GMO Flatt SecurityがAIを活用した脆弱性診断機能を提供開始

GMO Flatt Securityが進化した脆弱性診断機能を発表

GMO Flatt Security株式会社は2025年3月5日より、国産脆弱性診断ツール「Shisho Cloud byGMO」にAIを駆使した認可制御診断機能を実装します。この新機能により、重要なセキュリティ脆弱性の一つである「認可制御不備」を自動的に検出し、従来必要だった高コストの手動診断を回避できるようになります。これにより、企業は継続的に、かつリーズナブルなコストで脆弱性への対策を進めることが可能となります。

認可制御不備とは

「認可制御不備」はWebアプリケーションにおける重要なセキュリティリスクで、ユーザーに付与された権限の範囲外での操作を実際に許してしまう脆弱性を指します。この問題が発生すると、本来アクセス権を持たないユーザーが他ユーザーの個人情報を閲覧するなどの深刻な情報漏洩のリスクが生じます。

1962年から続く「OWASP Top 10」のリポートによると、最新の2021年版では「認可制御不備」が最も高いリスクとして位置付けられています。特に、以前のバージョンで5位から大幅に昇進したことは、この問題の深刻さを物語っています。

対策が困難な理由

「認可制御不備」の対策が進まない背景には、専門家による脆弱性診断が必要であることが挙げられます。アプリケーションの仕様を理解したセキュリティエンジニアが、手動で対策を講じる必要がありますが、これには高いコストが伴います。アジャイル開発の頻繁な変更に対応するには、迅速かつ効率的に診断を行うことが求められますが、実際にはその実施が難しいのが現状です。

Shisho Cloudの新機能

GMO Flatt Securityでは、この「認可制御不備」を解消するため、AIを利用した新たな診断機能を開発しました。これにより、さまざまなアプリケーションの仕様をAIが推測し、人手を介さずに自動で認可制御診断が行えるようになります。すでにこの機能は、Starterプラン以上の全顧客に提供される予定です。

特徴

1. 権限マトリクスの自動生成: AIがアプリケーションの仕様を考慮し、各権限ごとに許可される操作を一覧化した権限マトリクスを自動生成します。実際のアプリケーションにリクエストを送信し、その挙動を診断します。

2. 継続的な診断: アジャイル開発の進行に合わせて、定期的な脆弱性診断が可能となります。新しい機能がリリースされるたびに、認可制御が適切に実装されているかを迅速にチェックできます。

3. コスト削減: 自動化された診断プロセスによって、手動診断と比べて大幅なコスト削減が実現されます。なんと、年間150万円で継続的に診断を受けられるサービスが提供されるため、予算の制約から脱出できる可能性があります。