脆弱性診断ツール「Shisho Cloud byGMO」、AIを活用したWebアプリの認可制御診断機能を提供

　GMO Flatt Security株式会社は5日、脆弱性診断ツール「Shisho Cloud byGMO」内で、Webアプリケーションの認可制御診断機能を提供すると発表した。Starterプラン以上で利用できる。

　Shisho Cloud byGMOは、Amazon Web Services（AWS）、Google Cloudといったクラウドサービスのセキュリティ診断や、Webアプリケーションの脆弱性診断を自動で行えるツール。今回はその機能のひとつとして、認可制御診断機能を提供する。

　認可制御とは、Webアプリケーションのユーザーに対して、付与されたアクセス権限通りの操作のみを許し、それ以外の操作を禁止する制御のこと。こうした制御があるべき箇所に実装されていなかったり、制御を迂回（うかい）して本来禁止された操作を実行できたりしてしまう脆弱性を「認可制御不備」と呼び、このような脆弱性が存在すると、一般ユーザーでありながら全ユーザーの個人情報が閲覧できてしまうなど、さまざまなリスクに直結するという。

　本来、この制御不備を検出するには、セキュリティエンジニアがアプリケーションの仕様を理解した上で脆弱性診断を実施する等の対策が必要となるが、認可制御診断機能では、AIを活用し、従来は人間しかできなかった部分を推論させることにより、人間を介さず、自動化されたプロセスとして認可制御診断を提供するとのこと。

　具体的には、AIがアプリケーションの仕様を把握し、権限ごとに可能な操作を一覧化した権限マトリクスを自動で作成する。また、権限ごとに、実際にアプリケーションにリクエストを送信し、挙動が権限マトリクスに沿っているかどうかを自動で診断できるとした。なお、提案された権限マトリクスが不正確な場合でも人の手で修正可能だ。

　こうして、認可制御診断のフロー全体を自動化したことにより、手動の脆弱性診断と比べ費用を削減できるとのことで、Shisho Cloud byGMOであれば年間150万円（税別）のStarterプランでも自動診断が可能。また、開発サイクルに合わせた継続的な脆弱性診断にも対応できるので、アジャイル開発で随時追加・変更されていく機能にも認可制御を正しく実装できているかを、機能リリースの度に洗い出せるとしている。