セキュリティ業界で数年〜十数年に渡って経験を積んできたエンジニアらが2019年に立ち上げた、サイバーセキュリティスタートアップのエーアイセキュリティラボ。同社は10月5日より、クラウド型のウェブアプリケーション脆弱性診断ツール「AeyeScan(エーアイスキャン)」の提供を始めた。
特徴はウェブサービスのURLや認証情報など最低限の情報さえ入力すれば、自動で脆弱性をチェックしてくれること。AIを活用することによってツールだけで「正常なサイト遷移」を再現し、人手をかけずとも診断できる仕組みを作った。
ウェブサービスの脆弱性を診断する方法としては、診断サービスを展開する事業者に依頼をするか、もしくは既存の診断ツールなどを駆使しながら自社で対応するかのどちらかが主流だ。
脆弱性診断は高い専門性と経験が必要で人手による診断が中心となるため、ある程度のコストを支払ってでも外部のプロに任せる企業も多い。ただ近年は開発サイクルのスピードアップや外注コスト削減へのニーズから「セキュリティ診断の内製化」が1つのキーワードにもなっており、エーアイセキュリティラボ代表取締役社長の青木歩氏によると自社で診断に取り組む企業も増えてきているという。
内製化を進める上では何らかの診断ツールが使われることが多いが、そこにいくつかの課題があるというのが青木氏の見解だ。プロ用に作られた診断ツールは操作が難しく、社内で体制を整えてから実際に立ち上がるのに数カ月単位の時間がかかる。海外製のものを中心に自動化ツールも存在はするものの、巡回範囲が狭く診断精度にも改善の余地があるという。