メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品　|　
2025年6月16日

生成AIと内製化が拓く、セキュリティ診断の未来～スペシャリストインタビュー第2弾

DiaForce セキュリティ診断

メルマガ登録する

メルマガ登録する

2025年、私たちのセキュリティ診断サービスは30周年を迎えます。この節目の年にあたり、これまで支えてくださった皆様への感謝の気持ちを込めて、セキュリティに関する知識や取り組みを広く発信していく特別企画を展開しています。

祝！セキュリティ診断30周年～感謝を込めた特別企画を紹介します

この30年間で、ビジネスを取り巻くIT環境は大きく変化し、情報セキュリティの重要性や診断対象の範囲も大きく広がりました。そこでラックは、セキュリティ診断の過去・現在・未来を見つめ直すインタビュー企画、「専門家が考えるセキュリティ診断の現在地と未来」を実施しています。

第2弾となる本記事では、診断事業のパートナーである株式会社エーアイセキュリティラボ関根鉄平氏と、ラックでWebアプリケーション診断サービスをリードする、齋藤実成にインタビューしました。両社が取り組む脆弱性診断と、ニーズが高まる診断内製化、脆弱性診断ツールの進化の歴史、そしてAIによる脆弱性診断の新たな可能性について、現場の視点から深掘りします。

プロフィール
ラックとエーアイセキュリティラボ
診断の現在地と内製化の潮流
診断のこれからを見据えて
診断の"内製化時代"を支える力とは
パートナープロフィール

プロフィール

株式会社エーアイセキュリティラボ執行役員 CX本部長
関根鉄平氏
脆弱性診断ツール「AeyeScan」の開発・提供を通じ、ユーザー企業による診断の内製化を支援。大規模イベントでの講演活動を多数行うほか、セキュリティに関する書籍の執筆にも携わる。

株式会社ラックデジタルペンテスト部グループマネージャー
齋藤実成
セキュリティ診断サービスに長年従事し、現在は診断事業の戦略企画や新規サービス企画、インフラ戦略立案を担当。エーアイセキュリティラボとの協業やWebアプリケーション診断内製化支援サービスの立ち上げにも携わる。

ラックとエーアイセキュリティラボ

──エーアイセキュリティラボの脆弱性診断ツール「AeyeScan」はどのようなサービスですか？

関根氏: 当社はSaaS型の脆弱性診断ツール「AeyeScan（エーアイスキャン）」を開発・提供している技術者の会社です。誰でも使える診断ツールの実現を目指しており、特にWebアプリケーションを対象とした診断の自動化に力を入れています。診断のプロフェッショナルではない企業の情報システム部門など、専門性の高くない現場でも扱えることを目標に開発していました。そのため、従来の診断ツールとは異なり、設定のしやすさや操作性、クローリング精度など、実用性にこだわった設計となっています。

──ラックとの関係を教えてください。

関根氏: ラック社との協業が本格的に始まったのは2021年^※です。ツールとしての可能性を早い段階で評価いただき、実際の利用を通じて非常に丁寧なフィードバックを頂戴したことが、信頼関係の構築にもつながりました。

齋藤: 当時、社内では新たな診断ツールの技術検証や導入検討をしていた中で、AeyeScanはこれまでの脆弱性診断ツールとは異なり、高度な専門知識がなくても扱える点や自動化を前提に設計された点に可能性を感じました。「診断は外注と内製の領域で二極化する」という大きな潮流を見据え、ツールによる内製化支援が重要になると判断してパートナーシップを結ぶことになりました。エーアイセキュリティラボ社の革新的な技術力と、ラックの脆弱性診断の知見と技術力を組み合わせることで、より多くの企業に課題解決を提供できると確信し、診断業務の民主化を本気で進めたいと思ったのです。

