Ciscoは5月12日、LLMを活用するITシステムのセキュリティ評価を標準化する「Foundry Security Spec」をオープンソースとして公開した。
Techzineの報道によると、Foundry Security Specはコードそのものではなく、仕様書として提供される。各組織が自社の環境や要件に応じて実装できる構成とした。
同仕様は、セキュリティ評価における役割分担やガードレール、対象領域を定める。検知エージェントが仕様に沿ってコードを体系的に分析し、別のエージェントがその結果を検証して誤検知を取り除く。さらに、カバレッジトラッカーがIT環境全体でどこまで点検できているかを追跡し、監査可能な形で結果を提示する。Ciscoは、こうした結果がCISOや監査担当者に説明可能な水準にあるとしている。
Foundry Security Specは、2つの文書で構成される。1つは「Spec」で、8つのエージェントの中核となる役割と5つの拡張役割、約130の機能要件を盛り込んだ。もう1つは「Constitution」で、順守すべき11の原則をまとめたものだ。Cisco内のセキュリティチームが実際に経験した失敗を踏まえて作成したという。
同仕様は、Claude CodeやCodexといったAIエージェントと開発者の双方が参照できるよう設計した。Ciscoは、2025年10月にオープンソースとして公開し、2026年2月にSecure AI Alliance(CoSAI)へ寄贈したプロジェクト「CodeGuard」との併用を推奨している。
著者について
Chi-gyu Hwang (황치규)
delight@d-today.co.kr