プレスリリース

私たちエーアイセキュリティラボは、セキュリティに「あらたな答え」を提供し続けることを理念に掲げて、2019年に設立されたスタートアップです。まだ若い会社ではありますが、設立メンバーは20年近くセキュリティ業界に関わってきた実績があります。

変化の激しいサイバーセキュリティの世界において、まだまだ日本の対応は遅れていると言われていますが、私たちはこれまでの経験から「日本製ならではの正確性と細やかな対応を取り入れたプロダクト」が必ず世界に認められると考えています。

特に、昨今のAI技術の進化がサイバーセキュリティの世界にもたらす影響は非常に大きく、うまく活用することでセキュリティエンジニアを作業から解放し、「人は、人にしかできないことを」仕事にできる社会の実現が可能になります。

今回のストーリーでは、AI等の最先端技術を取り入れた「AeyeScan」の誕生から今後の展望までをお伝えします。

サイバー攻撃が高度化する一方、日本のセキュリティ人材は5万人不足

昨今のITを取り巻く環境は急激に変化しており、クラウド利用の増加、DX推進等が目覚ましいことはご存知の通りかと思います。その変化は、企業のIT環境だけでなくサイバー犯罪の世界にも及んでいて、サイバー攻撃はますます高度化・複雑化しています。

サイバー攻撃を防ぐべくセキュリティ業界全体で対応をすすめているものの、IT技術の進化スピードに追い付いていないのが現状です。また、日本のセキュリティ人材は約5万人不足していると言われていますが、育成も容易ではなく、専門性の高い特定の人材への依存も課題になっています。

人材不足の影響を大きく受ける脆弱性診断を内製化する企業が増加

さまざまなセキュリティ対策のなかでも、脆弱性診断は労働集約的な要素が大きい業務です。近年では、アジャイル開発の普及に伴うリリースサイクルの高速化や各種法令ガイドラインの強化により、診断実施回数や対象数が急速に増加しています。それに伴いセキュリティ対策予算も増加の一途を辿っており、診断コストの抑制とセキュリティ品質の担保が大きな課題です。

また、セキュリティ人材不足は診断事業者にも影響を及ぼしており、外部委託したくても事業者側の余力がなくサービスを受けられないという課題がありました。そこで、徐々に自社での診断実施（内製化）に舵を切る企業が出てきました。

誰でも簡単に使える「専門家レベルの品質」への挑戦

AeyeScan以前にも、脆弱性診断の内製化ツールはいくつかありましたが、いずれも使いこなすには専門知識が必要となる「プロ向け」のツールでした。知識が無くても利用できる「簡単な」ツールが無かったわけではありませんが、長年セキュリティ向上に取り組んできた我々から見るとツールの域を出ておらず、これで大丈夫と言えるものではありませんでした。

内製化するにもセキュリティ知識やITスキルを必要とする状況は変わっておらず、数少ないセキュリティ人材は疲弊し、セキュリティ品質に問題を抱えたままWebサイトがリリースされていく。

そんな現状を打破すべく、誰でもいつでも簡単にかつ高精度な診断が可能なツールをSaaSで提供しようとAeyeScanの開発をスタートしたのです。

脆弱性診断ツールの開発経験やサービス提供経験を持つメンバーが集まっていたことや、AIや自動化技術の活用により具体的なイメージが描けていたことから、開発は順調に進みました。

脆弱性診断のプロである診断事業者の評価

セキュリティ事業の特性上、スタートアップが提供するツールをすぐに受け入れていただけるとは思っていませんでした。そこで、まずはツールの精度を評価していただこうと考え、脆弱性診断のプロである診断事業者に提案するところからスタートしました。

事業者の課題である「セキュリティ人材不足」にはマッチしているとは思っていましたが、性能についても高く評価していただき、リリース後1年も経たずにサービスに採用いただきました。特に評価いただいたのはAeyeScanの巡回性能です。

人の知見を必要とする「巡回」作業の負担を軽減

これまで脆弱性診断を行うには、パラメータをはじめ細かな設定が必要で、Webサイトの構造や脆弱性の仕組みに詳しい必要がありました。どの画面を診断すれば良いか、Webサイトにアクセスして画面を逐一見て回らなければならず、巡回と呼ばれているその作業は非常に時間がかかるものでした。

過不足なく巡回するためには細かな設定が必要でしたが、それをAIとRPAを使うことで自動化したのがAeyeScanの大きな特徴です。

例えばフォーム入力は正しい値を入力する必要があり、間違えると入力エラーで遷移できず診断が進まないという問題があります。AeyeScanはフォームを自動認識しラベル化することで、人がブラウザ上で操作するのと同じ精度で正しい値の入力が可能です。

自動化できるものはすべてやる

AeyeScanは巡回機能が大きな特徴ですが、OWASP TOP10やOWASP ASVSなど業界標準において自動化可能な項目にはすべて対応しています。また、独立行政法人情報処理推進機構（IPA）が実施した2021年度セキュリティ製品の有効性検証において、AeyeScanを検証いただきました。これらの品質への信頼もあり、おかげさまでAeyeScanを内製化に取り入れてくださる企業が増えてきています。

ご導入企業の事例も多岐にわたっており、専門人材がおられる部署でのご利用はもちろんのこと、これまで脆弱性診断を外部委託していた企業でも大きな体制変更なくスムーズに内製化に移行できたとのお声をいただいております。

すべてのWebサービスが安全に提供される世界を作っていきたい

専門人材による手動診断を受けないとセキュリティは担保できないと言われているけれど、AIに任せられないのか？そんな単純かつ純粋なところから始まったAeyeScanは現在「認識AI」に分類される技術を使って診断の自動化を実現しています。

認識AIにより自動巡回の精度が向上しましたが、自動化できるものはすべてやるというチャレンジはまだ続いています。

具体的には、ChatGPTに代表される「生成AI」を脆弱性診断に応用する研究開発の推進です。これが実現すれば、自然言語でツールに指示を出すだけで脆弱性診断の実施が可能になると考えており、既に特許出願済です。

脆弱性対策は一度やっておしまいではなく、新たな脆弱性や攻撃への日々の対策の積み重ねが非常に大切です。継続するためには、良い意味で楽ができる仕組みが必要で、それがAeyeScanだと思っています。

すべてのWebサービスが安全に提供されるために、これからもさまざまな技術であらたな答えを提供してまいります。