AIを活用したWeb脆弱性診断の内製化アプローチ
では、セキュリティ対策においてどのようにAIを活用できるのか。阿部氏は次の“3つの業務領域”に着目し、セキュリティ対策とAIの親和性について説明した。
まず人が対応すべき部分として挙げたのが「法令順守・コンプライアンス」の領域だ。正しく準拠することが求められ、誤りは許されないため、人による慎重な判断が必要となる。2つ目は「ガバナンス強化」の領域。組織全体を対象とするため多くの関係者が絡み、頻繁な変更は混乱を招きやすい。ここも人による設計が望ましいとした。
そして3つ目に挙げたのが「具体的な対策」の領域。個々のセキュリティ対策やツールの導入・運用がこれに当たる。阿部氏はこの領域に関して「目的と方法さえ決まれば、試行錯誤しながらAIを組み込むことが可能です」と説いた。
具体的な対策の中でも、脆弱性診断はAIが特に効果を発揮する領域とされる。その理由として阿部氏は「新たな脆弱性は日々生まれているため、診断を継続的かつ永続的に行う必要があること」「作業に単純な工程が含まれ、人手による繰り返し作業では生産性が落ちること」「診断は一部の抜け漏れが全体のリスクにつながるため網羅性が求められること」「診断対象が多くなるほどコストが膨らむため、最適化が不可欠であること」を挙げた。
ただし、脆弱性診断の内製化には課題も多い。実際に企業からは、診断品質・コスト削減・人員や体制についての不安が多く聞かれるという。さらに、内製化を行うためには事業部門や開発部門の協力が不可欠であるにも関わらず、「時間が割けない」「予算が出せない」といった理由から他部門の協力をなかなか得られないケースも少なくない。
内製診断でも品質を落とさない“2つのコツ”
こうした課題はどう乗り越えられるのか。阿部氏はこれまでの知見をもとに、2つの重要なアプローチを紹介した。その1つが「脆弱性診断プロセスに事業部門を巻き込む」こと。たとえば、開発部門に対して脆弱性診断への協力を依頼するときには「開発終盤で脆弱性が発見されると納期間際に徹夜対応が必要になるが、開発中に早期発見できればこのような緊急対応は不要になる」といったメリットを説明する。阿部氏は「開発部門と話す際、『徹夜』や『休日出勤』といったキーワードで協力を要請し、理解を得ているケースもあるようです」という。
また、セキュリティ対策を早い段階から取り入れる「シフトレフト」を推進するためにも、業務・サービス運営者が脆弱性対応に関与することが重要だ。「セキュリティ部門や情報システム部門だけではなく、実際にサービスを運営している事業部門の目が入ることで、網羅性の高い診断ができます」とメリットを強調する。
もう1つの重要なポイントは「適切なツールの選定」だ。成功事例に共通する選定基準として阿部氏は「誰でも使える操作性」「利用範囲に制限がないこと」「診断結果が分かりやすいこと」を挙げる。
これらを踏まえ、脆弱性診断の内製化に役立つツールの一例として、阿部氏はエーアイセキュリティラボが提供する「AeyeScan(エーアイスキャン)」の機能を紹介した。AeyeScanは、ユーザーが診断対象のWebサイトのURLを入力するだけで自動的にサイト全体を巡回し、画面遷移図を作成してくれる。その後、各ページの脆弱性を検出し、結果と修正方法を分かりやすく解説したレポートが自動生成される。阿部氏は「診断結果はPDFで出力できるので、開発ベンダーや開発部門の方に出力したPDFを渡すだけで、開発側は脆弱性対応に取り掛かることができます」と、脆弱性の検出だけでなく修正対応もスムーズに行えることを示した。
