セキュリティ業界で数年〜十数年に渡って経験を積んできたエンジニアらが2019年に立ち上げた、サイバーセキュリティスタートアップのエーアイセキュリティラボ。同社は10月5日より、クラウド型のウェブアプリケーション脆弱性診断ツール「AeyeScan(エーアイスキャン)」の提供を始めた。
特徴はウェブサービスのURLや認証情報など最低限の情報さえ入力すれば、自動で脆弱性をチェックしてくれること。AIを活用することによってツールだけで「正常なサイト遷移」を再現し、人手をかけずとも診断できる仕組みを作った。
ウェブサービスの脆弱性を診断する方法としては、診断サービスを展開する事業者に依頼をするか、もしくは既存の診断ツールなどを駆使しながら自社で対応するかのどちらかが主流だ。
脆弱性診断は高い専門性と経験が必要で人手による診断が中心となるため、ある程度のコストを支払ってでも外部のプロに任せる企業も多い。ただ近年は開発サイクルのスピードアップや外注コスト削減へのニーズから「セキュリティ診断の内製化」が1つのキーワードにもなっており、エーアイセキュリティラボ代表取締役社長の青木歩氏によると自社で診断に取り組む企業も増えてきているという。
内製化を進める上では何らかの診断ツールが使われることが多いが、そこにいくつかの課題があるというのが青木氏の見解だ。プロ用に作られた診断ツールは操作が難しく、社内で体制を整えてから実際に立ち上がるのに数カ月単位の時間がかかる。海外製のものを中心に自動化ツールも存在はするものの、巡回範囲が狭く診断精度にも改善の余地があるという。
これまで脆弱性診断を自動化する上で特にボトルネックになっていたのが「ログイン画面や入力フォーム」など、何らかの入力作業が発生する項目だ。各項目に適正な値を入力しなければ次の画面に遷移することができず、ここを完全に自動化することが難しかったために、診断ツールを導入していても結局その都度人力で対応しなければならなかった。
青木氏がAeyeScanの特徴として挙げるのが、まさにこれらの作業を自動化している点だ。同サービスでは「AIがログイン画面や入力箇所などを自動判定した上で、適切な値を自動入力できる」ため途中で止まることなくサイト内の巡回・診断を進めることができる。シンプルな入力フォームはもちろん、CAPTCHA認証(画像認証)などにも対応可能だ。
診断結果は画面キャプチャ付きの画面遷移図に加えて、サイト全体の評価をまとめたスキャンサマリーや脆弱性が見つかった箇所の詳細レポートなどから成る。該当箇所については画面キャプチャと合わせて修正に必要な技術的な詳細情報も示される。
AeyeScanはブラウザからアクセスすれば利用できるため、特定のソフトウェアのインストールなども不要。30日間の短期利用型と通年型の2つのプランを用意する計画で、ミニマムで10万円から使えるという。
冒頭でも触れた通り、エーアイセキュリティラボはセキュリティ業界出身の4人のメンバーが共同で創業したスタートアップだ。最も短いメンバーでも約7年、1番経験の豊富な青木氏の場合は20年間に渡ってこの業界で働いている。
青木氏以外の3人はセキュリティエンジニアとして専門的な技術を磨いてきた一方で、青木氏はビジネスサイドの担当者として診断ツールや(人による)診断サービスの販売に携わる中で、顧客の課題感やニーズに対する知見を深めてきた。
そこで培ったノウハウをツールに落とし込んだのが今回ローンチしたAeyeScanというわけだ。
正式版の提供に先がけて数十社にテスト版を利用して見てもらったところ「URLを入力するだけでスタートできる簡単さや、(自動ながら)巡回範囲の広さや診断精度の高さに対してはかなり反響が良かった」とのこと。「全てのセキュリティ作業をいかに自動化できるか」を中長期的なテーマに、まずはAeyeScanを通じてウェブサイトの脆弱性診断における新しい選択肢を広げていくことを目指す。
