現代企業のWeb資産管理とセキュリティの課題
デジタル化が進む現代において、企業が保有するWebサイト、アプリケーション、APIといったWeb資産は増加の一途をたどっています。しかし、その全容を正確に把握しきれていない企業も少なくありません。特に、いつの間にか増えてしまった「未把握のWebサイト」は、サイバー攻撃の入り口となる「アタックサーフェス(攻撃を受ける可能性のある部分)」となり、企業にとって大きなセキュリティリスクとなります。
このような状況に加え、サイバーセキュリティ人材の不足は多くの企業が抱える共通の課題です。限られたリソースの中で、網羅的かつ効率的にWebセキュリティ対策を行うことは非常に困難でした。
株式会社エーアイセキュリティラボが提供するクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」のオプション機能である「Web-ASM」は、これまで生成AIを活用し、これらの未把握のアタックサーフェスを自動で発見し可視化することで、人手をかけずに網羅的なリスクマネジメントを実現してきました。そしてこの度、さらなるセキュリティ対策の効率化を支援するための新機能が追加され、2024年12月6日より提供が開始されました。
「AeyeScan Web-ASM」とは? 未把握Webサイトの発見とリスク評価を自動化
「AeyeScan Web-ASM」は、企業が自社のWebサイトやアプリケーション、APIなどのWeb資産を継続的に監視し、これまで把握していなかった資産を自動で発見・特定する機能です。この機能は、特に企業が認識していない、あるいは管理外に置かれているWebサイト(通称シャドーITなど)を発見し、それらが抱えるセキュリティリスクを明らかにする上で非常に重要な役割を果たします。
生成AIが実現する高精度なアタックサーフェス発見
AeyeScan Web-ASMの大きな強みは、その核となる「生成AI活用の技術」です。従来のASM(Attack Surface Management)では、企業名と類似するドメインが混じってしまうなど、誤検出の課題がありました。しかし、AeyeScan Web-ASMでは、生成AIが検索結果に上がってきた組織名を解読し、SSL証明書やIR情報など複数の情報源を照合することで、精度の高い判定を可能にしています。これにより、効率的かつ網羅的にアタックサーフェスを発見し、真に自社のWeb資産であるかを判断できます。
2025年6月には、検出されたWeb資産の「重要度」を自動で可視化する機能が追加されており、どのWebサイトが企業にとって特に重要であるかを判断する手がかりを提供してきました。そして今回の新機能追加は、この「重要度」に加えて「リスクの深刻度」というもう一つの重要な要素を明確にし、セキュリティ対策の「トリアージ(対策の優先順位付け)」をさらに効率化することを目的としています。
活用シーンについての詳細は、以下のプロダクトサイトをご覧ください。
AeyeScan Web-ASM 活用シーン
新機能でWebサイトの「リスクの深刻度」を徹底可視化!
今回「AeyeScan Web-ASM」に追加された新機能は、検出されたWeb資産に潜む「リスクの深刻度」をシームレスに可視化し、トリアージのさらなる効率化を支援するものです。
具体的には、検出したWeb資産で使用されているミドルウェア(OSとアプリケーションの中間に位置し、特定の機能を提供するソフトウェア)やライブラリ(プログラムの部品集)における「既知の脆弱性(すでに発見されて広く知られているセキュリティ上の欠陥)」とその「悪用情報(その脆弱性が実際にサイバー攻撃に利用された事例や方法に関する情報)」を自動で可視化します。これにより、自社のWeb資産にどれくらいの悪用が確認されている脆弱性が潜んでいるかを全社的に把握できるだけでなく、トリアージに必要な詳細情報までをスムーズに確認できるようになります。
この新機能が提供する主なメリットは以下の3点です。
1. 全社的なリスクの可視化
組織全体で「既に悪用されている脆弱性」の件数を一覧で把握できるようになります。これにより、どのWebサイト、どのシステムに、どれだけの危険が迫っているのかを俯瞰的に理解することが可能です。
2. トリアージに必要な情報の一元化
各Web資産ごとに、脆弱性の詳細な情報が可視化されます。具体的には、以下の3つの指標が提供されます。
-
CVSSスコア/深刻度: CVSS(Common Vulnerability Scoring System)とは、脆弱性の深刻度を数値で評価する国際的な基準です。スコアが高いほど深刻な脆弱性であることを示します。これにより、どの脆弱性から優先的に対処すべきか、客観的な判断が可能になります。
-
悪用可能性(EPSS): EPSS(Exploit Prediction Scoring System)とは、脆弱性が実際に悪用される可能性を予測するスコアです。統計データに基づいて算出され、悪用される確率が高い脆弱性を特定するのに役立ちます。
-
悪用観測(KEV): KEV(Known Exploited Vulnerabilities)とは、米国CISA(サイバーセキュリティ・インフラセキュリティ庁)が悪用が確認された脆弱性をリスト化したものです。KEVに記載されている脆弱性は、すでに実際に攻撃に利用されているため、最優先で対処すべきであると判断できます。
これらの情報が一元的に表示されることで、セキュリティ担当者は複数のツールや情報源を参照することなく、迅速かつ的確に優先順位を決定できます。
3. 生成AIによるリスク情報の自動解説
脆弱性の公開情報だけでは、その内容や影響範囲を理解するのが難しい場合があります。新機能では、生成AIがこれらの情報を日本語で分かりやすく解説してくれるため、セキュリティに関する専門知識が少ない担当者でも、リスクの深刻度を直感的に理解し、適切な対応を検討することができます。これにより、情報共有の円滑化と、組織全体のセキュリティ意識向上にも貢献します。
なぜ「リスクの深刻度」可視化が重要なのか?
