人工知能が拓く、新しい脆弱性診断の形

2023 年 4 月、サイバートラストより、AI ツールと診断員のハイブリッドによる「高精度」「短期間」「低コスト」の脆弱性診断を実現するサービス、「AI スキャン診断サービス」がリリースされました。このサービスは、AI（人工知能）と RPA (プロセス自動化)を活用することで、高速かつ高精度で診断を行う新しいタイプのサービスです。

サイバートラストは AI スキャン診断サービスのリリースにあたり、株式会社エーアイセキュリティラボ様（以下エーアイセキュリティラボ）の最新技術を採用いたしました。
今回はエーアイセキュリティラボ 執行役員 関根鉄平様と、サイバートラストの脆弱性診断サービスを担当するセキュリティマネジメント部部長 宮坂裕大に、AI スキャン診断サービスについてお話を伺いました。

はじめに、サイバートラストがエーアイセキュリティラボの技術を採用した新しいサービスを提供することになった経緯を教えてください。

宮坂：当社は設立当初より電子証明書をはじめとした認証事業を手掛けてきておりましたが、認証事業で培ったセキュリティの知見を活用した脆弱性診断というビジネスを１０年ほど前より開始いたしました。
脆弱性診断は、市場的にもこの１０年間は案件数やお客様のニーズも急増しておりまして、他社さんなどではツールを使った診断で、そうした急増するニーズにお応えしている状況であります。しかしながらその診断ツールもカバー範囲の狭い、表面だけをチェックするだけの単なるスキャナーであることが多いことも事実でした。
一方で当社は診断員によるマニュアル診断にこだわってきましたが、急増するお客様のニーズに作業期間や価格といった面でなかなかお応えすることができないジレンマがありました。

そうした中、当社の関連会社である SB テクノロジーよりエーアイセキュリティラボをご紹介いただきました。両者の強みを持ち寄って会話を重ねていく中で今回の新サービスの内容やイメージがとんとん拍子にまとまりまして、これならばお客様にご納得いただけるサービスがご提供できると思うに至り、今回 AI スキャン診断サービスをリリースいたしました。

エーアイセキュリティラボが提供されている診断ツールについて、競合製品との違いや特長を教えていただけますか？

関根様：当社の AeyeScan（エーアイスキャン）という診断ツールでは人工知能（AI）技術を採用しているのが大きな特長ですが、それを支える技術として、超高速な自動化処理があります。

従来ウェブサイトに脆弱性診断を実施するにはツールに脆弱性診断を行う画面を一つ一つ人間が登録をして行くという作業が必要でした。
そこを我々は AI の技術を活用し、フォームに入力する値などを AI が推測して適切な入力を行うことで、設定の難しさや設定の工数などを解決できるのが、他社ツールとの大きな違いになります。

その優位性のあるツールを、サイバートラストとしてはお客様とツールの間に診断員が入るハイブリッドタイプのサービスとして提供しています。お客様がツールを利用するだけの場合と比べ、どのような点でメリットがあるのでしょうか？

宮坂：今回我々が、診断員が間に入るサービスにしたのは「第三者機関がきちんと診断している」という点をアピールしたかったところにあります。

脆弱性診断の役割は大きく二つあると思います。それは「自己診断」と「第三者診断」です。「自己診断」はその名の通りユーザー様ご自身の開発工程で診断いただくこと。これは開発中システムのセキュリティ強度を高めるという目的です。

一方で「第三者機関による診断」は中立の立場で診断をするというものであり、開発中では見えなかった問題、本番システム構成でしか起こり得ないような複合的な問題や構造的な問題などを発見する目的などで利用されます。

診断対象の選定なども、「とりあえず全部やればいいですよ」と言うのも一つのやり方かとも思いますが、診断員という第三者機関が入ることで、クローリング対象の漏れがないのかどうかとか、余計なものが含まれていないのか、などのトリアージみたいなところを実施することで付加価値としてお客様に貢献できると思っています。

サイバートラストでは今回リリースした「AIスキャン診断サービス」と、従来提供している診断員による「脆弱性診断サービス」があるわけですが、ユーザーはどちらを選べば良いのでしょうか？

