2022 年に登場した「ChatGPT」に代表される生成AI は、社会に、ビジネスに、そしてそれらを支えるテクノロジの現場に、これまでの数十年の中でも大きなインパクトをもたらすと期待されている。
影響の中にはいいものもあれば、悪いものもあるだろう。プログラムの自動生成やシステム開発の効率化にどう寄与するかが追求される一方で、情報漏洩やプライバシー侵害につながったり、フェイクニュース作成に悪用される懸念も指摘されている。特にセキュリティの分野では、新たなマルウェアや巧妙なフィッシングメールの作成に悪用される恐れが専門家から相次いで指摘されているが、生成AI を活用することでよりセキュアなシステム作りが、より楽に実現できるという期待もある。
そんな可能性を感じ、Webアプリケーションの脆弱性診断における生成AI、ChatGPT の活用に取り組んでいるのがエーアイセキュリティラボだ。脆弱性診断の自動化をテーマに創業し、認識AI技術を活用してきた同社だが、前回の記事の通り ChatGPT にこれまでにない可能性を感じており、人間と同じか、ひょっとするとそれ以上のレベルで脆弱性診断が可能になるととらえている。
こうした背景からいち早く同社は、自然言語による脆弱性診断の設定などが可能なプロトタイプを開発し、特許取得を行った(特許第7320211号)。具体的にはどのプロセスがどのように改善されるのだろうか。AeyeScan の開発者である同社取締役副社長、安西 真人 氏に尋ねた。
●設定から巡回、スキャン、レポートまで、すべてのプロセスに生かせる可能性
登場以来、暇を見つけては ChatGPT をいじり倒してきたという安西氏だが、もちろん、脆弱性診断プロセスのすべてが自動化されるなどとは考えていない。だが、これまで画像認識AI や診断実績に基づくロジックを用いて診断過程の 8 割近くを自動化してきた AeyeScan に ChatGPT を組み込むことで、おそらく「9 割 5 分くらいまではいけるかなと感じています」という。
その前に、Webアプリケーションの脆弱性診断はどういった過程で行われるかを振り返っておこう。
まず、「Webサイトのどこからどこまでを診断範囲にするか」を定め、ログインが必要かどうかなど Webサイトの作りや特徴を確認する「設定」段階が必要になる。ここで正確な情報を把握しておかないと、その後の診断も適切に行えない。
その上で、どのような順番で Webサイトを巡回していくか、たとえば「トップページからログインフォームを用いてログインし、会員情報ページにアクセスしてステータスを確認する。その後、貯まっているポイントを利用する」といったシナリオを作成する。
実際の診断時には、このシナリオに沿って対象サイトを「巡回」し、さまざまなパラメータを入力して情報漏洩や意図しない動作につながる脆弱性がないかを「スキャン」していく。最後にその結果を分析し、リスクの大きさや深刻度を評価した「レポート」で報告する。
AeyeScan は一連のプロセスを、GUI と独自開発の自動巡回エンジン、スキャンエンジンを用いてかなりの部分を自動化してきた。さらに、そのそれぞれに ChatGPT を組み込むことで、本当の意味で「誰でも楽に使える脆弱性診断ツール」が実現できるかもしれないという手応えを感じているという。
・GUI
使いやすさを高める面で ChatGPT と親和性が高いのが、GUI による設定の部分だ。
これまで AeyeScan では、設定画面上で URL やサイトの名称、ID やパスワードといった認証情報などを手入力し、基本的なサイト情報を確認していた。また対象によっては、診断時に「触れてほしくないページ」というのもある。そうした除外情報も設定画面上でそれぞれ入力する必要があったが、そこが一つの壁になってきた。
だが ChatGPT を組み込むことで、自然言語で一連の設定を指示できるようになる。たとえば、
「http://example.com をスキャンしたいです。サイトには以下の Basic認証が設定されています。Basic認証:ID XXXXX, PASS: XXXXX。ログインアカウントには、testuser1 / testpass1 を使用してください。ただし、メールが送信される機能(http://example.com/contact)はスキャンしないようにしてください。」
