何が起きたか
クラウドセキュリティアライアンス (CSA) は 2026年6月8日に RiskRubric V2 を公開し、モデルレイヤーを超えて MCP サーバー、ツール使用エージェント、および AI パイプライン全体をカバーするよう証拠ベースの AI リスク評価システムを拡張しました。V2 は新しい「過度なエージェンシー」リスク柱を追加し、第三者が自動評価に貢献できるよう設計されたスキャナーエコシステムを導入します。完全な V2 コンセプトペーパーは更新時に公開され、完全なプラットフォームは 2026年Q3 に発売予定です。
なぜ重要か
RiskRubric V2 は、モデルとともに MCP サーバーと AI エージェントを異なるリスク実体として正式に評価する最初の構造化フレームワークの1つです。エージェンティック AI の制御プレーン (ツール接続、エージェント ID、実行スコープ) が現在のエンタープライズリスクが集中している場所であることを認識しています。過度なエージェンシー柱は、CSA 独自の AIRQ 研究が本番環境 AI エージェントの 98% の特徴として特定した、過度に権限を付与された自律行動に直接対処しています。
必要な対応
AI セキュリティコンサルタントは V2 コンセプトペーパーを確認し、6つの信頼ディメンション (透明性、信頼性、セキュリティ、プライバシー、安全性、評判) と過度なエージェンシーをクライアントのエージェンティック展開にマッピングする必要があります。Q3 調達サイクルの AI ベンダー評価アンケートに RiskRubric V2 スコアリングを組み込みます。