セキュリティ対策において「トリアージ(優先順位付け)」は非常に重要です。企業が保有するWeb資産は多岐にわたり、発見される脆弱性も日々増え続けています。すべての脆弱性にすぐさま対応することは、現実的ではありません。そこで、どの脆弱性に、どの程度の緊急度で対応すべきかを判断する基準が必要となります。
これまでのAeyeScan Web-ASMは、Web資産の「重要度」を可視化することで、企業にとって特に価値の高い資産を守るための情報を提供してきました。しかし、重要度の高い資産であっても、そこに存在する脆弱性が「悪用される可能性が低い」ものであれば、対応の優先順位は相対的に下がります。逆に、重要度が中程度の資産であっても、そこに「既に悪用が確認されている深刻な脆弱性」が存在すれば、早急な対応が求められます。
今回の新機能により、「資産の重要度」と「リスクの深刻度」という二つの軸で情報を評価できるようになります。これにより、企業はより戦略的かつ効率的にセキュリティ投資の判断を下すことが可能になります。限られた予算と人材の中で、本当に守るべきWeb資産の、本当に危険な脆弱性から優先的に対策を講じることができるようになるのです。これは、セキュリティ対策の内製化を進める企業にとっても、非常に大きなメリットとなるでしょう。
クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」について
「AeyeScan」は、株式会社エーアイセキュリティラボが提供する、クラウド型のWebアプリケーション脆弱性診断ツールです。これまで、Webアプリケーションのセキュリティ診断は専門知識を持つエンジニアによる手動での実施が主流であり、時間とコストがかかるものでした。しかし、AeyeScanは生成AIをはじめとする最先端技術を活用することで、この診断プロセスを自動化し、画期的なソリューションを提供しています。
AeyeScanの主な特徴
-
自動化された高精度診断: 生成AIの活用により、手動診断に匹敵する、あるいはそれ以上の高精度な脆弱性診断を自動で実行します。
-
簡単な操作性: セキュリティエンジニアの専門知識がなくても、誰でも簡単に操作できるユーザーインターフェースが特徴です。これにより、診断の内製化を促進し、外部委託コストの削減に貢献します。
-
いつでも診断可能: クラウド型のため、必要な時にいつでも診断を実行でき、開発サイクルに合わせた柔軟なセキュリティチェックが可能です。
-
国内市場シェアNo.1: 富士キメラ総研やITRの調査によれば、Webアプリケーション脆弱性検査ツール(クラウド)およびSaaS型Webアプリケーション脆弱性診断市場において、国内市場シェアNo.1の実績を持っています。
AeyeScanは、セキュリティ診断のハードルを下げ、より多くの企業が自社のWebアプリケーションを安全に保てるよう支援しています。今回追加されたWeb-ASMの新機能は、このAeyeScanの強力な機能群をさらに強化し、企業のWebセキュリティ対策を包括的にサポートするものです。
プロダクトサイト:AeyeScan
株式会社エーアイセキュリティラボについて
株式会社エーアイセキュリティラボは、「サイバーセキュリティ人材の不足を技術力で解消する」という明確な理念のもと、2019年4月に設立されました。
代表取締役社長の青木 歩氏が率いる同社は、東京都千代田区に本社を構え、情報セキュリティ関連事業(調査・コンサルティング)と、クラウド型Web診断サービス「AeyeScan」の提供を主な事業内容としています。
現代社会において、サイバー攻撃は巧妙化・複雑化の一途をたどり、セキュリティ対策の重要性は増すばかりです。しかし、その一方で、高度な知識とスキルを持つサイバーセキュリティ人材は世界的に不足しています。
エーアイセキュリティラボは、この社会的な課題に対し、生成AIなどの最先端技術を積極的に取り入れたプロダクト・サービスを提供することで、「セキュリティに新たな答え」を提供し続けています。同社は、技術革新を通じて、企業が直面するセキュリティの課題を解決し、より安全なデジタル社会の実現に貢献することを目指しています。
株式会社エーアイセキュリティラボの詳細は、以下の公式ウェブサイトをご覧ください。
株式会社エーアイセキュリティラボ
まとめ
株式会社エーアイセキュリティラボが「AeyeScan Web-ASM」に追加した新機能は、未把握のWebサイトに潜む「リスクの深刻度」を、生成AIの力を借りて自動で可視化するという画期的なものです。
この機能により、企業は「資産の重要度」と「リスクの深刻度」という二つの明確な基準に基づいて、より効率的かつ戦略的にセキュリティ対策の優先順位を決定できるようになります。サイバーセキュリティ人材不足という課題を抱える多くの企業にとって、これはセキュリティ対策の効率化、ひいてはコスト削減と安全性の向上に直結する大きな一歩となるでしょう。
今後も、デジタルサービスの拡大とともにWebセキュリティの重要性は増すばかりです。「AeyeScan Web-ASM」のような先進的なツールが、企業のデジタル資産を守る上で不可欠な存在となっていくことはきっと間違いないでしょう。