と入力すれば、ChatGPT がそれを解釈し、適切な設定情報を AeyeScan に入力するという具合だ。
さらに一歩進んで、Word や Excel で作成した「ヒアリングシート」をコピーし、ChatGPT に貼り付けて読み込ませるだけで設定情報を反映させる機能も開発中であるとした。
「脆弱性診断ではしばしば、診断に必要な情報をまとめたヒアリングシートが使われます。各項目をお客様に埋めてもらって受け渡しするのですが、そのシートをそのまま貼り付ければ、ChatGPT が解析し、設定してくれるんです。診断の経験がある人にとっては『おおっ』と驚くポイントだと思います」(同社取締役の角田 茜 氏)
・巡回
上記の設定に従って、どの URL をどんな順番で巡回し、どの URL にはアクセスしないのかといったシナリオが作成される。AeyeScan の巡回エンジンはこのシナリオに沿って、診断対象サイトにアクセスしていくが、これまでは日本語および英語のサイトしかサポートしていなかった。
ネックは、Webサイトに含まれるさまざまなフォームだ。日本語や英語のフォームには、これまでの経験値を生かして対応できていたが、多言語となるととたんにハードルが上がっていた。
「単に言葉を中国語にするだけでなく、住所の入力フォームならば中国の形式できちんと入力しないと、入力チェックに引っかかってしまいますし、電話番号も国によってフォーマットが異なります。それらすべてに適切に入力するのは困難でした」(安西氏)
しかし ChatGPT の力を借りることで、どんな言語の、どんなフォーマットの入力フォームがあっても、それぞれに適した形式・内容を入力できる可能性が高まった。これにより AeyeScan の対象も多言語に大きく広がるという。
・スキャン
ChatGPT はスキャンエンジンにも活用可能だ。前回の記事で説明した通り、ルール化しやすいインジェクション系の脆弱性だけでなく、推測可能なセッションID や認可制御の不備、あるいはセッションID のランダム性の判断といった、これまでは人間の診断士でなければ検出が難しいと考えられていた脆弱性についても指摘できる可能性がある。
加えて、やはりこれまでツールが苦手としてきたセカンドオーダー系の脆弱性も、ChatGPT を利用して自動検出できることが確認できたという。「セカンドオーダー系の脆弱性とは、入力した画面と脆弱性が発動する画面が異なる脆弱性ですが、いくつか試してみた限り、どうやら特定できそうです」(安西氏)といい、今後、認可制御の不備とセカンドオーダー系の脆弱性を検出する仕組みを AeyeScan に組み込んでいく計画だという。
・レポート
診断サービスでは最後に、「どこにどのような脆弱性があり、悪用されるとこのようなリスクがあります」といった事柄をまとめたレポートが成果物として提出される。これまで診断士やコンサルタントがひな形を元に作成していたこのレポートも、ChatGPT がまとめてくれる。
「たとえば『簡易総評生成機能』のようなボタンを作り、それを押したら、ChatGPT が裏側でレポートを作成してくれる仕組みも可能になります」(安西氏)。プロンプトの内容を工夫することで、セキュリティ担当者向けだけでなく、経営層に伝わりやすいレポートを作成してもらうこともできそうだという。
●本当に誰でも利用できるWeb脆弱性診断ツールが現実のものになる日も
このように、ChatGPT を活用することで、最初の設定から実際のスキャン、そしてレポートに至るまで、すべてのプロセスを効率化し、もっと簡単に使えるようになる可能性が高まっている。「AeyeScan の初期と同じようにいろいろ試し、その中からいいものを採用し、実装していきたいと考えています」(安西氏)。
将来的には Web脆弱性診断ツールを「習得する」という概念がなくなり、セキュリティ専門家やエンジニアはもちろん、Webサイトの構築に携わる企画担当者やマーケティング担当者など、本当に誰でも利用できるような時代が来るかもしれない。