※ ラックとエーアイセキュリティラボ、DX時代の新しいセキュリティ診断モデルの構築で提携

診断の現在地と内製化の潮流

──診断ツールの進化に何が起きたのでしょうか？

齋藤: 脆弱性診断という業界はここ10年で大きく変化しました。かつては高度な技術者が手作業で進めていた領域でも効率化が進み、今は自動化・AI化の大きな波が押し寄せているところだと考えています。それでも高度な技術者が手作業で進めないといけない領域は残っていますが、社会のデジタル化と連動するように、お客様が「診断したい」と思っているシステムは指数関数的に増えていると感じます。

関根氏: 診断ツール自体は当時からあり、主に海外製品が主流でした。ツールの種類も徐々に増えてきましたが、活用していたのはセキュリティ専門家で、業務の効率化を目的とした使い方が中心でした。一方で、事業会社の中でも診断を自社で行いたいという内製化ニーズが高まってきたものの、専門家向けに設計されたツールを使いこなすにはハードルが高いという課題がありました。その課題を解決できるようにセキュリティ専門家ではなくても使える診断ツールとしてAeyeScanが生まれました。

AeyeScanは、誰でも診断できることを目指したツールです。もともとは技術者向けに設計していた部分もありましたが、最近はユーザー企業の情シス担当者にも利用が広がっています。サイトのクローリング精度の高さや、UIの直感性にこだわっています。生成AIを使って画面構造を認識し、ログインフォームや検索ボックスの特定を自動化するなど、人間の判断を再現できるレベルにまで進化しています。

──なぜ今、内製化が求められるのでしょうか？

関根氏: 「診断を外注するのが当たり前」という風潮がありましたが、近年では「自社で診断を実施する」企業が徐々に増えてきています。その背景には、開発コストを抑えたいという要望や、増え続けるIT資産への対応があります。また、セキュリティ専門人材の確保が困難な中、誰でも使えるツールを活用して、限られた社内リソースで対応しようという動きも加速しています。

齋藤: 製造業やEC事業、自治体のお客様から「200〜300サイトを診断したいが、全てを外注するとコストや対応リソースが足りない」といった声は増えています。ただ、内製化の最大の障壁は「自社で人材を抱え続けられないこと」です。特にユーザー企業では、診断技術者を雇用しても4〜5年後を見据えるとどうしてもスキルアップの機会に乏しくなりがちで、キャリアの継続が難しいという課題があります。結果として、内製化の取り組みの9割が技術的な問題ではなく、組織や人材の継続性の問題で行き詰まってしまっています。

: その一方、近年は少しずつアウトソース中心だった診断の一部を内製化に切り替える企業も増えてきました。例えば、診断対象の中で予算の都合上、アウトソースできなかった領域だけを診断ツールで内製し、重要な領域の診断は引き続きセキュリティベンダーに外部委託するなど、柔軟な使い分けは進んでいます。

ラックでは、このような大量のサイトに対する診断のご希望や内製化のニーズに対応できるサービスを提供しています。大量のサイトに対する診断では、セキュリティ診断技術とAeyeScanを組み合わせた「Webアプリケーション診断安全点検パック／エクスプレス」というサービスがあります。このサービスを使うと、迅速かつ低価格で大量のWebサイトを効率的に診断できるため、お客様の要望に素早く対応できます。内製化のニーズには診断内製化支援サービスがあります。顧客企業の下に仮想的な「診断事務局」を設置し、診断のスキームと運用を支援することで、顧客側の負担を最小限にしながら自律的な運用への移行を後押しします。

診断のこれからを見据えて

──診断ニーズの展望と、自動化の進展について教えてください。

齋藤: 近年、診断のニーズは「高度な診断」と「簡易的な診断」の二極化が進んでいます。高リスク領域では手作業を含む精密な脆弱性診断・ペネトレーションテストが求められる一方で、低リスクなシステムや数の多い資産に対しては、自動診断ツールやAIツールを用いた簡易診断を内製で回す動きが加速しています。どちらの診断手法も重要であり、目的や対象に応じて適切に使い分ける時代が到来しています。

