Takumi byGMO、URL一つでAIがセキュリティ診断。ブラックボックス機能を提供開始

GMOインターネットグループのGMO Flatt Securityは11月12日、セキュリティ診断AIエージェント「Takumi byGMO」の新機能として、ブラックボックス診断機能の提供を正式に開始したと発表しました。この機能は、診断対象のシステムに対してAIが擬似的な攻撃を仕掛けることで、外部から悪用されうる脆弱性を探索するものです。

従来の「Takumi byGMO」は、ソースコードを解析して脆弱性を発見するホワイトボックス診断（SAST）を強みとしていました。今回追加されたブラックボックス診断（DAST）はソースコードを必要とせず、実際に動作している環境で脆弱性の再現可能性を検証できるため、両者は互いに補完し合う関係にあります。同社によれば、この「二刀流」によって、より強力にアプリケーションの堅牢化を支援できるとしています。

同社が実施した実証実験では、本機能単体で約20時間のスキャンを行い、検出率は48%（ソースコード参照が必須なものを除く場合は70%）を記録。特に、アプリケーションの仕様に起因する「ロジックの脆弱性」など、AIならではの高度な検知能力が確認されたといいます。利用者は管理画面からURLとログイン情報を入力するだけで診断を開始でき、修正後の再診断も効率的に行えます。

本機能は「Takumi byGMO」の全ユーザーが追加料金やプラン変更なしで利用可能です。同社は今後、ホワイトボックス診断とブラックボックス診断を自動で連携させ、さらに高精度な「グレーボックス診断」の実現を目指して開発を進めていく方針です。

引用元：PR TIMES

O!Productニュース編集部からのコメント

AIによる攻撃が現実味を帯びる中、防御側もAIで対抗する流れが加速しそうですね。専門知識が必要だったセキュリティ診断がURL一つで手軽にできるのは、開発現場にとっても朗報です。