生成AIが“見えないIT資産”を見つける救世主に?人に依存しないセキュリティマネジメント体制の整え方
多くの事業会社で活用されている「AeyeScan」は、何がすごいのか?
DXの進展にともなって企業が抱えるアタックサーフェスは増え続けており、これらを人手で管理・対処していくのは限界を迎えつつある。そんな中、生成AIを活用することでASM(Attack Surface Management)や脆弱性診断を自動化・効率化するソリューションが注目を集めている。EnterpriseZine編集部主催イベント「Security Online Day 2025 秋の陣」に登壇したエーアイセキュリティラボの阿部一真氏は、そのような最新のWebセキュリティ対策の価値や効果、具体的な使用例などを紹介した。
DX進展でシャドーITが爆増。“発見から管理まで”を持続可能にするために
セッション冒頭、阿部氏は多くの企業がWebセキュリティに関して抱えている共通課題として「Webサイトがどんどん増えていて対応しきれていない」「現場が回らず、つい後回しになってしまう」「『やっただけ』で運用や最適化まで回らない」「専門知識が不足しており手が出せない」の4点を挙げた。
これらの課題を解決する上で注目すべきポイントが、DXの進展にともなう「3つの大きな環境変化」だという。第一に、デジタル化の主体がIT部門から事業部門へとシフトしていること。第二に、重点領域が社内ITインフラから外部向けデジタルサービスへと移行していること。そして第三に、開発手法がウォーターフォール型からアジャイル型へと変化していることだ。
特に第一の変化が与える影響の大きさについて、阿部氏は次のように指摘する。
「DXのフェーズ1とフェーズ2、つまり紙のデータをデジタル化して社内業務をデジタル化する段階は、IT部門やシステム部門が主体となって進めてきました。しかしビジネスをデジタル化するフェーズ3では、事業部門が主役になってきています。この変化により、セキュリティ部門やIT部門が把握しきれない『シャドーIT』や『見えないIT資産』が増加しているのです」(阿部氏)
このような環境の変化を踏まえ、企業にも新たなセキュリティ対策の指針が求められている。見えないWeb資産が増え続ける中、それらを適切に可視化してリスクを把握するために、まずは「Web資産の継続的な棚卸し」と「継続的かつ網羅的な脆弱性診断」を行う必要がある、と阿部氏は言う。また、そのための環境を構築するにあたり、属人化しない体制とプロセスを構築することも大切だとした。
具体的には、守るべき資産やカバー範囲を明らかにする「探索・発見」、発見した資産に対してセキュリティ診断を行い、必要な対策を明確にする「診断・対策」、そしてこのサイクルが適切に回っているかを「管理」する取り組みを、網羅的かつ継続的に行っていく必要があると指摘する。
しかし阿部氏は、実際にこのサイクルを適切に回せている企業は極めて少ないとし、「多くの企業では人手や予算が足りない上に、社内のステークホルダーも非常に多いため、網羅的なWebセキュリティ対策を継続的に実施するのは難しい」と述べる。
このような状況を打開するためには、人手をかけずに探索・発見・モニタリングを行う仕組みが必要だ。これを実現する有効な手段として、同氏は「セキュリティ部門だけでなく事業部門や開発部門も巻き込んだセキュリティ対策の『内製化』」を挙げる。
生成AIで“見えない資産”が見つかる? AIをASMに役立てるには
阿部氏が内製化に有効な手立てとして提唱するのが、Webセキュリティ対策の「AIによる自動化」だ。
これまで多くの企業で、ASM(Attack Surface Management)ツールを使ったWebセキュリティ対策の自動化・省力化が試されてきた。しかし阿部氏によれば、実際に導入した企業の多くから「自分たちの知らない資産を見つけたいのに『ヒントをください』と言われる。把握できていない資産を探したいときに、ヒントを渡すのは難しい」「ヒントなしで広く検索すると、余計なものまで多数拾ってきてしまう。しかも、なぜその資産を拾ってきたのかが分からないから、精査が大変だ」といった声をよく聞くという。
そこに登場したのが生成AIだ。阿部氏はこれらの課題の解決に「生成AIは極めて有用」だと言う。
「生成AIをASMに適用すると、たとえば自社の会社名をシステムにインプットするだけでも、余計なものを省いて、かなり“いい感じ”に資産を見つけてくれます。最近では生成AIもかなり高精度になってきているため、人間が調べきれない膨大な情報にアクセスして、複数のソースを根拠にしながら自社資産かどうかを精査できます。発見の理由や根拠も説明してくれるので、これまでのブラックボックス的で使いにくかったものから、ホワイトボックス的な使い方ができる便利なものに変わってきています」(阿部氏)
また生成AIは、発見した資産の詳細情報まで可視化してくれる。そのサイトで使っている技術や取り扱っているデータに関する情報も推察できるため、技術スタックだけでなく、ビジネス上の重要度やリスクを把握することに役立つ。こうして技術的な観点だけでなく、ビジネス的な重要度も判断することで、優先的に守るべき資産を適切に管理できるようになるという。
