高い場合のみ高コストな監視エージェントを起動する。
• エンタープライズは、AnthropicやOpenAIといったAIラベンダーにエージェントの行動履歴を預けることを拒む。これは、データがモデル訓練に利用されるリスクを避けるためであり、独立した第三者による監視の必要性を生み出している。
• AIラボが自社でエージェント監視問題を完全に解決することは構造的に困難である。理由は、顧客の信頼の問題、データ独立性の欠如、そしてマルチベンダー環境への対応の難しさにある。
• イスラエルのセキュリティ人材の強みは、技術力に加え、セキュリティチームの日常業務や組織構造への深い理解にあり、それが製品のユーザー体験に直結する。
• Maxim Bar Koganは自らを「AGI-pilled（AGIに完全に傾倒している）」と評し、将来的にはセキュリティチーム自体がAIエージェントによって運営される未来を見据えつつ、現在は人間のセキュリティ担当者にとって使いやすい製品を提供することに注力している。