NRIセキュア、フロンティアAIと独自基盤を組み合わせたプロアクティブ脆弱性診断サービスを提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は23日、企業・組織のシステムを対象に、未公表の脆弱性を検出して対応策を提示する「フロンティアAI対応プロアクティブ脆弱性診断」を提供すると発表した。最先端の大規模AIモデル（フロンティアAI）と、NRIセキュアが独自に開発した検証基盤（ハーネス）を組み合わせて実現しているという。

サービスの提供プロセス

　「フロンティアAI対応プロアクティブ脆弱性診断」は、企業・組織の外部公開サーバーや基幹システム、ソフトウェア製品（ファームウェア、組み込みソフトウェア）を対象に、一般に利用可能なフロンティアAIとNRIセキュア独自のハーネスを組み合わせて、危険度の高い未公表の脆弱性の有無を検証し、対応策を提示するサービスである。

　NRIセキュアの専門家が、対象のシステム・製品などで利用されているソースコードおよびOSS（オープンソースソフトウェア）のSBOM（ソフトウェア部品表）情報を基に、診断の範囲を精査した上で、実際の診断を実施。そして、診断の結果、危険度の高い未公表の脆弱性が検出された場合には、実際の修正プログラムが公開・適用されるまでの空白期間を埋めるため、侵入防御システム（IPS）やWebアプリケーションファイアウォール（WAF）などで利用可能な、NRIセキュア独自のシグネチャを含む対策案を提示する。

　また、脆弱性の概要、想定される悪用経路、運用上の留意点をまとめた報告書を提供することで、修正プログラムが適用されるまでのリスクを低減しながら、迅速な対策の実行を支援するとしている。

　なお、NRIセキュアは5月に、AnthropicのフロンティアAIモデル「Claude Mythos Preview」が発見したとされる代表的な脆弱性について、一般に利用可能なフロンティアAIとNRIセキュア独自のハーネスを用いて再現検証を実施し、Mythosと同等のレベルで未公表の脆弱性を検出できることを確認したという。

　この結果について同社は、独自開発したハーネスを使用することで初めて高い検出能力を発揮できたため、「フロンティアAI対応プロアクティブ脆弱性診断」は、プロアクティブな脆弱性対策を推進する上で多くの企業にとって有用だとアピールしている。