生成AIをセキュリティ対策に活用する取り組みが活発化している。2025年2月25日~27日に「TECH+ フォーラム - セキュリティ 2025 Feb. 今セキュリティ担当者は何をすべきか」が開催され、エーアイセキュリティラボ 執行役員 兼 CX本部長 関根鉄平氏が講演を行った。同氏は、「いま進めるべき『脆弱性対策への生成AI活用』 ─診断からASMまで、セキュリティの現場を変える『精度アップ』の最新事情─」と題して、生成AIを使って脆弱性診断ツールの精度を向上させ、人手をかけずにセキュリティを強化する方法について解説した。本稿ではその模様をレポートする。

  • 関根鉄平氏の写真

    株式会社エーアイセキュリティラボ 執行役員 兼 CX本部長 関根 鉄平 氏

脆弱性診断ツールの精度が低いと「信憑性」や「コスト」が課題に

サイバー攻撃の多くは、ソフトウェアの脆弱性を悪用してネットワークに進入するところから始まっている。ビジネス環境やシステム環境が変化すると脆弱性が発生しやすくなり、攻撃者はそこを突いてくる。ここで重要になるのが、どこに脆弱性があり、どこまで対策すればよいかを判断するために行う脆弱性診断だ。しかし、関根氏によると、脆弱性診断に対しては課題が増えている状況だという。

「脆弱性診断を行っていてよく聞く悩みは、予算が限られていて、人員も限られているということです。その一方で、必要な対策の幅は広がっています。Webサイトを多く所持しているお客様や、Webサイトの規模が大きかったり、機能改修やサービス追加などでリリース頻度が高かったりするお客様からは、『診断のスケジュール調整が困難』『組織全体のWebサイトを把握しきれない』といった声をよくうかがうようになりました」(関根氏)

  • 図版

こうした課題を解消するカギを握るのが、脆弱性診断ツールの精度だ。脆弱性診断ツールの精度が低いと、結果の信憑性にかけてしまう。関根氏は、「精度が低いと、診断結果を出力するまでに非常に時間がかかります。これは、テストする際に同じようなページを何度もテストしてしまったり、同じ画面に何度もアクセスして同じ脆弱性がでてきてしまったりしているからです。誤った脆弱性の結果を報告することもあります」と解説した。

また、人的コストについても、「精度の低さによる弊害はツールをチューニングすることで一部回避できます。しかし、そのためには専門知識をもった人材による設定が必要です。こうして、結局人手をかけなければうまくいかなかったり、専門知識を持つ貴重な人材がツール設定に時間をとられたりしまったりします」と語った。

生成AIを活用して遷移図や詳細レポートを作成する「AeyeScan」

生成AIを脆弱性診断に活用することで、自動化の精度を向上させることができ、人手をかけずにセキュリティを強化できる。関根氏は次のように解説する。

「生成AIを活用した脆弱性診断ツールなら、簡単に高精度な診断を行うことができます。ツールに診断したいサイトを登録すると自動で脆弱性診断を行って結果を出します。画面遷移図を自動で生成することもできます」(関根氏)

こうした生成AIを活用した脆弱性診断ツールの1つが「AeyeScan」だ。一般的な脆弱性診断ツールでは、診断したいサイトを登録するときに、サイトごとにURLやログインするかどうか、どこまでスキャンするかなどを指定する必要がある。これに対し、AeyeScanでは、生成AIを使った「フリーフォーマット入力」画面でテキストや表計算ソフトの指示書の文章をそのままコピー&ペーストするだけでよい。AeyeScanが指示書の内容を解析してスキャンに必要な設定を自動で行う。

  • 図版

また、実際にスキャンを行う場合は、ツールが自動的にサイト構成を分析し、クラウド上で自動的にブラウザを立ち上げて、画面遷移図を作成する機能を備えている。視覚的に表示された画面遷移図を見ることで、リンク切れなどを確認することも可能だ。遷移図を作成する際に、情報の入力が必要な場合があれば、それらも自動で入力してスキャンする。例えば、ECサイトでカート機能について脆弱性がないかをスキャンしたい場合、購入者の住所や氏名、商品、個数などを自動で入力してテストする。

診断した結果は、脆弱性の有無はもちろん、脆弱性の詳細情報、脆弱性に対する日本語での解説やその対策方法、参考情報としてのセキュリティガイドラインへのリンクなどが表示される。また、詳細な診断レポートをドキュメントとして出力することも可能だ。総評などのコメント文をAeyeScanがセキュリティエンジニアの視点で生成し、経営層向けに分かりやすく技術解説しながら、必要な対策などをアドバイスする。

