近年は関連組織やベンダー等を介したサプライチェーン攻撃のリスク増大に伴い、インターネット上の IT 資産管理の重要性が増している。そうした中、経産省がまとめる「ASM(Attack Surface Management)導入ガイダンス」をもとに対策を進めている企業も多いだろう。
しかし、実際はリソース不足などの様々な要因から、社外向けの Web システム・アプリの把握・管理が不十分であるという課題に直面しているケースは珍しくはない。
そうした状況に対し、2024 年 10 月 11 日に開催されたテクノロジーカンファレンスで、株式会社エーアイセキュリティラボ 代表取締役社長 青木 歩 氏が、生成 AI を活用した新たな Web-ASM のアプローチを紹介した。
● ASM とは? Web-ASM を取り巻く国内の状況について
様々な企業で DX が進み、クラウドの活用機会は年々増えている。さらにリモートワークの推進等によって、外部からもアクセス可能な IT 資産は増加しており、サイバー攻撃の起点は増えている。
そこで約 3 年ほど前から、外部からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスとして ASM(Attack Surface Management)が注目を集めるようになった。
そうした中、エーアイセキュリティラボ 青木氏は「ASM には社内向けの IT 資産管理のイメージが強く、社外向けの Web システムやアプリの管理はまだまだ不十分である」と話す。
特に昨今は、国内におけるサイバー攻撃の件数は年々増加傾向にある一方、様々なデジタルサービスを活用して業務を遂行する機会も増えており、「社内 IT 資産だけでなく、社外向けの Web システム・アプリの ASM、すなわち Web-ASM の重要度も高まっている」という。
● なぜ Web-ASM が進まないのか。企業が直面している 3 つの課題
Web-ASM の重要度は高まっているのに対して、様々な課題に直面し、実際に Web-ASM に取り組めていない企業は少なくはない。多くの企業が直面している課題として青木氏が挙げたのが、次の 3 つである。
1 つ目が「Web システム・アプリを全て把握できていない」という課題である。多くの企業では、いわゆる情シス部門が IT 資産の管理を行っているであろうが、たとえば M&A によって統合した組織が保有する IT 資産、特に Web システム・アプリの管理までも行うのは相当なリソースを要する。さらに DX が進む中、各部門が独自で管理する Web システム・アプリが増えたことで、IT 資産全体を把握できないということは往々にして起こり得る。
そして 2 つ目の課題が、そもそもとして「セキュリティ部門の人手が足りない」ということである。リソースが不足しているがゆえに、3 つ目の課題でもある「ガバナンス体制が徹底されない」といったことが生まれ、特にグループ経営の場合であれば関連会社の管理する Web サイトまでガバナンスが徹底されないといったことが起きてしまう。
そこで Web-ASM ツールを導入し、未把握な攻撃面の継続的な発見が求められる。ただし、Web-ASM ツールを導入すれば上記の課題がすべて解決されるわけではない。
「特に海外ツールの場合に起こるのが、名称が類似した他社企業のサイトまで列挙されてしまったり、表記揺れを正しく判定できずに、結果的に膨大な量がリストアップされてしまい、そこから自社グループの Web システム・アプリはどれであるかを精査する必要が出てくることです。そうした精査は結局は人手で行わなければならず、どうしてもリソース不足が課題として生まれてきてしまうのです」(青木氏)
また、Web-ASM ツールが検知したリスク評価に関しても、ツールによっては実環境で影響のない脆弱性を検知してしまったり、リスク評価が実際よりも高かったりと、誤判定含めさまざまな評価が含まれることがある。そこで正しく評価を行い、どのように対策をすべきか、また対策の優先度付けといったことにもリソースを確保する必要があり、Web–ASM ツールの導入・活用の根本的な課題は、日本企業のセキュリティ人材のリソース不足に起因していることがわかる。
● 生成 AI によって精度高く、攻撃面の把握およびリスク評価が可能に
青木氏はセキュリティ人材の不足だけでなく、日本企業がセキュリティ対策に取り組む上で直面する課題は多いという。
「たとえば企業によっては海外製のセキュリティ製品を利用されているケースもあるでしょうが、言語だけでなく、日本企業の業務プロセスにローカライズされておらず、非効率な運用になってしまっていたりします。
また、日本企業ではクラウド活用含め、いまだに新しいシステムにリプレイスして活用していくということが進んでおらず、様々な側面でセキュリティ部門の人材が作業的業務に追われるといったことも珍しくありません。そこで私たちは定型化できる作業は継続的に AI に任せ、人は人にしかできない創造性を活かした仕事に注力することが大切だと考えます」(青木氏)
そこでエーアイセキュリティラボが提供する、国内市場シェア No.1 のクラウド型 Web アプリケーション脆弱性検査ツール「AeyeScan(エーアイスキャン)」では、2024 年 11 月より新たに Web-ASM 機能を追加した。
日本企業に適した条件で攻撃面の発見が可能であることはもちろん、たとえば IR 情報から M&A に関する情報を参照したり、暗号通信のための証明書からドメインの所有確認を行うなど、生成 AI を用いることで、様々な情報源から総合的に自社グループの Web システム・アプリであるかどうかを精査し、網羅していくため、精度の高いリスト作成が可能であるという。
さらに攻撃面のリスク評価に関しても、自動巡回・スキャンを行い、広範囲を短時間で診断が可能。そしてクラウドサービスとして、常に AeyeScan が新しい脆弱性にも対応するため、導入企業側は攻撃面やリスク評価の精査等にリソースを割く必要がなく、対策計画に注力できるようになる。
なお、AeyeScan は大手製造業から金融、インフラ業界、そして SaaS 企業など幅広い業界で導入されている。さらには、OWASP アプリケーションセキュリティ検証標準など、各種セキュリティガイドラインに沿った診断項目に対応しており、厳しい診断基準を必要とするセキュリティベンダーにも導入されるなど、セキュリティのプロも認める品質・精度を誇るツールだ。
最後に青木氏は「正確に IT 資産を把握しなければ攻撃リスクは軽減できない。未把握のものをしっかりと把握することでリスクを減らすことができる」と語り、生成 AI を用いてスムーズに脆弱性の発見および診断を行うことの重要性をあらためて説いた。