ペネトレーションテストはどこまでやればいい？

関根氏: さらに、10年後を見据えると、生成AIの進化によって診断の内製化はますます加速し、「診断している」という感覚すらなくなっていく可能性があります。AeyeScanのようなツールが進化を続ければ、最終的には脆弱性の検出だけでなく、リスクの判定や修正作業まで自律的に行う世界が現実になるでしょう。

そのような未来において、人間が担うのはリスクをどこまで許容できるかの判断や、対応の優先度を決めることに限られていくかもしれません。ツールが自律的に判断・実行し、人はその全体像を俯瞰して管理する。そんな未来も、もはや夢物語ではなく、現実味を帯びてきています。

今後は、診断を「やるか・やらないか」を判断する必要すらなくなってくるかもしれませんね。あらかじめ設定された条件のもとで、ツールが自律的に診断を行い、結果を整理し、対応すべき項目だけを人間に通知する。そんな仕組みが整えば、診断は"気づけば完了しているもの"へと変化するでしょう。

──人は不要？AIとの役割分担はどうなるのでしょうか？

関根氏: 生成AIによる全自動化が進む中、「人間の仕事がなくなるのでは？」という疑問が残りますが、我々は"人間×AI"が正解だと考えています。人間の負担を軽減し、本来の判断業務に集中するためにAIを活用する。意思決定や戦略立案の場には、人の判断が不可欠です。

齋藤: 実際、ツールだけではカバーしきれないシナリオの設計や、リスク評価は人間の腕の見せどころですよね。ただ、それは「今のところ」の話であって、そう遠くない将来（数年後？）には自動化ツールやAIツールを目的に合わせてなんでも使いこなせる人材の市場価値が向上するのではないでしょうか。

──誰でも使える未来は、どこまで近づいていますか？

関根氏: AeyeScanの登場から5年。これまで技術者やSIerが主に利用してきた診断ツールも、今では情シス部門やユーザー企業の担当者にも広がり始めています。今まさに"誰でも使える"というフェーズに入ったと感じています。診断の必要性は増加する一方なので、もっと多くの人が手に取れるよう、ツールと支援の両輪で展開していきたいですね。生成AIを活用したツールは、既に多言語対応が進んでおり、今後はグローバル展開も視野に入れています。

齋藤: "診断している"感覚なく、誰もが使う未来が到来しつつあります。しかし、その裏側では必ず人間が診断プロセスの設計や判断基準を組み立て、システムを動かしています。AIによる自動診断が主流になる時代でも、ツールの導入から活用、そして改善に至るまでの全体像を描ける人材が求められます。そこに、セキュリティの専門家である我々が貢献できればと思います。

診断の"内製化時代"を支える力とは

診断の民主化は、エーアイセキュリティラボとラックが見据える目指すべき未来像です。専門家でなくても診断ができる。そんな未来の実現には、生成AIという技術の進化だけでなく、運用支援やビジョン設計を担う"人"の力が欠かせません。

診断業務は、単にツールで自動化できる作業にとどまりません。どのような項目をどのようなタイミングで検査するか、その設計や意思決定には依然として人の関与が必要です。技術の進化が診断の世界を大きく変えていく一方で、それを活かしきるためには"人"の力がますます問われる時代です。生成AIや自動化ツールがいかに優れていても、現実の運用に組み込み、目的に応じて活用できる環境や設計思想がなければ、その真価は発揮されません。

内製化時代に向けて重要になるのは、高度な専門技術を有する技術者というよりも、ツールを活用し、継続的に運用・改善していける仕組みを設計・管理できる人を育てることです。エーアイセキュリティラボは"誰でも使える診断ツール"を、ラックは"セキュリティ専門家として脆弱性管理を支える技術力"を、それぞれの強みで支えています。次の10年、診断の世界はどう変わるのでしょうか。その鍵を握るのは、技術の進歩と、それを活かす人の成長の両立に他なりません。