AIエージェントが企業の外部攻撃面を自律的に診断、AI駆動型外部攻撃面管理サービス「ShinobiScan EASM」提供開始

　株式会社セキュアベースは2月24日に、AI駆動型の外部攻撃面管理サービス「ShinobiScan EASM」の提供を3月から正式に開始すると発表した。OODA（観察・判断・決定・行動）ループに基づく自律型AIエージェントが、企業の外部攻撃面を診断するという。

AIエージェントが、発見・能動的偵察・診断/評価の3段階のフェーズにより、自律的に外部攻撃面を診断

　同社によると、企業においては、DX推進によるクラウド利用やリモートワーク拡大に伴い、保有するIT資産が増加すると同時に、サイバー攻撃の起点となりうる外部公開資産が広がっているという。こうした課題を解決するために、セキュアベースは「サイバーリスクを可視化する」とのコンセプトのもと、サイバーセキュリティ分野の知見とAI技術を融合し、外部攻撃対象面を可視化する「ShinobiScan EASM」を開発したという。

「ShinobiScan EASM」では、AIエージェントが発見（Discovery）・能動的偵察（Active Recon）・診断・評価（Assessment）の3段階で自律的に外部攻撃面を診断する、国産EASMサービス（EASM：External Attack Surface Management）。情報システム部門が把握しきれていない外部公開資産を、OSINT（公開情報によるインテリジェンス）を起点に発見し、脆弱性の評価や優先順位付けをAIが担うことで、対処の優先度が高いリスクを迅速かつ継続的に可視化するとのこと。

　主な特徴としては、AIエージェントエンジン「ShinobiScan」が、OODA（観察・判断・決定・行動）ループに基づいて、各フェーズ内で発見結果から次のアクションを動的に判断する自律思考型の診断を実現したことが挙げられている。24種のスキャナモジュールの選択からパラメータの動的調整、結果の相関分析、追加スキャンの要否判断までをAIが自律的に行い、把握外の資産を含む対象固有のリスクを検出。この技術によって、人では見落としがちな公開サービスや設定不備を、網羅的かつ自動的に検出するとしている。

　検出された脆弱性に対しては、CVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）、EPSS（Exploit Prediction Scoring System：悪用予測スコアリングシステム）、米CISA KEV（Known Exploited Vulnerabilities catalog：既知の悪用済み脆弱性カタログ）、資産重要度、検出結果間の相関分析を統合し、独自のリスクスコア（0～100点）を算出。実際に悪用が確認されている脆弱性の検出状況を最優先で報告することで、ランサムウェアなどの実被害に直結するリスクへの迅速な対応を支援するという。

　また、偽陽性を自動判別・除外するバリデータや、「テスト環境の脆弱性」と「本番環境の脆弱性」を資産重要度に応じて重み付けするコンテキストアウェア機能などによって、膨大なログではなく対応優先度順に整理されたリストをレポートで提供。差分レポートでは、前回スキャンとの差分のみを抽出し、継続的な改善を定量的に可視化するという。