Security Online Day 2025 春の陣レポート（AD）

脆弱性対応を“AIで仕組み化”する具体的な5ステップ：専門家不足でも持続可能な内製診断を実現するには

脆弱性対応に欠かせない“スムーズな部門間連携”をかなえるコツ

2025/04/16 10:00

通知

　DXの加速にともなってデジタルサービスが急増する中、企業はサプライチェーン全体のセキュリティ強化という課題に直面している。限られたリソースの中で効率的に脆弱性対策を進める手段として「脆弱性診断の内製化」が挙げられるが、品質の維持やコストへの不安は残る。こうした課題に対して、2025年3月18日に開催された「Security Online Day 2025 春の陣」に登壇したエーアイセキュリティラボの阿部一真氏は、AI技術を活用した解決策を提示。脆弱性診断を単なるAIツールの導入にとどめず、戦略的思考に基づきプロセス全体をどう構築すべきか、その具体的な進め方を紹介した。

通知

ポイントは“濃淡をつける”こと？煩雑化する脆弱性対応のコツ

　企業のDX推進が加速する中、デジタルサービスやシステムの数は増加の一途をたどっており、技術的にも複雑化が進んでいる。これにともない、セキュリティ部門や担当者の業務領域もますます広がり、業務の難易度も上昇する一方だ。阿部氏はこの現況を説明した上で、具体的な2つの課題を指摘した。

　1つ目は、サプライチェーンセキュリティの課題。DXが叫ばれ始めた初期の段階では、企業内部におけるデジタル変革が取り組みの中心とされていたが、今やDXは企業の垣根を越えた変革へと発展している。このような中で問題に挙げられるのが、つながっている企業群のうち1社でもセキュリティ対策が弱い箇所があれば、そこが攻撃の起点として利用されてしまう危険性だ。

　この課題に対応すべく、政府も対策を講じている。阿部氏は2024年9月に経済産業省が企業のセキュリティ対策を格付けする新たな制度を始める方針を発表したことに言及し、「サプライチェーン上のセキュリティ対策レベルを共通の指標と段階で評価しようとする取り組み」だと説明した。

　2つ目の課題は、セキュリティ対策の難易度上昇と業務量の増加だ。Webアプリケーション、Webサーバー、ネットワークなどの幅広い領域において、侵入検知、脆弱性診断、インシデント対応など、実施すべき対策は多岐にわたり、それぞれに専門的知識が要求される。阿部氏は多くの企業担当者が同様の困難を感じていることに触れた。

　これら2つの課題に対し、阿部氏は「戦略的思考」による対応策を提唱する。これは重要度に応じて対応すべき課題に「濃淡」をつけるアプローチだ。重要な“濃い”領域には専門家の知見と十分なリソースを投入し、それ以外の“淡い”領域はできるだけリソースを抑えながらも対応を怠らない戦略である。

　とはいえ、実際には“濃い”領域の課題に対応する専門人材のリソースは限られている。“淡い”部分と位置づけた領域でも対応すべき事項の数は多く、“濃い”領域に比べて人的・金銭的リソースは限られてしまう。結果として、全体で見たときの負担は決して小さくない。そこで有効な対策として阿部氏が挙げるのが、AIの活用による業務自動化と内製化だ。

　「AIを活用することで業務の一部を自動化したり、それによってセキュリティ対策の一部を内製化したりできれば、数の多い“淡い”部分にも対応できるのではないでしょうか」（阿部氏）

AIを活用したWeb脆弱性診断の内製化アプローチ

　では、セキュリティ対策においてどのようにAIを活用できるのか。阿部氏は次の“3つの業務領域”に着目し、セキュリティ対策とAIの親和性について説明した。

　まず人が対応すべき部分として挙げたのが「法令順守・コンプライアンス」の領域だ。正しく準拠することが求められ、誤りは許されないため、人による慎重な判断が必要となる。2つ目は「ガバナンス強化」の領域。組織全体を対象とするため多くの関係者が絡み、頻繁な変更は混乱を招きやすい。ここも人による設計が望ましいとした。

　そして3つ目に挙げたのが「具体的な対策」の領域。個々のセキュリティ対策やツールの導入・運用がこれに当たる。阿部氏はこの領域に関して「目的と方法さえ決まれば、試行錯誤しながらAIを組み込むことが可能です」と説いた。

　具体的な対策の中でも、脆弱性診断はAIが特に効果を発揮する領域とされる。その理由として阿部氏は「新たな脆弱性は日々生まれているため、診断を継続的かつ永続的に行う必要があること」「作業に単純な工程が含まれ、人手による繰り返し作業では生産性が落ちること」「診断は一部の抜け漏れが全体のリスクにつながるため網羅性が求められること」「診断対象が多くなるほどコストが膨らむため、最適化が不可欠であること」を挙げた。

　ただし、脆弱性診断の内製化には課題も多い。実際に企業からは、診断品質・コスト削減・人員や体制についての不安が多く聞かれるという。さらに、内製化を行うためには事業部門や開発部門の協力が不可欠であるにも関わらず、「時間が割けない」「予算が出せない」といった理由から他部門の協力をなかなか得られないケースも少なくない。

内製診断でも品質を落とさない“2つのコツ”

