生成AIが“見えないIT資産”を見つける救世主に？人に依存しないセキュリティマネジメント体制の整え方

生成AIで“見えない資産”が見つかる？ AIをASMに役立てるには

　阿部氏が内製化に有効な手立てとして提唱するのが、Webセキュリティ対策の「AIによる自動化」だ。

　これまで多くの企業で、ASM（Attack Surface Management）ツールを使ったWebセキュリティ対策の自動化・省力化が試されてきた。しかし阿部氏によれば、実際に導入した企業の多くから「自分たちの知らない資産を見つけたいのに『ヒントをください』と言われる。把握できていない資産を探したいときに、ヒントを渡すのは難しい」「ヒントなしで広く検索すると、余計なものまで多数拾ってきてしまう。しかも、なぜその資産を拾ってきたのかが分からないから、精査が大変だ」といった声をよく聞くという。

　そこに登場したのが生成AIだ。阿部氏はこれらの課題の解決に「生成AIは極めて有用」だと言う。

　「生成AIをASMに適用すると、たとえば自社の会社名をシステムにインプットするだけでも、余計なものを省いて、かなり“いい感じ”に資産を見つけてくれます。最近では生成AIもかなり高精度になってきているため、人間が調べきれない膨大な情報にアクセスして、複数のソースを根拠にしながら自社資産かどうかを精査できます。発見の理由や根拠も説明してくれるので、これまでのブラックボックス的で使いにくかったものから、ホワイトボックス的な使い方ができる便利なものに変わってきています」（阿部氏）

　また生成AIは、発見した資産の詳細情報まで可視化してくれる。そのサイトで使っている技術や取り扱っているデータに関する情報も推察できるため、技術スタックだけでなく、ビジネス上の重要度やリスクを把握することに役立つ。こうして技術的な観点だけでなく、ビジネス的な重要度も判断することで、優先的に守るべき資産を適切に管理できるようになるという。

　さらに、Webセキュリティ対策を内製化する上でも、生成AIの活用は理にかなっているという。阿部氏は「近年のツールは、性能や品質の面では人間（専門家）と遜色ないところまで来ています。しかも人によるスキルのばらつきが生じないため、品質や効率を均質化できるという点において、内製化に非常に向いていると思います」と評価する。

“使いやすさ”と“専門性”を両立する脆弱性診断とは

　阿部氏の所属するエーアイセキュリティラボでは、生成AIを活用したクラウド型Webアプリ脆弱性検査ツール「AeyeScan」を提供している。同氏は、AeyeScanの機能を例に挙げながらツール活用のメリットを説明した。

　たとえば、脆弱性を診断したいサイトのトップページのURLをAeyeScanに入力して診断を開始すれば、自動的にサイトを巡回して画面遷移図を作成できる。また、診断の結果、どのような脆弱性がどれほど潜んでいたかを可視化し、具体的な検出箇所や診断結果も自動でレポートにまとめる機能も備わっている。このようなツールをうまく活用して自社サイトの脆弱性診断を内製化できれば、これまで外部のベンダーに診断を依頼するためにかけていたコストと時間を大幅に削減することが可能だ。「結果として、Webセキュリティ対策のサイクルを継続的に、網羅的に、早く回せるようになります」と阿部氏は力説する。

　事実、AeyeScanはその使いやすさからセキュリティの専門家以外からも高い支持を得ており、多くの企業の事業部門や開発部門で脆弱性診断の内製化ツールとして活用されているという。一方で、セキュリティの専門家も満足させる本格的な機能や性能を備えている。たとえば、SI企業がAeyeScanを使ってソフトウェアの納品前に脆弱性診断を行ったり、セキュリティ企業が脆弱性診断をクライアントから受託した際に、AeyeScanを使って診断を実施したりといったユースケースが見られるという。