狙われるWebサイトの脆弱性に対処
生成AI活用で発見・診断・評価を自動化

　デジタルサービスや所有するデジタル資産の増加に伴い、セキュリティー対策の難易度も高まっている。

　なかでも攻撃者から狙われやすいのがWebサイトだ。例えば現在は運用していないページの脆弱性（セキュリティー設定の不備）を突かれ、当該Webサイトのデータベースから情報が漏えいするというインシデントも起こっている。そこで重要度を増しているのが、戦略的セキュリティーマネジメントだ。

　「ここでいう『戦略的』とは、セキュリティー対策に濃淡をつけた取捨選択、つまり選択と集中を行うことを意味します。重要なIT資産については手間と時間をかけて専門家がしっかり対応する一方、それ以外のIT資産については人的リソースを最小化しつつ対応するのです」とエーアイセキュリティラボの阿部 一真氏は語る。

　戦略的セキュリティーマネジメントに必要な要素は、大きく分けて3つある。1つ目は「攻撃面の把握」だ。前述したとおり、企業は様々なIT資産を保有・運用しているが、Webサイトまで網羅的に把握できているケースは少ない。そうした中で注目されているのがASM（Attack Surface Management）だ。これは攻撃面を発見し、その接点に関する情報を集めてリスク評価し、必要に応じて対処する一連のプロセスを指す。

　2つ目は「継続的な脆弱性診断と修正」である。「セキュリティー対策に濃淡をつけるべきとお伝えしましたが、このうち特に対応が後回しになりがちな“淡”の領域ついては、自動化・内製化に向けた工夫が必要です」と阿部氏は説く。

　そして3つ目は「運用＆管理」だ。まさにここが戦略的セキュリティーマネジメントの肝となる。「診断対象とするWebサイトを一覧化して計画を立て、脆弱性診断を実行し、修正状況を可視化するプロセスを回していくわけです」（阿部氏）。

　とはいえ、3つの要素を実践することは言葉でいうほど容易なことではない。

　まず「攻撃面の把握」についてだが、ASMで効果的な探索を行うためには「ヒント」が必要となる。「ヒントを与えずに探索できたとしても、その結果には類似する他社のWebサイトが紛れ込んでしまったりと、発見経路や検出理由もわからず、精査するのに多大な手間と時間を費やしてしまいます」（阿部氏）。

　次の「継続的な脆弱性診断と修正」では、事業部門や開発部門の協力が不可欠だ。しかし、「本業とは異なる診断に稼働時間を割きたくない」「コストをかけたくない」「診断とは何をするものなのかが分からない（セキュリティー意識の低さ）」といった課題に直面しやすい。そういった事業部門や開発部門を、どうやって脆弱性診断のプロセスに巻き込んでいけばよいのだろうか。

　「やはりセキュリティー部門と一緒に脆弱性診断を行うことのメリットを訴求することに尽きます。『早期に脆弱性を発見することで、開発終盤での手戻りを最小化できる』『業務やサービス仕様に詳しいチームが参加することで、診断の精度・網羅性が上がりやすい』といったメッセージを伝えることが有効です。また、事業部門や開発部門を巻き込むことを前提とした場合、それを支えるツール選定のポイントとして、『誰でも使える操作性の良さ』『利用範囲に制限がない』『結果が分かりやすい』などが挙げられます」（阿部氏）（図1） 　そして最後の「運用＆管理」では、そのプロセスをアナログ的な手段で繰り返すのは大変な労力を要してしまう。「Excelなどのスプレッドシートを使用してマネジメントを行っているケースも見られますが、事業部門や開発部門に日々の更新などの負担を強いることになるため、定着化は容易ではありません。したがって、何らかの専用プラットフォームを活用するのが得策です」（阿部氏）。

　これらの課題を踏まえ、エーアイセキュリティラボでは、従来のASMから漏れていた事業部門やグループ会社が管轄するWebサイトを可視化して全貌を把握し、脆弱性診断やリスク評価、修正までの一連のプロセスを支援するソリューションの開発を行っている。

　「私たちは生成AIをフル活用することで、“見える”セキュリティーマネジメントを実現します。その第1弾として提供しているのが、『AeyeScan（エーアイスキャン）』というクラウド型Webアプリケーション診断ツールです」（阿部氏）

　「AeyeScanを活用すれば、簡単かつ網羅的、効率的に攻撃面を発見できます」と阿部氏は語る。既にリリースしてから5年以上がたち、マネーフォワードやエイチ・アイ・エスのほか、多くのSI・IT企業、セキュリティー企業にも浸透しつつあるという。

　多くの企業からAeyeScanが評価される特長の1つは、生成AIを活用した自動化による圧倒的な工数削減だ。これによりセキュリティー専門家を必要としない、ユーザー自身による脆弱性診断の内製化を実現するのである。

　「脆弱性診断に際して複雑なパラメータ設定などを行うことなく、フリーフォーマットで指示することが可能です。同様に巡回もフリーフォーマットで指示することができ、AeyeScanは登録したWebサイトをあたかも人が操作するように自動巡回します。もちろん多言語にも対応しています。また、これまで手動で診断していた複雑なフォームの入力項目にも対応し、AIが判断して適切な入力処理を行います。さらに、診断結果にもとづいた総評を生成AIが自動的にとりまとめることで、経営層に向けたエグゼクティブサマリーなどの高度なレポートを出力することも可能です」（阿部氏）

　これに加え同社では、未把握な攻撃面の継続的な発見を支援する新たなオプションとしてWeb-ASM機能の提供を開始した（図2）。 　「ユーザー側で行うのは、フォームに自社名を入力するだけです。生成AIが社内情報はもとよりLLM（大規模言語モデル）を活用して検索された外部情報も組み合わせながら、各事業部門やグループ会社が所有しているすべてのドメインを自動的に抽出し、配下にあるWebサイト一覧を提示します。また、それらのサイトがどうやって抽出されたのかという経路や理由もあわせて説明します」（阿部氏）

　これにより従来は数週間から1カ月以上といった長期間を費やしていた自社Webサイトの棚卸作業を、瞬時に完了することができる。また、事業部門やグループ会社ごとの判断のばらつきもなくなり、Webサイトの抜け漏れリスクも劇的に削減される。

　もっとも企業にとっては、様々なメリットを聞いても「実際に使ってみなければ分からない」というのが本音だろう。エーアイセキュリティラボでは、そんな多くの企業の声に応えるためAeyeScanの無料トライアルを提供している。

　「『本当に自社にも適用できるのか』『実際の操作性や性能はどうなのか』『どのように脆弱性が発見されるのか』など、あらゆる疑問をぜひ無料トライアルで確認してください」と阿部氏は呼び掛けた。