こうした課題を解決するためのソリューションとして、エーアイセキュリティラボでは「AeyeScan(エーアイスキャン)」を提供している。これは脆弱性診断の内製化を実現するクラウド型Webアプリケーション診断ツールだ。
AeyeScanの最大の特徴は、開発やセキュリティーの知識がなくても、トレーニングなしで簡単かつ網羅的・効率的に攻撃面を発見できることにある。「診断対象となるサイトについてスキャンを設定すると、AeyeScanは、あたかも人が操作するようにトップページから順にリンクをたどってサイト内を自動的に巡回し、画面遷移図を作成します(図1)。この機能は継ぎ足しでつくられてきたWebサイトの全体像を把握する上で非常に有益で、サイト内のどこにどんなページが存在し、どのようにつながりあっているのか、位置関係と内容を容易に確認することができます」(阿部氏)。
洗い出した画面それぞれに対して、自動で診断が実行され、診断結果も自動的にレポートとしても出力される。発見された脆弱性が深刻度ごとにサマリーされるほか、どの画面で、どんな操作をするときに、どんな攻撃を仕掛けたか、その結果はどうだったか、などがキャプチャ付きで詳細に示されるため、すぐさま修正作業に取り組むことが可能となる。
これに加え、生成AIを実装した「Web-ASM機能」も提供されている(図2)。生成AIの活用により、大きく3つのメリットが得られるという。
1つ目は「会社名による攻撃面の探索ができること」だ。フォームに自社名を入力するだけで、シード情報(探索のヒントとなる、ドメインやIPアドレスなどの情報)を入力しなくても、自社で管理すべきドメインを自動的に探索・抽出する。「これまで人手に依存していたサイトを精査する作業が、格段に楽になります」(阿部氏)。
2つ目は「膨大な情報源からの総合的な判定が行えること」。手作業では不可能な膨大な情報源にアクセスし、多角的な判断を下す。「単純なインターネット検索を行うだけでなく、例えばSSL証明書の情報やコピーライトなども活用し、多角的に“自社で管理すべき対象かどうか”を判定します」(阿部氏)。
3つ目は「発見経路や理由を説明できること」。「それぞれのWebサイトをどうやって見つけたのか、そのサイトが自社の資産かどうかをどうやって判断したかなど、LLM(大規模言語モデル)を効果的に活用して分かりやすく説明します」と阿部氏は紹介する。
これらの特長に加え、前述した「リスクの優先順位付け」に関する課題解決も可能となる。
「発見されたWebサイトが、例えばECサイトなのか、社内の管理用サイトなのか、あるいは期間限定のキャンペーンサイトなのか。Webアプリであれば、そこでどのようなデータが扱われているのか、個人情報やクレジットカード番号などの機微データは含まれていないのか、あるいは単純な画像ファイルだけなのか…など、生成AIが自動で認識・判別します。この分析結果を基に、技術視点だけでなくビジネス観点からの重要度を多角的に判定することで、社内リソースを効率的かつ最適に配分した、戦略的セキュリティー対策を実践できるのです」(阿部氏)。
