2026 年 3 月に開催される Security Days Spring 2026 で、株式会社エーアイセキュリティラボ 事業企画部 ディレクターの阿部 一真 氏が「"てんやわんや" な脆弱性対応から抜け出せ! AI を活用した効率的なトリアージ & ASM とは?」と題した講演を行う。DX 推進に伴い急増する Web 資産の脆弱性管理に追われる企業に向けて、優先順位付けの考え方と ASM(Attack Surface Management)の実践手法を解説する。講演に先立って阿部氏に話を聞いた。--
株式会社エーアイセキュリティラボは、AI を活用したクラウド型 Web アプリケーション脆弱性診断ツール「AeyeScan」を提供する国産セキュリティベンダーである。同製品は SaaS 型 Web アプリケーション脆弱性管理市場で高いシェアを持ち、近年は Web 資産の発見とリスク評価を行う Web-ASM 機能も提供している。
●「てんやわんや」の正体 ~ 止められない DX、増え続ける管理対象
「てんやわんや」とは何か。DX を推進する企業では、IT 部門だけでなく各事業部門が独自に Web サイトや Web サイト・Web サービスを立ち上げるようになっている。会社として DX を進めている以上、IT 部門がそれらの取り組みを止めることはできないが、事業部門が自らセキュリティ対策を主導することも難しい。結果として、セキュリティガバナンスを効かせる役割は、IT部門・セキュリティ部門に集中することになる。
阿部氏はこの状況を「社内各所で色々なお祭りをやっている。それらを全部見て回らなければいけない」と表現した。大変そうでもありながら、新しい価値やビジネスが生まれるという意味で、どこか楽しくなる表現でもある。
新規サービス立ち上げ時の相談、ベンダーとの調整、そしてインシデント発生時には他の業務を中断して緊急対応に当たる。IT部門のチーム規模は変わらないのに、所掌範囲だけがどんどん広がり続ける。本来は継続的に行うべき管理・監視にも手が回らなくなっていく。——これが多くの企業で起きている「てんやわんや」の実態だ。
● 個々の脆弱性ではなく「資産単位」でトリアージする
こうした状況に対する解決策として阿部氏が強調したのが「トリアージ」だ。医療現場で用いられることもあるが、一般的に「脆弱性トリアージ」と言う場合、脆弱性一件一件に対する優先順位付けを指すことが多い。しかし阿部氏が注目しているのは「より大きな粒度」でのトリアージだという。
「個々の脆弱性だけではなく、Web サイトとか Web アプリケーションの『事業上の優先順位』について考えたり、『診断をすること自体の優先順位』について考えたり、そういう意味でのトリアージも重要です」と阿部氏は説明する。
● 脆弱性対策の成熟 3 ステップ
阿部氏は、脆弱性対策の成熟度を 3 つのステップで整理する。
ステップ 1 は、把握済みの Web 資産に対して、最低でも 1 回は脆弱性診断を実施したことがある状態だ。新規開発・新規リリース時に診断を行う企業が多いため、過去に一度は何らかの形で診断を行っており、大半の企業はこのラインをクリアしているという。
ステップ 2 は、把握済みの Web 資産に対して、定期的な状態把握(診断)と修正対応ができている状態だ。年1回~週1回程度の 頻度で診断を実施し、見つかった脆弱性に対応することを目指すのだが、すべてのサイトを同じ頻度で診断を行うことは、コスト的にも工数的にも現実的ではない。そこで、優先度によって濃淡をつけることが重要になる。優先度が高い資産には脆弱性診断をしっかり(高頻度に)実施し、優先度が低い資産には低い頻度での診断、あるいは ASM による外側からの状態把握にとどめる、といった具合だ。
留意しておきたいのは、この優先度は、日々の運用の中で、また時系列とともに変わっていく点だ。ASM で外から見た時に怪しい兆候があれば、優先度を上げて診断を実施したほうがいいかもしれない。逆に、定期的な診断を続けていたが、あまり大きな問題が出ないので優先度を下げ、ASM による監視だけで OK とするといった柔軟な運用も求められる。
そしてステップ 3 では、IT部門・セキュリティ部門が存在を知らない、あるいは何らかの理由で管理対象から外れてしまった、そんな「未把握の資産」を発見したり、それらのリスク評価を行う段階に進んでいく。社内に“新しい Web 資産等の申告制度”があっても、運用が回っていなかったり、初回申告後に行われたアップデートまで追い切れなかったり…といったことは珍しくない。見えていないこと自体がリスクであり、それを見つけていく活動が ASM の本領となる。