宮坂： ページ数が比較的少ない場合や複数サイトで少しずつ実施したい場合、または納期までの期日に余裕がない場合は、「AI スキャン診断サービス」をおすすめいたします。
まったく同じシステムを、通常の脆弱性診断サービスと AI スキャン診断サービスとで実施した場合、およそ80%の工数が削減できるため、短納期で対応可能なのも AI スキャン診断サービスの長所であります。

一方で、サーバー環境やネットワークの設定などを含めた複雑な診断や、ペネトレーションテストなどと組み合わせて抜本的な診断を行いたい場合は「脆弱性診断サービス」がおすすめです。

また、ツールでは把握できない仕組み上の設定ミス、例えば一般ユーザーが管理者権限にアクセスできるようなケースがあった場合、ツール側からはそれが仕様なのか不備なのかを判断することができません。そういったケースは診断員がマニュアルで対応する「脆弱性診断サービス」が向いているといえます。

最近のインシデントなどでも、パラメーター改ざんとか、権限だとか、複雑な成立条件の脆弱性を突破されているというのは少なからずあり、またそれが突破されるとかなりクリティカルな状況になる事実は変わらないのかなと思っています。

従いまして、ご相談いただければ適材適所でご提案させていただくことももちろん可能です。AI スキャン診断サービスで充分カバーできます、と言うレンジがあることも私どもは把握していますし、逆に重要情報や個人情報などを取り扱う場合には脆弱性診断サービスも組み合わせて漏れがないように、といったように柔軟にご提案できればと考えております。

関根様：先ほど宮坂さんがお話されていた通り、パラメーター改ざんや権限操作などの攻撃は、AI の技術をもってしても自動で診断するのが難しいところだと思っていて、そこを自動化したり検知精度を向上したりするチャレンジは継続していきます。そういった課題がある一方で、AeyeScan の全自動で高速に診断できるというメリットを活かせる場面も多いです。例えばインシデントやゼロデイ攻撃などが発生し、10 サイトを 1 週間以内に診断しなければならない状況に陥った場合、AI スキャン診断サービスを利用することで短いスケジュールでの診断実施という無茶な要望にも対応できるアドバンテージがあると思います。

宮坂：冒頭で「脆弱性診断のニーズが増えている」と申しました。そうした背景もありますので、「今回初めて診断します」だったり「今度診断をしてみたいのですが」のようなお客様も多い訳ですが、そうしたお客様からすると完全手動の「脆弱性診断サービス」のほうはどうしても敷居が高いと思われているところがあります。
そうしたお客様に、精度もカバー範囲も遜色なく実施でき、診断員が確認をし、その上でAIによる自動化で高速に診断を行う AI スキャン診断サービスは、はじめての脆弱性診断として十分に活躍できると考えております。

AI スキャン診断サービスに対してお客様からの評判はいかがでしょうか？

宮坂：リリース後、早速お客様からのお問い合わせを多く頂いております。当初我々が想定しておりました、「診断の必要性は理解しているが、大変多くのサイトを抱えており、どれからやったら良いかわからない、また、コスト面も心配」というお客様からのお声がけがありまして、こうした点でお困りのお客様は多くいらっしゃるのだと感じました。

最後に、お二人からメッセージをお願いします。

関根様：AeyeScan は毎週のように新たな機能追加や改善を行っていて、今後も引き続きブラッシュアップしてまいります。直近では ChatGPT を活用した新しいプロトタイプの作成に取り組んでおり、これによって脆弱性診断をさらに進化させられると考えています。

このように我々は「新しい脆弱性診断の形」を作り提供していると思っておりますが、サイバートラストさんには AI スキャン診断サービスを通じてその活動に賛同いただいたと感じております。引き続きセキュリティ業界市場を変えられるような大きい枠組みの中でご一緒していけるとうれしいです。

宮坂：今回エーアイセキュリティラボさんの技術を採用させて頂きましたが、例えば同じ機能を持つ海外から仕入れたツールがあったとしても、多分我々は採用しなかったと思っています。
いろいろ細かな要望が多い日本市場で脆弱性診断に携わってきた方々が、「日本のお客様には何が必要でどういう課題を本当に解決しなければならないのか」といった背景を十分にご理解頂いた上でツールをリリースしているという点に大きな意味を感じています。
関根さんのおっしゃる「新しい脆弱性診断の形」というところに関して、是非とも応援させていただきたいと思っています。