2．現在のWebアプリケーション診断

Webアプリケーション診断とは、WebサイトやWeb APIなどのWebアプリケーションに対して、疑似的な攻撃リクエストを送信し、Webサイトの挙動やレスポンスから、情報漏えいやWebサイト改ざん等につながる脆弱性の有無を確認する診断手法です。

図1：Webアプリケーション診断

Webアプリケーション診断は大きく手動診断とツール診断の2種類に分類されます。一般的には、手動診断とツール診断を組み合わせて実施するか、あるいはツール診断のみで提供するケースが主流となっています。

図2：手動診断とツール診断

コストや診断期間を考慮するとツール診断の方が効率的ですが、ツール診断では検出できない脆弱性が存在することに注意が必要です。情報処理推進機構（IPA）も、手動診断で発見された脆弱性がツールで検出可能であるかを検証し、ツール診断による脆弱性検出には限界があることを指摘しています（※4）。ツール診断で検出可能とされているSQLインジェクションやクロスサイトスクリプティング（XSS）といった典型的な脆弱性でさえ、ツール診断だけで完全に検出することは困難です。

近年、ECサイトや業務システムは大規模化が進み、数百〜数千画面規模に及ぶことも珍しくありません。こうしたWebサイトでは、すべての画面に手動診断を実施するのは現実的ではありません。一方で、金融取引や個人情報など重要なデータを扱うWebサイトは攻撃者に狙われやすく、高精度な手動診断が不可欠です。そのため、どの画面に手動診断を適用するかを、Webサイトの特性や機能を踏まえて適切に選定することが重要です。

3．Webアプリケーション診断におけるAI活用

近年、一部のWebアプリケーション診断ツールにAIが導入され始めています。また、Webアプリケーション診断におけるAIの役割は、単なるツール診断の検出精度向上だけではありません。これまで人手に依存していた領域や効率化が難しかった工程に対しても、AI活用による自動化が期待されています。例えば、次のような活用があげられます。

図3：Webアプリケーション診断におけるAI活用

DevSecOpsの概念にみられるように、Webアプリケーション診断はリリース前だけでなく、更改や定期的な運用の中でも継続的に実施する必要があります。特に近年はアジャイル開発の普及により開発サイクルが短期化し、リリーススピードが加速しているため、Webアプリケーション診断にも効率性が求められています。AIを活用しWebアプリケーション診断を内製化することで、コストを抑えながら診断サイクルを高速化し、リリースやサービス改善のスピードを損なわずにセキュリティを確保できます。

静的なWebサイトや簡易的なECサイトなど、特定の条件を満たすWebサイトにおいては、すでに一部のWebアプリケーション診断が人手から代替されつつあります。今後は、こうした自動化の適用範囲が限定的なものにとどまらず、さらに拡大していくでしょう。AIの出力結果を過信するのはリスクがありますが、診断対象の大規模化が進む今後を見据えれば、AI活用を積極的に検討し、診断精度と効率性を高めていくことは不可欠です。

4．まとめ

AIはツール診断の高度化だけでなく、専門家の手動診断を補助することでWebアプリケーション診断全体の品質向上に寄与します。さらに、Webアプリケーション診断を内製化することで、効率的にWebアプリケーションセキュリティを維持できる体制を整備できます。

NTT DATAは、AeyeScanをはじめとするAIを活用したWebアプリケーション診断ツールの活用に取り組んでおり、お客さまに対しても支援を提供することが可能です。また、NTTデータ先端技術と連携し、高度な手動診断を含むWebアプリケーションハッキング診断やAeyeScanを活用したWebアプリケーションマネージド診断など、さまざまな脆弱性診断サービス（※5）を提供可能です。脆弱性診断の計画策定から診断実施、内製化支援、運用体制構築までをトータルに支援可能な体制を整えていますので、脆弱性診断についてお悩みがありましたら、ぜひご相談ください。