Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ブロードバンドセキュリティ、機械学習機能搭載の自動脆弱性診断サービスを新たにリリース

2018/09/26 14:30

 ブロードバンドセキュリティ(BBSec)は、9月26日、AI搭載の自動脆弱性診断サービスを新たにリリースすると発表した。このサービスは、来年1月で提供開始から10年を迎える同社のASP型デイリー自動脆弱性診断サービス「Cracker Probing-Eyes(CPE)」に機械学習機能を組み込んだもので、NTTテクノクロスから機械学習によるテキスト分類技術および学習モデル構築技術の支援を受けて開発したもの。

 「CPE」は、インターネット越しにシステムの脆弱性を定期的にチェックする自動診断サービスで、米国家安全保障局(NSA)、米連邦捜査局(FBI)、米コンピュータセキュリティ研究所(CSI)をはじめとする世界トップクラスのセキュリティ組織の規格・標準を踏まえて設計された信頼性の高い診断プログラムは、さまざまな規模・業界のセキュリティ確保に利用されているという。

サービスの構成イメージ

サービスの特徴

 1. サーバ負荷を低減し、よりスピーディに診断を実施

 刻々と変化・拡大する脅威に対応するには、毎日自動的に脆弱性診断を行う保守型の診断サービスが効果的。しかしながら、通常こうしたサービスでは診断対象のWebサイトに対して総当たり的に大量のシグネチャ(脆弱性の検査パターン)を送信するため、サーバの負荷は高くなり、管理者の負担が増大する。

 一方、このたびリリースされるAI搭載の「CPE」では、 学習データに基づきWebサイトの構成を自動で判断して最適なロジックで診断を実施することが可能だ。結果としてシグネチャの送信量が減るためサーバ負荷は低減され、スピーディに診断結果を得られる。同社のテストでは、最大で75%の診断時間短縮が達成されている。

 2. システムを学習する「進化するエンジン」により、日々診断の精度が向上

 機械学習を活用した脆弱性診断では、脆弱性リスクが自動的に学習されるため、診断の実施量が増えれば増えるほど精度が向上する。さらに、BBSecの熟練エンジニアによるフィードバックを機械学習の教師データとして用いることにより、低コストで限りなく手動診断に近い診断精度を実現することが可能。

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5