GMO Flatt Security、セキュリティ診断AIエージェント「Takumi byGMO」でブラックボックス診断機能を提供

　GMO Flatt Security株式会社は12日、セキュリティ診断AIエージェント「Takumi byGMO」のブラックボックス診断機能を提供開始した。

　Takumi byGMOは、GMO Flatt Securityが開発した、セキュリティ業務に特化したAIエージェント。AIによって向上した脆弱性検知能力を最大限に引き出し、既存の自動脆弱性診断ツールでは検出が難しい脆弱性も高精度で検知する。Vim、Next.js、7-Zipなどの著名OSSにおいて10件以上のゼロデイ脆弱性を報告しており、有効性は実証済みだとしている。

　ブラックボックス診断は、診断対象のシステムに対して疑似的に攻撃を実施することで脆弱性を探索する手法で、DAST（Dynamic Application Security Testing）とも呼ばれる。内部情報を参照しないため、網羅性ではホワイトボックス診断に劣るが、システムが動作する環境を用いて脆弱性の再現可能性を検証するため、実際に悪用可能な脆弱性を洗い出せるという特徴がある。

　一方、ホワイトボックス診断は、対象のシステムのソースコードなどを精査することで脆弱性を探索する手法で、SAST（Static Application Security Testing）とも呼ばれる。ソースコードをはじめとする内部情報を参照するため、網羅的にリスクを検出できる一方、実際の攻撃の成否は確認できないため、「理論上は脆弱性が存在する」といった判定にとどまるというデメリットがある。

　このため、ブラックボックス診断とホワイトボックス診断は互いに補完的な関係にあり、理想的な診断を行うためには併用が望ましく、GMO Flatt Securityのセキュリティエンジニアによる脆弱性診断・ペネトレーションテストでも、顧客からソースコードとデモ環境を提供してもらい、両手法の併用を標準としているという。

　Takumi byGMOで提供するブラックボックス診断機能は、ソースコードなしでも高精度の診断を実現。GMO Flatt Securityが独自に脆弱性を埋め込んだデモアプリケーションを対象に、ブラックボックス診断機能単体による診断を行った結果、約20時間のスキャンを通して検出率は48.0％、誤検知（偽陽性）率は33.3％という結果になった。デモアプリケーションには、ソースコードを参照しないと発見が本質的に困難な脆弱性も含まれており、そうしたものを除いた場合の検出率は70％だった。また、これらの実証実験で検出された脆弱性には、アプリケーションの仕様に起因する「ロジックの脆弱性」が含まれており、これらはAIによる検知エンジンを持たない従来の自動診断ツールでは通常検出できないものだったという。

　診断は、管理画面でデモ環境のURLとログインに必要な情報などを入力するだけで、AIが自動的に診断対象画面・通信の洗い出し（クロール）を開始する。従来のDASTツールでは必要となることの多かった、画面URL一覧などの詳細な診断対象データの準備が不要なため、簡単に診断を開始できる。

　また、ブラックボックス診断機能においては「再診断」が可能で、全体を再診断することもできるが、診断対象の部分や検証する脆弱性の観点を絞ることで、診断時間やコストを抑えて効率的にチェックできる。

　ブラックボックス診断機能は、Takumi byGMOの全ユーザーが利用可能。追加料金やプラン変更は必要なく、月ごとの利用枠内で自由に利用できる。