プログラム作成やサマリー作成が不要に、継続的な脆弱性診断も可能に

このようにAeyeScanでは、生成AIを活用することでこれまでの脆弱性診断ツールではできなかったことを実現している。

「フォーム入力画面で正確に入力を推測しながら巡回するため、精度が高く範囲が広い巡回が可能です。また、推測する際も、人が画面を見るように判断します。お知らせ画面、入力画面、商品画面などを学習させていくことで精度を高めることができます。さらに、これまで手動でしか診断できなかった項目にも対応できます。例えば、認可の不備についても、管理者メニューと一般ユーザーメニューが分かれているようなサイトで、双方の権限でログインし、一般ユーザーで管理者メニューにアクセスできないかどうかなどの診断ができます」(関根氏)

生成AI活用のポイントとしては4つにまとめることができる。1. 診断設定が簡単、2. 巡回がより柔軟に、3. 高度なレポート出力、4. 手動で診断していた項目への対応だ。このうち、診断設定、巡回、手動での診断項目については一部特許も取得している。

  • 図版

さらに、AeyeScanを活用して、Web-ASM(Webサイト・アプリなどデジタルサービス領域における攻撃面の管理)を実現することもできる。Web-ASMは、未把握な攻撃面の継続的な発見・リスク評価を行うもので、攻撃面の発見、攻撃面の情報収集、攻撃面のリスク評価というステップで、継続的な脆弱性診断とリスクマネジメントが可能になる。

「ASMツールの精度が低いと、正確でない情報を検知してしまい、結局人手をかけて精査する必要がでてきます。生成AIを活用することで、文字列の解読、SSL証明書の情報やWeb公開済みのIR情報など、膨大な情報源から総合的に判断します。また、発見経路や理由も表示します」(関根氏)

  • 図版

こうした生成AI機能を利用することで、実際に成果を上げている顧客企業も多い。成果としては「類似画面を高精度に判定するためプログラム(正規表現)の作成が不要になった」「総評を生成するのでサマリーの作成が不要になった」「認可の脆弱性にも対応するため外部診断に頼ることなく診断頻度を上げることができた」などがある。

生成AIを活用しながら、エンジニアは「人にしかできないこと」に集中してほしい

AeyeScanを活用するビジネスメリットは、セキュリティ対策にかかる工数・コストを削減し、それによって生まれた時間をより高度な業務やプロジェクトに割り振ることができる点だ。品質や精度の高さからセキュリティベンダーやSIerでも顧客向けサービスとして利用されている。また、専門エンジニア不要で、情シスや開発部門でも安定した運用が可能だ。クラウド型Webアプリケーション脆弱性検査ツールとして200社以上への採用実績がある。

講演後は、EGセキュアソリューションズ 取締役 CTOの徳丸浩氏と、SBテクノロジー プリンシパルセキュリティリサーチャー 辻 伸弘氏を交えた質疑応答の時間がとられた。そのうちのいくつかを紹介しよう。

Q (徳丸氏):従来はログイン情報の入力やワンタイムトークンの指定などが大きな手間でした。そうした手間は必要なくなるのでしょうか。

A (関根氏):最低限の認証情報を入れるだけでよいです。人と同じようにブラウザを自動操作するので、ワンタイムトークンの指定などは不要です。

Q (徳丸氏):利用するにあたって最低限必要になるスキルはありますか。

A (関根氏):URLなどの基本的な知識があれば、特別なスキルを持たない方でも利用できます。

Q (徳丸氏):従来のツールでは、クライアントサイドとAPIが分かれているシングルページアプリケーション(SPA)は不得意だった印象があります。SPAにも対応していますか。

A (関根氏):仮想ブラウザを操作しているので、SPAにも対応しています。

Q (辻氏):AIも万能ではありません。心もとないところや課題はありますか。その課題をアップデートしていく予定はありますか。

A (関根氏):うまくいかないケースとして、特定の条件分岐でのアクセスや、二要素/二段階認証などがあります。今は、手動での巡回で対応してもらっていますが、今後はその一部に対応していく予定です。

Q (辻氏):AIが判断できず、巡回をとりこぼしたところはどう対応しますか。

A (関根氏):とりこぼしたところは、ユーザー側で画面遷移図やURL一覧などから認知できるようになっています。また、リモートブラウザという機能を使って、人が手動で追加することも可能です。

Q (辻氏):脆弱性の再現方法は簡単にわかりますか。

A (関根氏):脆弱性を再現させるための機能があり、簡単に再現できます。また、レポートに通信のログやテスト時のスクリーンショットなど、簡単にわかる情報も掲載しています。

Q (辻氏):ASMで判定を間違えて関係ない組織やドメインをスキャンして攻撃と見なされるケースはありますか。それをどう抑止していますか。

A (関根氏):ASMの精度は高く、関係ない組織やドメインを判定することは少ないです。もし無関係な組織だったとしてもスキャンは自動的に行わず、人間が確認してアクションするような仕組みになっています。

Q (辻氏):AIが発達すると将来的に人手による診断はなくなると考えていますか。

A (関根氏):人手による診断をなくしたいという思いでAeyeScanを開発・提供しています。ただなくなることはないでしょう。エンジニアには、人にしかできないことに集中してほしいと思っています。

関連リンク