1. HOME
  2. ブログ
  3. 編集部
  4. 知ることから始めるサイバーレジリエンス 〜 JAPANSecuritySummit 2025レポート

知ることから始めるサイバーレジリエンス 〜 JAPANSecuritySummit 2025レポート

編集部

――AI時代に求められる“脆弱性診断”と“ASM”の考え方

エーアイセキュリティラボの阿部 氏は、「知るから始めるサイバーレジリエンス」をテーマに、DXと生成AIの進展によって変わるサイバーセキュリティの考え方を解説しました。講演の中心にあったのは、サイバーレジリエンスを強化する第一歩は、“敵を知り、己を知ること”にあるというメッセージです。

サイバー攻撃が高度化し、AIによって攻撃者の裾野まで広がっている現在、企業は「攻撃されないこと」を前提にするのではなく、「攻撃されることを前提に、どう耐え、どう復旧するか」を考えなければなりません。本セッションでは、その実践の起点として、脆弱性診断とASM(Attack Surface Management)の重要性が示されました。

DXとAIが、サイバーリスクの意味を変えた

阿部氏はまず、DXの進展によって、ITとOT、そして現場業務の境界が薄れつつある現状を整理しました。デジタル化が進むほど、サイバー攻撃は単なる情報システム部門の問題ではなく、事業継続そのものに直結するリスクになります。サービス停止、情報漏洩、身代金要求といった被害は、売上や信用に直接影響を与えます。

さらに、その背景にはAIの進化があります。AIは、防御側の効率化に役立つ一方で、攻撃側にも利用されています。講演では、AIがもたらす変化として次の2点が挙げられました。

  • 攻撃そのものが高度化していること
  • これまで十分な知識や技術がなかった人でも、AIを使って攻撃者になり得ること

つまり、攻撃の質も量も増している以上、防御側は「侵入されないこと」を目指すだけでは不十分で、侵入後の対応まで含めたレジリエンスを高める必要がある、という問題提起です。

サイバーレジリエンスとは何か

講演では、NISTの考え方をもとに、サイバーレジリエンスを構成する流れが紹介されました。大きくは次の5つです。

  • 特定する
  • 防御する
  • 検知する
  • 対応する
  • 復旧する

さらに、これら全体をガバナンスで統制することが重要だと説明されました。

ここで阿部氏が強調したのが、最初の「特定」がもっとも重要だという点です。
守るべき資産が何か、どこにあるのか、それがどんなリスクを抱えているのかが分からなければ、防御も検知も始まりません。家の防犯に例えれば、「どこに窓があり、どこに勝手口があり、何を守るべきか」が分からないまま鍵をかけようとしているようなものです。

いまのIT資産管理は、従来とまったく違う

ここで問題になるのが、DXの進展によって企業のデジタル資産が急増し、しかも把握しづらくなっていることです。
従来の社内IT資産であれば、IT部門が比較的把握しやすかったかもしれません。しかし今は、事業部門主導で新しいWebサイト、Webアプリ、外部公開サービスが次々に生まれています。しかも、その規模は大きくなり、開発サイクルも短くなっています。

その結果、

  • どこにどんな資産があるのか分からない
  • 外部に公開されていて攻撃対象になりやすい
  • 管理ルールを作っても運用徹底が難しい

という状況が起きています。

阿部氏はここで、「敵を知り、己を知れば百戦危うからず」という言葉を引きながら、現代のセキュリティに置き換えて説明しました。

  • 敵を知る = 脆弱性診断で、攻撃者が突いてくる弱点を知ること
  • 己を知る = ASMで、自社の外部公開資産や攻撃対象領域を把握すること

この2つが、サイバーレジリエンスの“入り口”になるという整理です。

それでも人手だけでは追いつかない

もっとも、脆弱性診断もASMも、人手で継続的に回すのは簡単ではありません。
講演では、現場でよく聞く悩みとして、次のような例が挙げられました。

  • Webサイトやアプリが増え続けている
  • 開発スピードが速く、セキュリティが追いつかない
  • IT部門・セキュリティ部門の予算や人員が限られている
  • ASMをやろうとしても、探索のヒントが足りない、あるいは絞り込みが大変

こうした課題に対して、阿部氏は「だからこそ、生成AIを使うべきだ」と説明します。

生成AIは、

  • 処理速度が速い
  • 大量の情報を扱える
  • 一定の精度でロジックを組み立てられる
  • その判断理由も説明できる

という特徴を持ち、脆弱性診断やASMの効率化に向いています。

たとえば脆弱性診断では、画面探索、診断、レポート生成の多くをAIで自動化できるようになってきました。ASMでも、会社名などから外部公開資産を探索し、候補を集め、なぜその資産が自社のものだと判断したかまで説明できるようになっています。しかも、発見した資産に対して、ECサイトなのか、顧客情報を扱うのかといったビジネス上の重要度まで加味できるようになってきている点が特徴です。

AeyeScanが目指すもの

講演の後半では、エーアイセキュリティラボのプロダクト「AeyeScan」が紹介されました。
AeyeScanは、WebサイトやWebアプリケーションの脆弱性診断を、社内で、いつでも、誰でも、何度でも行える環境を目指した製品です。

特徴として挙げられたのは次の3点です。

  • セキュリティ専門家でなくても使いやすいこと
  • AIを活用して診断を自動化していること
  • 修正につながる分かりやすいレポートを自動生成すること

講演では、サイト構造を自動で把握して画面遷移図を生成し、その上で各機能を診断、結果をサマリーと詳細レポートで出力する流れが紹介されました。レポートには、どの画面のどの機能で、どのように攻撃が成立したかが記載されるため、開発者が修正にすぐ着手しやすい構成になっているとのことです。

また、事業会社だけでなく、SI企業やセキュリティ企業といった“プロ”も利用していることが示され、実務での信頼性も強調されました。

まとめ

本セッションは、サイバーレジリエンスという大きなテーマを、「まず何から始めるべきか」という実務目線で整理した内容でした。
ポイントは明快です。

  • サイバーレジリエンス強化の出発点は「知ること」である
  • そのためには、脆弱性診断で“敵”を知り、ASMで“自分”を知る必要がある
  • しかし人手だけでは追いつかないため、生成AIを使って継続的・網羅的に進めるべきである

攻撃が高度化し、資産が増え続ける時代だからこそ、知ることを止めないことが、防御の第一歩になります。
本講演は、その“第一歩”をどう現実的に踏み出すかを示すセッションでした。

関連記事

【新着記事】