　こうした課題はどう乗り越えられるのか。阿部氏はこれまでの知見をもとに、2つの重要なアプローチを紹介した。その1つが「脆弱性診断プロセスに事業部門を巻き込む」こと。たとえば、開発部門に対して脆弱性診断への協力を依頼するときには「開発終盤で脆弱性が発見されると納期間際に徹夜対応が必要になるが、開発中に早期発見できればこのような緊急対応は不要になる」といったメリットを説明する。阿部氏は「開発部門と話す際、『徹夜』や『休日出勤』といったキーワードで協力を要請し、理解を得ているケースもあるようです」という。

　また、セキュリティ対策を早い段階から取り入れる「シフトレフト」を推進するためにも、業務・サービス運営者が脆弱性対応に関与することが重要だ。「セキュリティ部門や情報システム部門だけではなく、実際にサービスを運営している事業部門の目が入ることで、網羅性の高い診断ができます」とメリットを強調する。

　もう1つの重要なポイントは「適切なツールの選定」だ。成功事例に共通する選定基準として阿部氏は「誰でも使える操作性」「利用範囲に制限がないこと」「診断結果が分かりやすいこと」を挙げる。

　これらを踏まえ、脆弱性診断の内製化に役立つツールの一例として、阿部氏はエーアイセキュリティラボが提供する「AeyeScan（エーアイスキャン）」の機能を紹介した。AeyeScanは、ユーザーが診断対象のWebサイトのURLを入力するだけで自動的にサイト全体を巡回し、画面遷移図を作成してくれる。その後、各ページの脆弱性を検出し、結果と修正方法を分かりやすく解説したレポートが自動生成される。阿部氏は「診断結果はPDFで出力できるので、開発ベンダーや開発部門の方に出力したPDFを渡すだけで、開発側は脆弱性対応に取り掛かることができます」と、脆弱性の検出だけでなく修正対応もスムーズに行えることを示した。

内製化を成功に導く具体的な5ステップとは

　脆弱性診断の内製化を成功させるためには、先に挙げた事業部門との連携やツールの導入に加えて、全体プロセスを構築することも重要となる。阿部氏は内製化を成功させるためのプロセスを6段階（ステップ0〜5）に分けて説明した。

ステップ0：運用体制の構築・役割分担

　まずは運用体制を明確にする。現状は事業部門からセキュリティ部門へ依頼することで脆弱性診断が始まるケースが多いが、シフトレフトの考え方に基づくと、「セキュリティ部門が支援役となり、事業部門・開発部門が診断を実行する体制」へ変えていくことが望ましい。

ステップ1：情報収集

　どのWebサイト・Webアプリケーションを診断すべきか網羅的に把握する。阿部氏はある企業のセキュリティインシデントを例に挙げ、「前に作成したウェブサイトの運用を停止したはずが、実はまだアクセスできる状態だった」というケースを紹介。現代では、SaaSやIaaSなどを使って簡単にWebサイトが作れる時代であり、「気づいたらWebサイトが出来上がっている」状況も多いという。また開発環境や検証環境が公開されたまま残っているケースも多く、「自社のWebサイトはすべて把握していると胸を張れる方も、実は気づいていないサイトがあるかもしれません」と警鐘を鳴らす。

ステップ2：優先順位付け

　棚卸したWebサイト・アプリケーションに対し、対応の優先順位を付ける。個人情報や決済情報の有無、サービス停止時のビジネスインパクトなど複数の観点から診断の必要性を評価していく。その上で「外部委託するか内製化するか」「新規リリース時、改修時、定期的に診断するか」などの方針を決定するアプローチが有効となる。

ステップ3：計画立案・進捗管理

　事業部門・開発部門と連携し、開発における診断のスケジュール調整や診断環境の準備などを行う。診断対象となるWebサイトの特性に合わせた設定も必要になるため、要件確認のステップが重要。

ステップ4：診断・脆弱性評価

　診断結果から検出された脆弱性について「修正の要否」を評価する。深刻度や想定されるリスク、修正コストなどを踏まえて判断するが、この判断履歴を残しておくことも大切だ。阿部氏は「過去の判断記録が、未来の自分たちの助けになることもあります」と指摘する。

ステップ5：継続的な運用改善

　診断結果をステークホルダーに報告し、その内容を踏まえて次の計画を見直す。経営層、セキュリティ部門、事業部門それぞれに役割があり、部門を超えた連携が不可欠。阿部氏は「ツールを入れて終わりでなく、プロセス全体をきちんと仕組化していくことが重要です」と述べる。

　エーアイセキュリティラボでは、これらのステップを包括的に支援するために、セキュリティマネジメントプラットフォーム「AeyeCopilot」の提供を予定している。同サービスについて阿部氏は「セキュリティ部門、経営層、それから事業部門の情報とのコミュニケーションを活性化させるプラットフォーム」だとし、脆弱性診断の内製化で課題となる“運用ルールの策定および実装”と、“組織間連携の問題解決”を支援すると説明した。

　AeyeCopilotは、脆弱性診断の進捗を全社横断で一元管理して可視化する機能が備わっており、「どこまで診断が進んでいるか分からない」「きちんと修正が完了しているか管理できていない」などの課題解決を支援する。また、内製化に立ちはだかる“運用徹底”を、システム上で支援する仕組みも備えている。セキュリティ知見の浅い事業部門・開発部門でも「各サイトの診断が必要かどうか」「脆弱性対応の優先度をどうするか」を、全社ルールに則って判断・対応できるプラットフォームだ。

　阿部氏は最後のまとめとして、AIを活用してセキュリティを強化するカギは「マネジメントの仕組み化」だと強調した上で「Web脆弱性診断・内製化のステップ0から5までのプロセス全体を仕組み化することが大切です」と述べ、講演を締めくくった。