● AeyeScan Web-ASM機能 の強み ― 発見力・重要度判定・リスク評価
阿部氏は、 AeyeScan が Web-ASM の領域で最も自信を持つポイントとして「発見力」を挙げた。そもそも AeyeScan が Web 領域に特化した診断ツールであり、顧客から「自社資産を把握するのが難しい」という課題を受けて開発したのがWeb-ASM機能だ。この機能を使うと、顧客の管理リストに含まれていないWebサイトが多数見つかったり、他社ツールでは検出できなかったドメインが検出されたりするケースがほとんどだったという。
AeyeScan の Web-ASM 機能は当初「発見力」に特化してリリースしたが、直近で、発見した後の優先順位付け・リスク評価機能を追加してきた。なぜなら、ASM を導入して大量の資産リストが出てくるだけでは、それ自体が新たな「てんやわんや」を生むだけだからだ。
特徴的なのは、AeyeScan の Web-ASM 機能が、技術的なリスク評価(脆弱性の検出)に加えて、ビジネス上の重要度を AI が自動で推察する機能だ。「これは EC サイトだな」「こっちはコーポレートサイトかな」「このサイトにはログイン機能があるな」「このサービスでは個人情報を取り扱っているかな」といった属性を判断し、自動でラベル付けを行う。数多の Web サイトが見つかっても、これらの要素で優先順位をつけ、重要なものから順に確認することができれば、「労少なくして功多し」なセキュリティ対策を行うことも可能だ。経産省が ASM 導入ガイダンスを公表して、早くも 3 年が経とうとしているが、これからASMを始める企業でも、今までインフラ周りを重点的に管理していた企業にとっても、AeyeScan の Web-ASM機能 を試してみる価値はありそうだ。
●今のセキュリティ対策・対応に「 これでいいのか…?」と思っている方々へ
阿部氏はインタビューの中で「 ASM っていうと、やっぱり VPN やネットワーク機器などインフラ領域にどうしても目が向きますし、インフラ領域は既に対応を進められている企業も増えてきています。一方、それと同じ目線で Web 領域の ASM を進めようとすると、未知の資産も含めて大量の資産が見つかり、とても手に負えない…と諦めてしまうかもしれません。そういった場合に重要なのが、トリアージをすること、優先順位を決めて取り掛かること、です。我々は、そのお手伝いができればと思っています」とコメントした。
講演は東京会場と大阪会場で行われる。大阪会場の講師は「会場からの答えきれないほどの質問に逃げずに答えることでお馴染みの“信頼できる男”」こと同社執行役員 関根 鉄平 氏。
東京会場では、同社 髙橋 貴弘 氏によるハンズオンも行われる。開催時すると毎回ほぼ満席となる好評のセミナーで、参加者は同社が用意したデモサイトを使って実際に AeyeScan による診断を体験できる。自社のサイトで試してみたいという場合には、2 週間程度のトライアル期間を設け、同社の技術担当者がサポートしながら自社環境での診断を試すことも可能だ。
なお、ハンズオンで体験できるのは脆弱性診断機能であり、Web-ASM 機能は対象外となる。Web-ASM については別途トライアルを受け付けており、会社名やドメイン情報を同社に伝えると、同社側で探索を実施し、顧客が把握済みの資産と新たに発見された未把握資産を突合したレポートが提供される。
インフラ領域の ASM は進んでいても、Web 領域はこれからという企業は少なくない。資産管理で「てんやわんや」になってしまう前に、トリアージの考え方を知っておく機会として利用してみてはいかがだろうか。
--
Security Days Spring 2026
大阪講演 3.10(火) 11:05-11:45 | RoomB
"てんやわんや"な脆弱性対応から抜け出せ!AIを活用した効率的なトリアージ&ASMとは?
株式会社エーアイセキュリティラボ
執行役員 兼 CX本部長
関根 鉄平 氏
東京講演(ワークショップ) 3.24(火) 12:00-13:00
誰でも簡単にプロさながらの脆弱性診断ができる、AeyeScanハンズオンセミナー
株式会社エーアイセキュリティラボ
CX本部プリセールスリーダー
髙橋 貴弘 氏
東京講演 3.27(金) 9:30-10:10 | RoomA
"てんやわんや"な脆弱性対応から抜け出せ!AIを活用した効率的なトリアージ&ASMとは?
株式会社エーアイセキュリティラボ
事業企画部 ディレクター
阿部 一真 氏
