PentaTrail Logo
CTEM・脅威インテリジェンス#CTEM#脆弱性検証#AIディープスキャン#脆弱性管理#ASM

脆弱性は『発見』だけでは守れない ―― AIディープスキャンで『攻撃できるか』を確かめる

PentaTrail編集部··5分で読める
目次

脆弱性スキャナーは、毎週のように数百件の検出結果を吐き出します。けれど、その中で「実際に攻撃者が悪用できる」ものはどれか ―― この問いに即答できるチームは、多くありません。

CTEM(継続的脅威エクスポージャー管理)で大事なのは、脆弱性を「見つける」ことと、それが「本当に攻撃できるか確かめる」ことを、別の工程として扱うことです。本記事では、その「検証」を担う AIディープスキャン の考え方を紹介します。

「発見」と「検証」は、別の工程

外部から資産をスキャンして、潜在的な脆弱性を洗い出す ―― これが「発見(Discovery)」です。ポートやバナー、TLS 証明書、使用技術の推定などから、脆弱性の候補リストを作ります(攻撃面の把握については ASM 入門)。

ただ、発見の結果には構造的な限界があります。

  • バージョン推定の誤差 ―― ヘッダやバナーから推定したバージョンが、実際にはパッチ適用済みのことがある
  • 前段の防御 ―― 脆弱なバージョンに見えても、手前の WAF などで攻撃が遮断される構成なら、実リスクは低い
  • 設定による緩和 ―― 初期設定では脆弱でも、運用の設定変更で塞がれているケースも多い

だから、Gartner の CTEM フレームワークは、5つのフェーズの中に「Validation(検証)」を明確に置いています。発見した脆弱性が本当に悪用できるかを確かめなければ、対応の優先順位は信頼できません(CTEM とは)。

検証しないと、何が起きるか

検証を飛ばすと、3つの問題が起きます。

  1. ムダな修正作業 ―― 未検証のリストをそのまま開発に渡すと、「直したけれど実は影響がなかった」作業が積み上がる。やがてセキュリティからのアラートが信用されなくなる
  2. 本当の危険の埋没 ―― 数百件の未検証アラートの中に、実際に攻撃できる致命的なものが埋もれる。EPSS や KEV で機械的に絞っても、「このシステムで本当に悪用できるか」は確かめないとわからない
  3. 報告が曖昧になる ―― 「Critical が何百件」では経営は判断できない。「攻撃できると確かめたものが何件、どこに」と言えて初めて、判断に使える報告になる

AIディープスキャン ―― 遠隔・非破壊で「攻撃できるか」を確かめる

AIディープスキャンは、発見された脆弱性が実際に再現できるかを、遠隔から非破壊(データの変更や削除を行わない)で確かめる工程です。対象の文脈(公開されているエンドポイントや使用技術など)を踏まえ、AI がその脆弱性に特化した検証コードを生成し、遠隔から非破壊で実行します。やみくもに叩くのではなく、対象に合わせて確かめるから、精度が上がります。

ただし、すべての検出を能動検証するわけではありません。対象にするのは、能動的に再現できて、かつ優先度や根拠の確度が一定以上の脆弱性です。また遠隔・非破壊という性質上、認証の先や破壊的な経路までは網羅しません。

検証の結果は、主に次のように分かれます。

  • 攻撃成立 ―― 検証により、実際に再現できた(攻撃が成立した)
  • 攻撃未成立 ―― 検証したが、再現しなかった(パッチ済み・設定で緩和済みなど)
  • 検証不可 ―― 自動での検証が難しく、手動確認が必要

検証が、優先順位を変える

PentaTrail では、脆弱性の優先度を TER バンド(S/A/B/C/D) で表します。悪用可能性(EPSSKEV)と業務インパクト(BI スコア)を組み合わせた指標です。

ここに AIディープスキャンの結果が重なると、判断はぐっと明確になります。「攻撃成立」と確かめられたものから手をつける ―― 攻撃できることが裏づけられた脆弱性に、限られた人手を集中できます。逆に「攻撃未成立」のものは経過観察に回す。検証の結果は優先度にも反映され、画面では「攻撃成立」で絞り込めます。「件数」ではなく「攻撃できると確かめたもの」を軸に動けるようになります。

自動で、でもあなたの許可のもとで

AIディープスキャンは、対象を一件ずつ手で叩くものではありません。許可(同意)をいただいたうえで、条件に合う脆弱性を自動的に検証します。AI が対象に合わせた検証コードを生成し、遠隔から非破壊で実行する ―― この一連を、スケジュールで回します。

能動的に確かめる以上、コントロールは大切です。だから、有効にするかどうかはお客様が決め、実行はいつでも一時停止・再開できます。「攻撃できるか確かめたい、でも自分の資産は壊したくない」「自分の管理下で回したい」を、両立させる設計です。

おわりに

「脆弱性が何件あるか」ではなく、「攻撃できる脆弱性が、どこに何件あるか」。AIディープスキャンは、その問いに答えるための工程です。発見で候補を挙げ、検証で実在を確かめ、攻撃成立のものに人手を集中する ―― これが、限られたリソースで攻撃面を守る、現実的な回し方です。

自社の外部攻撃面を検証してみたい方は、14日間無料で始める。CTEM の全体像は CTEM とは もどうぞ。

PentaTrail/CTEMで攻撃面を可視化しませんか?

CTEMフレームワークに基づき、外部攻撃面の発見から脆弱性検証・対応推進までを一気通貫で実現します。

お申し込みはこちら

関連記事

脅威ディスカバリレベル(TDL)とは — CVSS × EPSS による脆弱性ランク付け

CTEMとは?従来の脆弱性管理との違いと導入メリット

ソースコードを持つ者だけの最先端AI ―― 普通の会社は、攻撃面を“外から”測る

← ブログ一覧に戻る