株式会社エーアイセキュリティラボは6月2日、AIを活用したWebアプリケーション脆弱性診断ツール「AeyeScan」の「Web-ASM」機能で、プラットフォーム診断領域までスキャン範囲・項目を拡充すると発表した。
「AeyeScan」は、手動による実施が必要だったセキュリティ診断を生成AI等の最先端技術の活用で自動化し、いつでも誰でも簡単・高精度な診断を実現したクラウド型Webアプリケーション脆弱性診断ツール。
「AeyeScan」の「Web-ASM機能」では、生成AIが複数の情報源をもとに総合的に判定することで自組織に関わる未把握のWeb資産(Webサイト、Webアプリケーション、API)を検出し、Web資産の重要度(属性)とリスクの深刻度(悪用観測脆弱性)を自動で可視化してきた。同機能は、AeyeScanによる脆弱性診断とは異なり、非攻撃的(非破壊的)な手法を用いることで、Webアプリケーションやドメインに付随するリスクの傾向の把握が可能となっている。
今回のWeb-ASM機能の機能拡充では、外部公開資産(ドメイン)に対し下記の3つのステップを実行することで、Webアプリケーション・ドメインに関連する脆弱性に加え、より広範な資産・攻撃面へのプラットフォーム診断を実現する。
・ポートスキャンによる「入り口」の特定
検出した自組織の資産に対してポートスキャンを実施し、外部に公開されているサービスを特定。
・CVEデータベースの照合による「既知の脆弱性」の特定
サービスの製品とバージョン情報をCVEデータベースと照合し、既知の脆弱性を特定。
・簡易ネットワーク診断による「セキュリティリスク」の特定
サービスに対して簡易ネットワーク診断を実行し、不要なサービスの公開や設定不備などのセキュリティリスクを特定。
Web-ASM機能のアップデートで、AeyeScanソリューション全体で、インターネット上に公開されているあらゆる資産に対し、重要度に応じた二段構えの防御体制の構築が可能となる。
・優先度の高いWeb資産への「定期的・継続的な脆弱性診断」:AeyeScan
重要なWebサイトやWebアプリケーションに対し、独自の巡回・スキャン技術を用いて、アプリケーション層まで踏み込んだ深い脆弱性診断を継続的に実施。
・優先度判定で抜け落ちる外部公開資産への「網羅的なスキャン」:Web-ASM
予算や工数の制約で後回しにされがちなWebサイトや、環境が準備できない等の理由で診断ができなかった資産に対し、今回拡充した機能を活用した「継続的なスキャン」を適用し、組織全体のセキュリティの底上げを自動で行い、リスクを最小化。
