一目でわかる
- 顧客や監査のスケジュールに対応するため、オンデマンドでAIペンテストを実行します。
- スピードと深さを両立させるため、AIペンテストと手動ペンテストを組み合わせます。
- 誤検知を減らし、信頼性を向上させるためにホワイトボックステストを活用します。
- 何週間も待つことなく、顧客向けのペンテストレポートを提供します。
- 継続的なカバレッジを実現するため、CI/CDとインフラ全体にAikidoを組み込みます。
課題
Sunhatにとって、セキュリティは単なる社内チェック項目ではありません。それは製品の約束の一部です。Sunhatは、企業のサステナビリティおよびコンプライアンスチームが、顧客、パートナー、規制当局に対して信頼とコンプライアンスを証明できるよう支援するAIを活用した協調型証明プラットフォームを構築しています。
そのため、Sunhat自身のセキュリティ体制は、収益、評判、取引速度に直接結びついています。Sunhatは、高いセキュリティ要件を持つ大規模な、多くは多国籍企業に販売しています。
顧客は、プロジェクトを進める前に定期的にペンテストの証拠を求めます。
「はい、顧客は私たちに直接ペンテストの証拠を求めてきます。正直なところ、彼らの立場なら私も同じことをするでしょう。」
Sunhat共同創設者兼CTO Ali
手動ペンテストは、すでにSunhatのセキュリティプログラムの一部でした。しかし、それはおなじみの問題、つまりタイミングの問題を抱えていました。
ペンテストは、スケジュール設定と実行に数週間かかります。レポートはすぐに古くなり、販売サイクルや監査中には、時間のプレッシャーがセキュリティ検証をボトルネックに変える可能性があります。
「数ヶ月前のレポートでは満足しない企業もあります」とAliは説明しました。
Sunhatは、品質を損なうことなく、新鮮で信頼できるセキュリティ証明をオンデマンドで提供する方法を求めていました。
なぜSunhatはAIペンテストに目を向けたのか
Sunhatは、AIペンテストが利用可能になる前から、セキュア開発ライフサイクルの一部としてAikidoを使用していました。
「AikidoがAIベースのペンテストを提供していることを知ったとき、私は試してみたいと強く思いました」とAliは言いました。「特に、以前に行っていた手動ペンテストと比較することに興味がありました。」
目標は、手動ペンテストを置き換えることではありませんでした。
「AI ペンテストと手動ペンテストはそれぞれに役割があり、そのため、当社では両方を実施しています」とAli氏は述べています。
その代わりに、SunhatはAI ペンテストを、セキュリティ検証プロセスにスピード、柔軟性、現実性をもたらす方法と見なしました。
「私にとって、これが今日の時代におけるペンテストとセキュリティテストのあり方です」と彼は付け加えました。
AI ペンテストの実行
AI ペンテストの開始はほとんど手間がかかりませんでした。
「Aikido Attackを自分たちで使い始めるのは簡単でした。エンジニアは、不必要な手間がかからないことを好みます。」
Sunhatは、妥当性と関連性を最大化するためにホワイトボックスAI ペンテストを実施しています。AIエージェントはソースコードのコンテキストにアクセスできるため、表面的なスキャンではなく、現実的な攻撃行動に焦点を当てることができます。
「ホワイトボックスペンテストはより高い妥当性を提供するため、当社ではこれらを実施しています。ログとAIエージェントの動作を確認することで、可能な限り多くの範囲をカバーしようとしているという確信が得られます。」
最も重要なのは、AI ペンテストは必要な時にトリガーできることです。
「AI ペンテストのトリガーは数分で完了するようになり、時間的制約のある状況で非常に役立ちます。」
AI ペンテストがもたらしたもの
Sunhatはペンテストを形式的に行うわけではありません。
「私たちは自分たちを欺くためではなく、悪意のあるアクターが発見する前に問題を特定するためにペンテストを実施しています」とAli氏は述べています。
あるAI ペンテストで、AikidoはSunhatのPDFエクスポート生成プロセスにおける脆弱性を特定しました。
Sunhat uses a browser-as-a-service provider to launch headless Chromium instances for PDF generation. While the team had sanitized content such as the <head> element and tightly controlled allowed HTML elements, the implementation still permitted certain active elements like <iframe> and <img>.
Aikidoは、それらの要素がPDF生成中にアウトバウンドHTTPリクエストをトリガーする可能性があり、サーバーサイドリクエストフォージェリ(SSRF)や生成されたドキュメントへのレスポンスの組み込みを可能にする可能性があると判断しました。
これは表面的な設定ミスではありませんでした。PDF生成フローがブラウザの動作とどのように相互作用するかという点に根ざしていました。
この問題を軽減するために、Sunhatは以下を実施しました。
- PDF生成中のPuppeteerにおけるJavaScriptの実行を無効化
- リクエストインターセプションを使用して外部ネットワークリクエストをブロック
修正をデプロイした後、Sunhatは再テストをトリガーしました。
「こちら側で修正をデプロイした後、AIエージェントが改善を確認してくれることは、非常に有効性を裏付けるものです。」
Aikidoは再テスト中に軽減策が有効であることを認識し、SSRFベクターが閉じられたことを確認しました。
「これまでのところ、誤検知に遭遇していません」とAli氏は付け加えました。「AIエージェントは、当社のソースコードによって提供されるコンテキストをうまく利用しているようです。」
ペンテストを超えて:セキュリティプラットフォームとしてのAikido
AI ペンテストは重要な機能ですが、SunhatはAikidoをより広範なセキュリティプラットフォームとして利用しています。
Aikidoはプルリクエストおよびスケジュールされたインフラストラクチャスキャン全体で継続的に実行され、Sunhatの自動化優先のエンジニアリング文化に沿っています。
「Sunhatでは、私たちは自動化を強く信じており、Aikidoはまさにそこに適合すると感じています」とAli氏は述べました。
修正ガイダンスは実用的でコンテキストを認識しており、特にホワイトボックスのシナリオにおいて有効です。
「私たちはホワイトボックスのペンテストを実施しているので、修正手順は正確だと感じています。自分に適用されない一般的なアドバイスを好む人はいません。」
継続的なカバレッジとオンデマンドのペンテストのこの組み合わせにより、Sunhatはセキュリティリスクと顧客の期待の両方において先行することができます。
結果
Sunhatにとって、AIペンテストの影響は、スピード、信頼性、信用性で最もよく測定されます。AIペンテストにより、Sunhatは以下のことが可能になります。
- 顧客および監査のセキュリティリクエストに迅速に対応する
- 長いリードタイムなしで、最新の、顧客対応可能なペンテストレポートを提供する
- 自動化された再テストを通じて、修正を迅速に検証する
- セキュリティを一時的な活動ではなく、継続的な機能として扱う
「顧客がステークホルダーに検証可能な証拠を提供する必要があるのと同様に、私たちは信頼できるビジネスパートナーであることを証明するために、最新のセキュリティ体制に関する証拠を提供したいと考えています」とAli氏は述べました。
