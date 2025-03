GMO Flatt Security株式会社

GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社(代表取締役社長:井手 康貴 以下、GMO Flatt Security)は、2025年3月5日より国産脆弱性診断ツール「Shisho Cloud byGMO」(読み:シショウ クラウド バイジーエムオー URL:https://shisho.dev/ja )内でWebアプリケーションの認可制御診断機能を提供いたします。

これにより、情報漏洩などの重大なインシデントの原因となりやすい脆弱性「認可制御不備」を自動で検知することができるようになり、従来はセキュリティエンジニアによる手動脆弱性診断等の高コストなサービスを利用しなければ進まなかった脆弱性への対策が、継続的かつ低コストで実施可能となります。

▼Shisho Cloud byGMO 認可制御診断イメージ動画

認可制御診断機能 提供の背景

[動画: https://www.youtube.com/watch?v=8UfUo1yj0AU ]■「認可制御不備」とは

認可制御とは、Webアプリケーションのユーザーに対して、付与されたアクセス権限通りの操作のみを許し、それ以外の操作を禁止する制御のことです。そのような制御があるべき箇所に実装されていなかったり、制御を迂回して本来禁止された操作を実行できたりしてしまう脆弱性を「認可制御不備」と呼びます。脆弱性が存在すると、一般ユーザーでありながら全ユーザーの個人情報が閲覧できてしまうなど、情報漏洩をはじめとする様々なリスクに直結します。

■「認可制御不備」は現代のWebアプリケーションにおける最大のリスク

「認可制御不備」は、現代のWebアプリケーションにおける最大のリスクと言うことができます。実際に、世界中のセキュリティ従事者に参照されるグローバルな調査リポート「OWASP Top 10(※1)」の最新2021年版において第1位のリスクとされています。一つ前のバージョンである2017年版では第5位だったところから大幅に順位を上げています。

加えて、「認可制御不備」は弊社独自の調査リポート「GMO Flatt Security Top 10(※2) 」2025年版でも1位の脆弱性となっています。単純な検出数が1位であることに加えて、母集団を脆弱性深刻度「高」「重大」のみに絞り込んでも全体の25%を占める検出数1位の脆弱性となっています。

※1 OWASP Top 10:https://owasp.org/Top10/ja/

※2 GMO Flatt Security Top 10 2025年版:https://blog.flatt.tech/entry/flatt_top10_2025

■「認可制御不備」の対策が進まない理由

上記のリポートの示す通り、「認可制御不備」は多くの企業で対策が進んでおらず、リスクとして残存していると考えられます。

「認可制御不備」を検出するには、セキュリティエンジニアがアプリケーションの仕様を理解した上で脆弱性診断を実施する等の対策が必要です。しかし、こうした対策は専門家の稼働を必要とするため高コストになりがちであり、アジャイル開発の頻繁なアップデートに応じた頻度で実施することは多くの場合難しいものになります。

「認可制御不備」の対策のこのような特性が、多くの企業で脆弱性が残存している理由になっていると考えられます。弊社も脆弱性診断サービスの提供の中で多くの「認可制御不備」を検出してきましたが、全てのお客様に同様の価値提供ができていない点を課題と認識していました。

「Shisho Cloud byGMO」の認可制御診断機能の概要

前述の通り、「認可制御不備」の検出にはセキュリティエンジニアによるアプリケーションの仕様理解が必要でした。今回、AIを活用しこのような人間しかできなかった部分を推論させることにより「Shisho Cloud byGMO」において認可制御診断機能を提供可能となりました。人間を介さず自動化されたプロセスとして認可制御診断を提供することにより、これまでより安価にかつ継続的に「認可制御不備」の対策を実施可能になります。なお、本機能はStarterプラン以上の全てのお客様に利用いただけます。

「Shisho Cloud byGMO」の認可制御診断機能の特徴

1. AIが権限マトリクスを自動で推測・提案

AIがアプリケーションの仕様を把握し、権限ごとに可能な操作を一覧化した権限マトリクスを自動で作成します。権限ごとに実際にアプリケーションにリクエストを送信し、挙動が権限マトリクスに沿っているかどうかを自動で診断します。なお、提案された権限マトリクスが不正確な場合でも人の手で修正することができます。

2.開発サイクルに合わせた頻度で継続的に診断

自動脆弱性診断ツールである「Shisho Cloud byGMO」であれば開発サイクルに合わせた継続的な脆弱性診断が可能です。アジャイル開発で随時追加・変更されていく機能にも、正しく認可制御を実装できているかを、機能リリースの度に洗い出すことができます。

3. 低コストにアプリ全体を診断

AIを活用し認可制御診断のフロー全体を自動化したことにより、手動脆弱性診断と比べ費用を大幅に削減できます。例えば、年に一度の手動脆弱性診断で約500万円の費用が必要であるのに対し、「Shisho Cloud byGMO」であれば年間150万円(税抜き/Starterプラン)で継続的に自動診断が可能です。これまで予算の都合で「認可制御不備」を診断できなかった、あるいは診断対象を絞らざるを得なかったお客様にも提供しやすくなりました。

