一目でわかる
- 複雑な金融プラットフォームにおいて、複数の重大な問題と軽微な問題を特定した
- 120時間ペンテスト 発見ゼロとペンテスト 後、約2時間で実際の脆弱性を発見した
- たとえ Aikidoの最も狭いカバレッジ(攻撃者エージェント20体)であっても、ペネトレーションテスターが見つけられなかった問題が発見された
- カスタムアプリケーションロジック、認可設計、設定ミス、強化対策、暗号化アルゴリズムに起因する未解決の問題。
- 検証済みのテナント分離、ロール強制、特権機能の保護
- 関連する調査結果をグループ化し、チームが個々の症状ではなく根本原因を修正できるよう支援する
課題
コープはスウェーデンのデジタル金融・業務コンサルティング企業であり、厳格な認可とテナント分離要件を備えた複雑な金融プラットフォームを運用しています。このシステムは複数のテナントモデルをサポートし、顧客の機密性の高い金融・業務データを扱っています。
この複雑性ゆえに、認可の欠陥が主要な懸念事項であった。テナント間アクセス、ロール適用不備、または特権機能への意図しないアクセスに関わる問題は、深刻な業務上およびコンプライアンス上の影響をもたらし得た。
セキュリティ態勢を検証するため、Copeは120時間に及ぶ手動ペネトレーションテストを委託した。最終報告書には問題点は一切記載されなかった。
結果として、自信を高めるどころか、内部で懸念が生じた。
「手動のペンテスト 問題が全くペンテスト 時、実は私たちの確信は増しませんでした。これほどの規模のアプリケーションと、これほど多くのカスタム認証ロジックがある以上、見落としている問題が必ずあるはずだと確信していたのです」と、CopeのCTOであるAlvar Markhesterは語った。
コープは、不定期で時間制限のある人間による試験だけに頼ることなく、より深い保証を求めていた。
AIペンテストの実行
コープは走った AikidoのAIペネトレーションテストを、リポジトリアクセスを利用したホワイトボックス方式で、プラットフォームの構造、API、認証モデルに関する詳細な知識を基に自社アプリケーションに対して実施した。
この事例において、コープは Aikidoの最も狭い適用範囲である20の攻撃者エージェントを用いた。
システムの規模と関与するカスタムロジックの量を考えると、認証がどのように機能するはずだったかを理解することが極めて重要であった。
「アプリケーションが大量のカスタムロジックを含む大規模なモノレポジトリに存在するため、認証がどのように機能すべきかという文脈を実際に理解できるツールを持つことが大きな違いを生んだ。」
チームは、テナントモデル、ロールベースのアクセス制御、および決して公開されるべきでない特権機能について説明した。
目的は明確だった。ユーザーが意図した範囲外のデータや機能にアクセスできないようにすること。エッジケースや複雑な論理パスを通じたアクセスも許さない。
AIペンテスト がペンテスト したもの
以前の手動ペンテスト では発見事項がゼロとペンテスト にもかかわらず、 AikidoのAIペンテスト 複数の有効な認証問題ペンテスト 。
これには、重大なセキュリティおよびビジネスへの影響を伴う数件の高深刻度問題に加え、適用が不十分または一貫性を欠くことを示す追加の低優先度問題も含まれていた。
エンジニアリングチームが効率的に行動できるよう支援するため、 Aikido は関連する発見をまとめてグループ化しました。これにより、チームは個々の問題を単独で修正するのではなく、問題のクラス全体に対処できるようになりました。
その発見は表面的なものではなかった。
ペンテスト により、アプリケーション全体で複数の高深刻度の認証欠陥がペンテスト 。これらの問題は特権操作、共有リソース、テナント境界に影響を及ぼし、単純な設定ミスではなくカスタムアプリケーションロジックに起因していました。これら全ては120時間の手動ペンテストでは検出されませんでした。
調査結果は明らかな問題ではなく、複雑なものでした。だからこそ私たちは非常に感銘を受けました。 Aikido 攻撃」に非常に感銘を受けた」とアルヴァルは語った。
問題点はアプリケーションの異なる部分に及び、設定ミスではなくカスタムアプリケーションロジックとレガシーパスに起因していた。これら全ては120時間に及ぶ手動ペンテストで見逃されていた。
「ペンテスト 多くの発見がありました。」
これは Aikidoの最も狭い適用範囲と、わずか2時間強という短い試験時間にもかかわらず、
いずれも重大な問題ではなかったものの、これらの問題は重大な認証の脆弱性を示しており、未解決のまま放置すればデータ漏洩や権限の悪用につながる可能性があった。特定された問題はすべて対処済みである。
コープはその後、これらの問題をすべて複数回にわたり再検証し、それらが軽減されたことを確認した。
なぜ手動ペンテスト は脆弱性ペンテスト
外部ペネトレーションテスターは標準的なツールを使用し、相当な時間を費やしたにもかかわらず、問題を発見できなかった。
コープの見解では、制約要因は努力や専門知識ではなかった。それは規模であった。
「これは大規模なアプリケーションであるため、コードベース内の小さなパスであっても、固定時間の契約期間内では到達が困難な場合があります。」
時間や事前定義された範囲に制約される人間とは異なり、AIエージェントは疲労することなく、認証パスを探索し続け、サービス横断的なロジックを追跡し、エッジケースを再検討することができた。
これらは人間のテスターが最終的には発見できる問題ではあるが、固定時間の契約期間内では不可能だ。従来のペンテスト 状況になっても、エージェントは経路や仮定の検証を継続できる。
コープが手動ペンテストを実施した企業にAIの調査結果を共有したとき、結果は明らかだった。
ペンテストを実施した企業に結果を共有したところ、ペンテスト 、手動テストでは全く表面化していなかったことが明白でした。
コープがAikidoの活用を拡大する方法 Aikido セキュリティ
すでに利用中
導入拡大を計画中
次の評価
- アルヴァルは、将来的に継続的なペネトレーションテストソリューションの利用に関心を持っている。
最終的な評価
コープにとって、AIペネトレーションテストは人間のテスターを置き換えることではなかった。それは深さ、持続性、そして文脈に関するものだった。
「担当者は、すべての情報を把握しているため、申請内容の背景を容易に理解できた」と彼は述べた。
Aikido 攻撃は、アプリケーションの複雑さに比例して保証レベルを提供し、従来の単一時点でのテストを超える。
最大の違いは深みだった。 Aikido は単なる境界値のテストに留まらなかった。当社の認証モデルがどう機能すべきかを理解し、ペンテスト 真の脆弱性を発見するまで探求を続けた。」
