概要
https://tech.andpad.co.jp/entry/2025/12/17/100000
詳細内容
## セキュリティAIエージェントによる脆弱性診断を試してみました
https://tech.andpad.co.jp/entry/2025/12/17/100000
アンドパッドのセキュリティチームが、脆弱性診断の内製化の一環として、GMO Flatt Security社のセキュリティAIエージェント「Takumi」によるWebアプリケーションのブラックボックス診断を試行し、その有効性と課題を検証した。
**Content Type**: ⚙️ Tools
**Language**: ja
**Scores**: Signal:5/5 | Depth:4/5 | Unique:4/5 | Practical:5/5 | Anti-Hype:4/5
**Main Journal**: 89/100 | **Annex Potential**: 87/100 | **Overall**: 88/100
**Topics**: [[セキュリティAIエージェント, 脆弱性診断, DAST, 内製化, ビジネスロジック脆弱性]]
アンドパッドのセキュリティチームは、多プロダクト展開によるコスト増大や外部ベンダーとのスケジュール調整の困難さといった課題を解決するため、脆弱性診断の内製化に取り組んでいる。その試みとして、近年注目を集めるセキュリティAIエージェントの中から、GMO Flatt Security社が提供する「Takumi」のWebアプリケーション向けブラックボックス診断機能を試験的に導入し、その利用感と成果を評価した。
筆者がTakumiを試用した結果、特に診断開始までのハードルの低さとレポートの質の高さが強調されている。従来のDAST製品では、SPAや複雑な認証フローがクロールの大きな障壁となることが多かったが、Takumiは対象URLと認証情報を与えるだけで高精度なクロールを実現し、追加指示によって診断スコープを柔軟に絞り込める点が評価された。これにより、初期設定および継続運用の負荷を大幅に軽減できると述べている。
また、診断レポートの品質についても言及されており、深刻度、脆弱性の説明、リスク、対策といった基本情報に加え、従来型のDASTでは提供されることの少ない詳細な再現手順が含まれている点が特筆されている。この再現手順があることで、検出結果の検証が非常に容易になり、さらに試行結果一覧からTakumiが実施した検証内容を細かく確認できるため、透明性も高いという。
最大のメリットとして、Takumiが従来のDASTでは検出が困難であったビジネスロジックに関連する脆弱性を検出可能である点が挙げられた。実際に試験利用中に、人間による脆弱性診断でしか見つけることが困難だったビジネスロジックの脆弱性が検出された事例があり、AIエージェントがこの分野で貢献できる可能性を示している。
一方で、課題としてはクレジット消費量がタスク内容や対象特性によって変動し、事前に予測しにくい点が指摘された。これにより、気軽に診断を試すことが難しいと感じるものの、「一部だけ診断」機能の活用や、診断を繰り返すことで予測精度を高められると見ており、セキュリティベンダーへの依頼費用と比較すれば依然としてコストを抑えられるため、致命的な課題ではないと結論付けている。
筆者は、セキュリティAIエージェントが脆弱性診断の内製化を強力に推進し、これまで見過ごされがちだった種類の脆弱性を検出する可能性を秘めていると評価しつつも、Takumiだけですべてが完結するわけではないと強調している。ホワイトボックス診断や専門家による診断など、複数の診断手法を併用することで、より包括的かつ安全性の高いプロダクトの実現を目指すべきだという見解を示している。