AIペネトレーションテストサービス よくある質問

AIを活用したペネトレーションテストは、AIによる支援を組み合わせて、大規模な自動テストを実施するサービスです。定期的に実施する専門家主導のペネトレーションテストを補完し、正式なテストの合間にも技術的な状況をより頻繁に把握できるよう支援します。

AIを活用したペネトレーションテストは、これまで取り組んできたペネトレーションテストのプログラムと並行して利用できるよう設計されており、既存の運用方法を変更する必要はありません。従来のテストは、計画的なタイミングで内容を丁寧に確認する役割を担い、AIを活用したテストは、その合間にテストできる範囲と頻度を高める役割を果たします。

テストは、あらかじめ明確に定められた対象範囲と、事前に許可された時間帯の中で実施されます。多くの一般的なウェブアプリケーションやAPIは、技術的な事前確認を経たうえでテストの対象とすることができます。すべてのテストは、LRQAが定める安全性、機密性、セキュリティに関する基準に沿って行われ、限定された範囲でシステムに負荷を与えない方法を使用します。

はい。必要に応じて、事前に取り決めた範囲と、システムに影響を与えない方法を用いることで、本番環境でも安全にテストを実施できます。このサービスは、LRQAが従来のペネトレーションテストで適用している安全性の考え方に基づいて運用されています。

AIを活用したペネトレーションテストは、単なるチェックではなく、攻撃の手順に沿った動作を行う点が大きく異なります。侵入の経路を探索し、認証済み・未認証の両方の状態で動作を確認し、重要な指摘内容についてはLRQAの専門家が確認します。また、このサービスは、脆弱性スキャナーを置き換えるものではなく、あくまで補完して活用できるよう設計されています。

自動テストはAIが実行し、重要な指摘内容についてはLRQAのサイバー分野の専門家が確認し、誤検知の可能性を抑えます。指摘内容には優先度が付けられ、対応方法を分かりやすく示した改善の方向性が合わせて提供されます。

テストは、必要なタイミングで随時実施することも、あらかじめ計画して実施することもできます。これは、利用可能なクレジット数や、事前に取り決めた実施時間帯によって調整されます。多くのお客様は、毎月の実施や、新しいリリース、設定変更の後、または迅速な再テストが必要な場合に実施しています。

AIを活用したペネトレーションテストは、年間契約のサービスとして提供され、クレジット方式を採用しています。クレジット数は、テストの内容や難しさに応じて設定されます。利用状況は分かりやすく管理されており、必要に応じて追加のクレジットを購入することもできます。

対応しています。検出内容、ログ、ダッシュボードはISO 27001やSOC 2を含む各種の枠組みに沿って活用でき、サイバーガバナンスで求められる基準への対応を支援します。これらの情報により、継続的にテストを実施している状況を示すことができます。

収集されたデータは、LRQAの情報セキュリティ基準および機密保持の基準に沿って取り扱われます。検出内容やログは安全に保管され、合意した期間のみ保持されます。また、これらのデータはすべてお客様の所有物として扱われます。

お客様の環境に関する検出内容や証跡については、お客様に管理権があります。LRQAおよび技術パートナーは、サービス向上のために集約し匿名化した情報を利用する場合がありますが、お客様を特定できるデータを使用することはありません。

併用できます。脆弱性スキャナーでは把握しにくい深い分析が可能になり、対応すべき項目の優先度付けや改善作業の後押し、迅速な再テストにも役立ちます。

一般的な要件として、テスト用の認証情報、ネットワークへのアクセス許可や許可リストへの登録、アプリケーションに関する基本情報などがあります。具体的な要件は、技術的な事前確認の際に確定します。

AIを活用した侵入テストは、継続的な保証を実現するための取り組みの一つとして位置づけられます。テストの頻度と状況の把握を高めることができますが、コンサルタントが実施するテストやその他の保証活動が不要になるわけではありません。

お客様のLRQA担当アカウントマネージャーと、指定された技術担当者が、テスト内容の調整、導入手続き、設定、検出内容の確認、そして全体の保証プログラムの中でこのサービスをどのように活用するかの計画までサポートします。