さらに、Webセキュリティ対策を内製化する上でも、生成AIの活用は理にかなっているという。阿部氏は「近年のツールは、性能や品質の面では人間(専門家)と遜色ないところまで来ています。しかも人によるスキルのばらつきが生じないため、品質や効率を均質化できるという点において、内製化に非常に向いていると思います」と評価する。
“使いやすさ”と“専門性”を両立する脆弱性診断とは
阿部氏の所属するエーアイセキュリティラボでは、生成AIを活用したクラウド型Webアプリ脆弱性検査ツール「AeyeScan」を提供している。同氏は、AeyeScanの機能を例に挙げながらツール活用のメリットを説明した。
たとえば、脆弱性を診断したいサイトのトップページのURLをAeyeScanに入力して診断を開始すれば、自動的にサイトを巡回して画面遷移図を作成できる。また、診断の結果、どのような脆弱性がどれほど潜んでいたかを可視化し、具体的な検出箇所や診断結果も自動でレポートにまとめる機能も備わっている。このようなツールをうまく活用して自社サイトの脆弱性診断を内製化できれば、これまで外部のベンダーに診断を依頼するためにかけていたコストと時間を大幅に削減することが可能だ。「結果として、Webセキュリティ対策のサイクルを継続的に、網羅的に、早く回せるようになります」と阿部氏は力説する。
事実、AeyeScanはその使いやすさからセキュリティの専門家以外からも高い支持を得ており、多くの企業の事業部門や開発部門で脆弱性診断の内製化ツールとして活用されているという。一方で、セキュリティの専門家も満足させる本格的な機能や性能を備えている。たとえば、SI企業がAeyeScanを使ってソフトウェアの納品前に脆弱性診断を行ったり、セキュリティ企業が脆弱性診断をクライアントから受託した際に、AeyeScanを使って診断を実施したりといったユースケースが見られるという。
大手企業の情シスがAeyeScanを選んだ理由
AeyeScanの具体的な導入事例として、阿部氏は大手スポーツメーカーのケースを紹介した。この企業では、情報システム部門がAeyeScanを活用し、外部公開サイトの定期的な脆弱性診断を内製化することに成功したという。同社の抱えていた課題について阿部氏は「外部公開サイトの脆弱性診断を定期的に実施する方針を立てたのはいいものの、その作業をすべて外注するのはコストや時間の面で現実的ではありませんでした。そこで、社内で脆弱性診断を実施できるツールを探した結果、AeyeScanを見つけていただきました」と説明する。
「セキュリティの専門家ではない社内メンバーでも、使いこなせる」かつ「本格的な機能と品質を備えている」という条件のもと、様々な製品を比較検討した結果、AeyeScanが選定されたという。阿部氏は「外部のセキュリティベンダーに診断を依頼した際の結果とほぼ同等の精度を達成した、唯一の製品だったと評価いただいています」と述べる。
この大手スポーツメーカーでは現在、外部ベンダーとともに、AeyeScanを用いた脆弱性診断を定期的に実施している。その結果に基づいてサイトを修正し、さらに修正内容をチェックしてリリースするというサイクルを社内で回せるようになっているという。
AIと対話できる“次世代セキュリティプラットフォーム”提供も
エーアイセキュリティラボでは現在、Webセキュリティ対策の「探索・発見」「対策実行」「管理・計画」のサイクルのうち、管理・計画に特化したプラットフォーム製品「AeyeCopilot」の提供を開始している。
脆弱性診断の実施や、診断の結果見つかった脆弱性への対処に関する情報を一元管理し、社内の複数の部門間でスムーズに共有・連携するためのプロダクトだ。阿部氏は「人間とAIが会話をしながらセキュリティ対策を進めていき、それをマネジメントしていくようなプラットフォームを目指して、開発を続けています」と説明する。
同氏は、今後も新たな機能の提供を通じて、セキュリティ人材不足や予算不足でもWebセキュリティ対策を強化していかなければならない企業に対して、“現実的な解”を提供していきたい、と語る。
「人手をかけるべきところと、AIやシステムに任せられるところが、どんどん明確になってきています。当社は今後も生成AIを活用しながら、『人が、人にしかできない創造性を活かした仕事に注力できるような社会』を、サイバーセキュリティの領域から作っていきたいと考えています。脆弱性の診断から資産の発見、対策の実行、そしてセキュリティマネジメントまで、これからも一貫して皆さんのセキュリティ対策強化を支援していきます」(阿部氏)
「AeyeScanで何ができるの?」「導入企業の詳細が知りたい!」という方必見
AeyeScanは有償契約300社以上の実績を持ち、様々な業種・規模の企業で導入が進んでいます。本記事でAeyeScanに関心を持たれた方は、こちらから詳細な資料をダウンロードいただけます。
自社やグループ企業のWebサイトの管理にお悩みの方におすすめ!
生成AIを活用することで、自社Web資産の探索・発見・棚卸しは効率化かつ高度化できますが、具体的にどのような取り組みを行うと効果的なのでしょうか。本記事でWeb-ASMに関心を持たれた方は、こちらから生成AIを活用した最新技術を含むトレンドが分かる資料をダウンロードしてご活用ください。この記事は参考になりましたか?
提供:株式会社エーアイセキュリティラボ
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
