株式会社エーアイセキュリティラボは5月25日、クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」がTOTP認証サイトの診断に対応したと発表した。TOTP、Time-based One-Time Passwordとは、一定時間(一般に30~60秒)ごとに自動生成され、一度しか使えない「時限式のワンタイムパスワード」。
「AeyeScan」は、AIとRPA(Robotic Process Automation)を活用したクラウド型Webアプリケーション脆弱性診断ツールで、診断結果は画面キャプチャ付きの画面遷移図で可視化するだけでなく、日本語レポートで提供される。
TOTP認証を含む多要素認証(MFA)の導入が普及する一方で、多要素認証サイトを診断する際は一時的に認証を無効化したり、認証後のCookieをカスタムヘッダとして登録する必要がある等、専門知識や多くの工数が求められ、脆弱性診断の内製化における大きな障壁になっていた。
「AeyeScan」では、従来よりリモートブラウザによる直感的な手動巡回機能を通じて、SSOやSAML認証など、自動巡回では対応が難しい認証環境にも対応してきたが、TOTP認証サイトについては、認証の一時解除や迂回が必要であることが課題となっていた。
今回のアップデートで、TOTP認証サイトについては、シークレットキーを登録するだけで手動巡回の対象に含めることが可能となり、認証解除や複雑な事前設定を行うことなく、多要素認証を有効化した本番環境のまま診断を実施できる。
同機能により、本番環境を含む多要素認証サイトの診断工数を大幅に削減でき、リリース前診断や改修時の再診断などの必要なタイミングで高頻度に実施しやすくなり、継続的な脆弱性対策を「内製化サイクル」の中に組み込めるようになる。
