ニュース

BBSec、AI搭載の自動脆弱性診断サービスを新たにリリース

 株式会社ブロードバンドセキュリティ(以下、BBSec)は26日、AI搭載の自動脆弱性診断サービスを新たにリリースした。

 サービスは、BBSecが提供するASP型デイリー自動脆弱性診断サービス「Cracker Probing-Eyes(以下、CPE)」に機械学習機能を組み込んだもので、NTTテクノクロス株式会社から機械学習によるテキスト分類技術および学習モデル構築技術の支援を受け、開発した。

 CPEは、インターネット越しにシステムの脆弱性を定期的にチェックする自動診断サービス。新たなリリースでは、従来のCPEに機械学習機能を組み込むことで、サーバー負荷を低減してよりスピーディに診断を実施するとともに、顧客のシステムを学習する“進化するエンジン”により、日々診断の精度が向上するとしている。

サービス概念図

 毎日自動的に脆弱性診断を行う保守型の診断サービスでは、診断対象のウェブサイトに対して総当たり的に大量のシグネチャ(脆弱性の検査パターン)を送信するため、サーバーの負荷が高くなり、管理者の負担が増大するという課題があった。

 新たにリリースするAI搭載のCPEでは、学習データに基づいてウェブサイトの構成を自動で判断して最適なロジックで診断を実施でき、シグネチャの送信量が減るためサーバー負荷は低減され、スピーディに診断結果を得られる。BBSecのテストでは、最大で75%の診断時間短縮が達成されているという。

 また、機械学習を活用した脆弱性診断では、脆弱性リスクが自動的に学習されるため、診断の実施量が増えれば増えるほど精度が向上すると説明。さらに、BBSecの熟練エンジニアによるフィードバックを機械学習の教師データとして用いることで、低コストで限りなく手動診断に近い診断精度を実現できるとしている。