azure-recipe-user
F5 AppWorld 2026を追っていて感じたのは、今回の発表が単なる「AI対応」ではなかったことです。
F5 AppWorld 2026とは
AppWorld は、F5が主催するアプリケーション配信・セキュリティの年次カンファレンスです。
2026年は 3月10日〜12日にラスベガスで開催され、会場は Fontainebleau Las Vegas。AIアプリケーションやAIワークフローの展開・拡張・保護を軸に、製品発表や技術セッションが行われました。
F5は、生成AIを安全に本番導入し、運用し続けるための仕組みをかなり体系立てて出してきました。イベント全体としても、AIアプリやAIワークフローを deploy / scale / protect することが前面に出ています。
今回の発表をざっくり整理すると、こう見えます。
- AI Red Team で脆弱性を見つける
- AI Remediate で対策に変える
- AI Guardrails で本番保護する
- MCP保護やDCR でAIエージェントの接続を守る
- API discovery で周辺の攻撃面を可視化する
- Insight で運用と説明責任を支える
つまりF5は、生成AIセキュリティを「製品単体」ではなく「運用できる仕組み」として見せ始めた、というのが今回の印象です。
サマリー
今回のAppWorld 2026で見えたF5の生成AIセキュリティ戦略は、次の3層で整理すると分かりやすいです。
-
見つける
AI Red Teamで、AIアプリやモデルの脆弱性を検証する。 -
直す
AI Remediateで、見つかったリスクを保護ポリシーへつなぐ。 -
守る
AI Guardrailsで、本番環境のAI入出力やモデル利用を継続的に保護する。
この3つを中心に、MCP、API、認証、可観測性まで広げているのが今回のポイントです。
なぜ今そこまで必要なのか
生成AIを業務で使い始めると、問題は「モデルの精度」だけでは済みません。
たとえば、こんな論点が一気に増えます。
- プロンプトインジェクションをどう防ぐか
- 機密情報の漏えいをどう防ぐか
- AIエージェントに何を許可するか
- どのAPIに接続しているのか把握できているか
- リスクを見つけたあと、どう本番保護へ反映するか
F5はこれまでも、AI Guardrails と AI Red Team を通じて、ランタイム保護と継続的テストを打ち出してきました。AppWorld 2026では、そこに remediation、MCP保護、DCR、API discovery、Insight がつながり、かなり全体像が見えやすくなりました。
1. 中心にあるのは AI Guardrails と AI Red Team
まず軸になるのはここです。
F5 AI Guardrails は、F5の説明ではモデル非依存のランタイム保護レイヤーで、プロンプトインジェクション、jailbreak、データ漏えい、有害出力、コンプライアンス違反などに対応します。さらに、AI入出力の可視性や監査性も強調されています。AI Red Team は、継続的・自動化された攻撃的テストで、一般的な脅威から特殊な脅威までをシミュレートし、その結果を Guardrails の改善に活かす位置づけです。
この2つだけでも十分強いのですが、今回面白かったのは、F5がこれを単独製品ではなく運用フローの中心として見せていたことです。
2. AI Remediate がかなり重要
今回の発表の中で、個人的にいちばん気になったのが F5 AI Remediate です。
F5によると、AI Remediate は AI Red Team が見つけた adversarial findings を、AI Guardrails で enforce できる保護へつなぐ ための仕組みです。しかも、適用前に human approval を残す設計になっています。
この流れはかなりきれいです。
- Red Teamで見つける
- Remediateで対策化する
- 人が承認する
- Guardrailsで本番反映する
生成AIセキュリティで意外と難しいのは、「見つけたあと」です。
検出はできても、実際の保護に落ちないことが多い。F5はそこを 運用可能な remediation として埋めようとしているように見えます。
3. MCPとDCRで AIエージェント時代に備える
BIG-IP v21.1 の発表も、生成AIセキュリティ目線ではかなり重要でした。
F5は v21.1 で、MCP Protocol Protection、MCP Session Persistence、Dynamic Client Registration (DCR) を打ち出しています。MCPは、AIエージェントが外部ツールや内部システムとやりとりする文脈で注目されている仕組みで、F5もそれを前提に機能を追加しています。
特に DCR は面白くて、F5の説明では、新しいエージェントやアプリが BIG-IP Zero Trust Access に対して動的に自身を登録し、必要なアクセス権を取得できる仕組みです。用途として AI agents や MCP servers が明示されています。
つまりここでF5がやろうとしているのは、
「AIエージェントがどこにどう接続するかを、安全に制御すること」
です。
今後の生成AIセキュリティは、モデル保護だけでなく、接続、認証、認可、通信制御 がかなり重要になるはずです。MCP保護やDCRは、その文脈で見ると納得感があります。
4. API discovery は生成AIガバナンスの土台
生成AIを導入すると、モデルそのものよりも、その周辺が複雑になります。
- 社内API
- 外部API
- エージェントのツール呼び出し
- 連携基盤
- シャドーAPI
F5は今回、API Securityの discovery 機能を拡張し、BIG-IPだけでなく、NGINX、Kong、Apigee なども含めた out-of-band API discovery を打ち出しました。さらに、air-gapped 環境や規制環境向けの deployable software も用意しています。unknown / shadow / deprecated API の検出や、OpenAPIスキーマ生成、API inventory 管理も強調されています。
これは生成AIガバナンスにかなり直結します。
なぜなら、AIエージェントがどのAPIを使っているか分からなければ、何を守るべきかも分からないからです。
AI Guardrails や AI Red Team が重要なのはもちろんですが、それを本当に効かせるには、周辺APIの可視化 が必要です。
5. Insight は「監視」より「説明責任」に近い
F5 Insight for ADSP も見逃せません。
F5は Insight を、アプリの健全性、セキュリティ状態、基盤状態を横断して見える化し、さらに MCP機能とLLM連携 により、自然言語で状況把握や改善提案を行えるものとして説明しています。現時点では BIG-IP 向け中心ですが、「何が起きているか」「何を優先すべきか」を分かりやすく返す方向です。
これを生成AIセキュリティの文脈で読むと、単なる observability ではなく、運用の説明責任を支える基盤 に見えます。
AIは、守れているかどうかだけでなく、
- なぜその判断をしたのか
- どんなリスクがあったのか
- 何を優先して対処したのか
まで問われます。Insight は、その周辺を支える役割を担いそうです。
6. PoCから本番への導線も用意している
もう1つ重要なのが、F5が Red Hat と一緒に、AI Guardrails と AI Red Team 向けの認定 OpenShift Operator を出したことです。あわせて AI quickstarts も提供し、PoCから本番導入へ進めるための導線を用意しています。
ここでのポイントは、F5が生成AIセキュリティを
「評価できる製品」ではなく「導入できる運用パーツ」
として見せていることです。
セキュリティ製品は、導入できなければ意味がありません。OpenShiftやKubernetesの運用フローに乗せやすくする姿勢は、かなり実務寄りだと感じました。
まとめ
AppWorld 2026で見えたF5の生成AIセキュリティ戦略をひとことで言うなら、
生成AIセキュリティを、単発の防御機能ではなく、本番運用できる仕組みにしようとしている
ということだと思います。
特に中心にあるのはこの3つです。
- AI Red Team で見つける
- AI Remediate で直す
- AI Guardrails で守る
そのうえで、
- MCP保護やDCRで AIエージェント接続を守る
- API discovery で周辺の攻撃面を可視化する
- Insight で運用と説明責任を支える
- OpenShift Operator で本番導入しやすくする
という形で、全体がつながってきました。
