LRQAは、AIセキュリティ分野の先進企業であるSimbianと連携し、継続的に実施できるAI活用型ペネトレーションテストを導入しました。自動化されたテストと、経験豊富なサイバーセキュリティ専門家の知見を組み合わせた仕組みです。
サイバー攻撃が自動化によって高度化し、事業継続やオペレーショナル・レジリエンスに対する規制上の要求も高まるなか、年に一度の実施を前提とした従来のペネトレーションテストでは対応しきれない場面が増えています。
金融サービスやテクノロジー分野のように、アプリケーションが絶えず更新される業界では、頻度の低い検証との間に生じるタイムラグによって、悪用されうる脆弱性が数か月間見過ごされる可能性があります。
SimbianのAI Pentest Agentは、アプリケーションの応答に合わせて動的に変化するオンデマンドのテストを実行します。従来の静的なルールに基づいて理論上のアラートを出すスキャナーとは異なり、実際に悪用可能かどうかを確認し、ビジネスへの影響度に基づいて優先順位を判断する仕組みです。
これにより、新たに公表された脆弱性を、次回の評価を待つことなく即座に確認でき、改善までの時間を短縮することにつながります。
LRQAは、この自動化機能が認められたエシカルハッキング手法とガバナンスの枠組みに沿って運用されるよう管理し、継続的なAI活用型テストを体系的なリスクマネジメントの一環として組み込みます。
Howard Hughes(LRQA サイバーセキュリティ事業部 マネージングディレクター)は次のように述べています。
「自動化は脅威の状況を変えつつあり、サイバーリスクへの向き合い方も変える必要があります。AIは、これまで不可能だった深さと頻度で継続的なテストを可能にします。しかし、効果的なリスクマネジメントには、文脈の理解、説明責任、そして専門的な判断が欠かせません。自動化されたテストが、意思決定に必要な明確で優先順位のついた情報として提供されるようにすることが、LRQAの役割です。」
この機能は、悪用される可能性がある脆弱性や、静的なスキャンでは見落とされるおそれのあるビジネスロジック上の欠陥を特定できることを確認するため、管理された環境でパイロットテストを実施してきました。運用中のシステムでも安全に動作するよう設計されており、影響を与えないための安全策、テスト内容・理由の可視化、データの安全管理などの仕組みを備えており、取得したデータが公開モデルの学習に使用されることはありません。
SimbianのCEO兼共同創業者であるAmbuj Kumar氏は次のように述べています。
「セキュリティチームは、実際のリスクにつながらないアラートに追われ続けています。AI Pentest Agentは、人間の攻撃者の思考と行動を模して設計されており、実際に悪用可能なものを確かめます。LRQAとの連携により、この能力が企業に求められる適切な管理のもとで提供されることが保証されます。」
攻撃者が自動化を活用して活動を拡大するなか、今回の協業は、経営層やリスク管理担当者に向けたサイバー戦略の転換点となる取り組みです。継続的な検証を、人の専門知識と組み合わせ、確立されたリスクマネジメントの枠組みに組み込む考え方を示しています。
