GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Securityは、セキュリティ診断AIエージェント「Takumi byGMO」にブラックボックス診断機能を追加し、正式提供を2025年11月12日に開始しました。本機能は、すべてのTakumiユーザーが月次利用枠内で自由に利用可能です。
Takumiは過去、Vim、Next.js、7-Zipなどの著名OSS(オープンソース・ソフトウェア)で10件以上のゼロデイ脆弱性を報告しており、その有効性は実証済みです。これまでは、ソースコードの解析により脆弱性を発見するホワイトボックス診断機能を強みとしていましたが、これを補完する本機能の提供により“二刀流”でユーザーが開発するアプリケーションの堅牢化をこれまで以上に支援します。
Takumiは過去、Vim、Next.js、7-Zipなどの著名OSS(オープンソース・ソフトウェア)で10件以上のゼロデイ脆弱性を報告しており、その有効性は実証済みです。これまでは、ソースコードの解析により脆弱性を発見するホワイトボックス診断機能を強みとしていましたが、これを補完する本機能の提供により“二刀流”でユーザーが開発するアプリケーションの堅牢化をこれまで以上に支援します。
擬似的な攻撃により脆弱性の再現可能性を検証する「ブラックボックス診断」
脆弱性を探索する手法には、「ブラックボックス診断(DAST)」と「ホワイトボックス診断(SAST)」と呼ばれるものがあります。それぞれのメリット・デメリットを紹介しましょう。
擬似的に攻撃を実施する「ブラックボックス診断」
診断対象のシステムに対して擬似的に攻撃を実施することで脆弱性を探索する手法であり、DAST(Dynamic Application Security Testing)とも呼ばれます。内部情報を参照しないため、網羅性ではホワイトボックス診断に劣りますが、システムが実動作する環境を用いて脆弱性の再現可能性を検証するため、実際に悪用が可能な脆弱性を洗い出せる点がメリットです。
ソース等の精査によってリスクを検出する「ホワイトボックス診断」
対象システムのソースコード等を精査することで脆弱性を探索する手法であり、SAST(Static Application Security Testing)とも呼ばれます。ソースコードをはじめとする内部情報を参照するため網羅的にリスクを検出できる一方、実際の攻撃の成否は確認できないことから、「理論上は脆弱性が存在する」といった判定に留まる点がデメリットです。
両手法は補完的な関係にあり、併用が望ましい
ブラックボックス診断とホワイトボックス診断は互いに補完的な関係にあり、理想的な診断を行うためには併用が望ましいといえます。GMO Flatt Securityのセキュリティエンジニアによる脆弱性診断・ペネトレーションテストでは、ユーザーのソースコードとデモ環境の提供により、両手法の併用を標準としています。
相互補完関係にあるブラックボックス診断とホワイトボックス診断は、併用が望ましい
ブラックボックス診断機能を追加提供
2025年3月に提供を開始したホワイトボックス診断機能に続いて、今回、ブラックボックス診断機能の提供を開始した背景は以下の通りです。
AIを悪用する攻撃者への効率的な対抗手段
昨今のAI技術の発展は、残念ながら悪意のある攻撃をも効率化しています。ブラックボックス診断では擬似的な攻撃が行われるため、本機能が発見するリスクはAIを活用した攻撃者の発見も効率的に行えるものです。本機能の活用することで、そのようなリスクへの優先対応が可能となります。
既存のホワイトボックス診断と相互補完
Takumiは、従来からのホワイトボックス診断だけでも他のAIエージェントと比較して圧倒的に高い性能を発揮していますが(参考:ホワイトボックス診断機能単体の性能ベンチマーク資料)、今回のブラックボックス診断の追加により、No.1のサービスへと進化していく狙いです。
ブラックボックス診断機能の詳細は以下の通りです。
ブラックボックス診断機能の詳細は以下の通りです。
デモアプリケーションによる実証実験結果
GMO Flatt Securityが独自に脆弱性を埋め込んだデモアプリケーションを、ブラックボックス診断機能単体で診断を実施したところ、約20時間のスキャンを通して検出率は約48%、誤検知(偽陽性)率は約33.3%という結果になりました。また、このデモアプリケーションには、ソースコードを参照しないと発見が困難な脆弱性も含まれており、これを除いた場合の検出率は約70%でした。加えて、これら実証実験で検出された脆弱性にはアプリケーションの仕様に起因する「ロジックの脆弱性」が含まれており、これらはAIによる検知エンジンを持たない従来の自動診断ツールでは通常、検出が不可能なものでした。
誰でも簡単に診断可能
ブラックボックス診断機能は、従来のTakumiのメイン画面「チャットUI」ではなく、専用の管理画面から利用します。管理画面で、デモ環境のURLとログインに必要な情報などを入力するだけで、AIが自動的に診断対象画面・通信の洗い出し(クロール)を開始します。従来は多くのDASTツールが必要とした、画面URL一覧などの詳細な診断対象データの準備は不要で、誰でも簡単に診断を開始できます。
ブラックボックス診断機能は、URL等の入力だけで簡単に利用可能
脆弱性の修正後は再診断機能で効率的にチェック
ブラックボックス診断は、再診断も可能です。全体の再診断はもとより、診断対象や検証する脆弱性観点を絞ることにより、診断時間やコストを抑え、効率的にチェック可能です。
診断する対象や脆弱性を絞り込んだ診断もできる
ブラックボックス診断機能の利用方法
ブラックボックス診断機能はすべてのTakumiユーザーが利用できます。追加料金やプラン変更は必要なく、月ごとの利用枠内で自由に利用可能です。
