何が起きたか
Cloud Security Alliance (CSA)は2026年6月8日にRiskRubric V2を公開し、モデル層を超えてMCPサーバー、ツール使用エージェント、およびAIパイプライン全体を含むように、証拠ベースのAIリスク評価システムを拡張しました。V2は新しい「Excessive Agency」リスク要素を追加し、サードパーティが自動化された評価を提供できるようにするためのスキャナーエコシステムを導入しています。完全なV2コンセプトペーパーはアップデートとともに利用可能になり、完全なプラットフォームは2026年Q3にローンチ予定です。
なぜ重要か
RiskRubric V2は、モデルと並んで異なるリスク主体としてMCPサーバーとAIエージェントを正式に評価する最初の構造化フレームワークの1つです。これは、エージェントAIの制御平面(ツール接続性、エージェント識別、実行範囲)が現在のエンタープライズリスクが集中している場所であることを認識しています。Excessive Agency要素は、CSA独自のAIRQ研究が本番環境のAIエージェントの98%の特徴として特定した、過度に権限を与えられた自律的行動に直接対処します。
必要な対応
AI セキュリティコンサルタントは、V2 コンセプトペーパーをレビューし、6つの信頼次元(Transparency、Reliability、Security、Privacy、Safety、Reputation)とExcessive Agencyをクライアントのエージェント展開にマッピングすべきです。Q3調達サイクルに向けてAIベンダー評価アンケートにRiskRubric V2スコアリングを組み込んでください。