◆「Takumi byGMO」のWebサイト
https://flatt.tech/takumi
GMO Flatt Securityは現在、ブラックボックス診断とホワイトボックス診断の両機能が自動で連携し、互いのデメリットを打ち消し合う「グレーボックス診断」を実現すべく開発を進行中です。グレーボックス診断では、これまで以上の高検出率・低誤検知率を達成できる見込みです。
飛躍的に進化したAI技術が攻撃にも悪用されうる現代、セキュリティで重要となるのは「攻撃者よりも先に重要な脆弱性を見つけ、守る」ことです。今後もGMO Flatt Securityはコーポレートミッション「エンジニアの背中を預かる」の通り、ソフトウェア開発者が安心して開発に専念できるようTakumiの開発に取り組んでいくとのことです。
プロダクト開発企業にとって、Takumiのホワイトボックス診断とブラックボックス診断の二刀流は、より包括的で効率的なセキュリティ対策を可能にします。ホワイトボックス診断はソースコードレベルで網羅的に潜在的な脆弱性を検出し、開発初期段階での修正を促します。一方、ブラックボックス診断はシステム稼働環境で実際の攻撃をシミュレートし、悪用可能な脆弱性を特定するため、AIによる巧妙な攻撃への対抗力を高め、優先的に対処すべきリスクを明確化します。これにより、開発者はセキュアなアプリケーションをより迅速にリリースでき、開発コストとリスクを低減できます。
さらに「グレーボックス診断」が実現すれば、両者のメリットを最大限に引き出し、デメリットを補完し合うことで、検出率の飛躍的な向上と誤検知率の低減が期待できます。ソースコードと実際の稼働状況の両面からアプローチすることで、これまで発見が困難だったロジックの脆弱性なども高精度に検出し、開発者はさらに安心感を持って開発に集中できるようになるでしょう。これは、現代の高度化するサイバー攻撃からシステムを守る上で極めて強力なツールとなるのではないでしょうか。
◆「Takumi byGMO」のWebサイト
https://flatt.tech/takumi
GMO Flatt Securityは現在、ブラックボックス診断とホワイトボックス診断の両機能が自動で連携し、互いのデメリットを打ち消し合う「グレーボックス診断」を実現すべく開発を進行中です。グレーボックス診断では、これまで以上の高検出率・低誤検知率を達成できる見込みです。
飛躍的に進化したAI技術が攻撃にも悪用されうる現代、セキュリティで重要となるのは「攻撃者よりも先に重要な脆弱性を見つけ、守る」ことです。今後もGMO Flatt Securityはコーポレートミッション「エンジニアの背中を預かる」の通り、ソフトウェア開発者が安心して開発に専念できるようTakumiの開発に取り組んでいくとのことです。
プロダクト開発企業にとって、Takumiのホワイトボックス診断とブラックボックス診断の二刀流は、より包括的で効率的なセキュリティ対策を可能にします。ホワイトボックス診断はソースコードレベルで網羅的に潜在的な脆弱性を検出し、開発初期段階での修正を促します。一方、ブラックボックス診断はシステム稼働環境で実際の攻撃をシミュレートし、悪用可能な脆弱性を特定するため、AIによる巧妙な攻撃への対抗力を高め、優先的に対処すべきリスクを明確化します。これにより、開発者はセキュアなアプリケーションをより迅速にリリースでき、開発コストとリスクを低減できます。
さらに「グレーボックス診断」が実現すれば、両者のメリットを最大限に引き出し、デメリットを補完し合うことで、検出率の飛躍的な向上と誤検知率の低減が期待できます。ソースコードと実際の稼働状況の両面からアプローチすることで、これまで発見が困難だったロジックの脆弱性なども高精度に検出し、開発者はさらに安心感を持って開発に集中できるようになるでしょう。これは、現代の高度化するサイバー攻撃からシステムを守る上で極めて強力なツールとなるのではないでしょうか。
安蔵 靖志
Techジャーナリスト/家電エバンジェリスト
家電製品協会認定 家電製品総合アドバイザー(プラチナグレード)、スマートマスター。AllAbout デジタル・家電ガイド。ビジネス・IT系出版社を経てフリーに。デジタル家電や生活家電に関連する記事を執筆するほか、家電のスペシャリストとしてテレビやラジオ、新聞、雑誌など多数のメディアに出演。KBCラジオ「キャイ~ンの家電ソムリエ」にレギュラー出演するほか、ラジオ番組の家電製品紹介コーナーの商品リサーチ・構成にも携わっている。
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット...
-
2
Google Pixel 9aを選ぶと後悔するの?スペック数値だけ...
-
3
手のひらに収まるサプライズカメラ「Kodak Charmera」の...
-
4
今、SNSで爆発的な広がりを見せている新種のインターネットミーム「...
-
5
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリー...
セキュリティキャンペーンでのバナー
-
1
小学生がどハマりする生成AIキャラクター「イタリアンブレインロット」の中毒性と拡散力
-
2
Google Pixel 9aを選ぶと後悔するの?スペック数値だけでは分からない実力を実機でチェックした
-
3
手のひらに収まるサプライズカメラ「Kodak Charmera」の小ささ×ランダム性×レトロ質感
-
4
今、SNSで爆発的な広がりを見せている新種のインターネットミーム「イタリアンブレインロット」とは?
-
5
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた