企業動向

AIセキュリティのCoWorker、熟練ペンテスター超える成功率を達成か

CoWorker株式会社の自律型AI脆弱性診断・ペネトレーションテスト「RedAgent」が、ブラックボックス侵入テストにおいて、熟練ペンテスターの成功率を上回る89.1%を達成したことが社内検証で確認されました。AIによる自動診断が人間エキスパートに匹敵する段階に到達したことを示唆するものです。

AIセキュリティの新たな地平を拓く「RedAgent」

ペンテスターとは、システムの脆弱性を発見し、悪意ある第三者による実際の攻撃を想定して侵入を試みるセキュリティ専門家を指します。今回の検証は、このペンテスターの役割をAIが担う可能性を示す重要な成果です。

検証は実環境に近い104個のWeb脆弱性課題を含む公開ベンチマークで実施されました。詳細なソースコードや内部構造の情報を与えず、外部からの挙動のみで探索・攻撃を試行するブラックボックス条件での評価です。この条件でCTF形式の課題に挑戦した結果、「RedAgent」(Web診断モード)はフラグ取得率89.1%を達成しました。

AIペネトレーションテスト「Red Agent」の検証結果を示す。89.1%の成功率を達成し、熟練ペンテスターを上回る。実環境に近いベンチマークでの検証、客観的な成功判定、およびAI診断導入支援を提供している。

課題はフラグを取得すると自動的に成功が判定される仕組みであり、結果の再現性が高いとされています。一部の自律型ペンテストツールはソースコードや内部情報を前提に解析する「ホワイトボックス」条件で高い成功率を公表していますが、ブラックボックス条件での結果と単純比較はできないため、試験条件の一致が重要であると同社は指摘しています。

高度化するサイバー攻撃とAIの必要性

近年、サイバー攻撃は高度化・巧妙化が著しく、サプライチェーン攻撃やランサムウェア攻撃が増加しています。侵入から拡散までの時間は数日・数時間から数十秒・数分へと劇的に短縮されており、攻撃者はAIや自動化ツールを駆使し、防御側もAIレベルの速度での検知・対処が求められる状況です。

AIによるサイバー攻撃の加速を解説。AIエージェントにより攻撃ライフサイクルやブレイクアウトタイムが大幅短縮。侵入は数分、発見は数日〜数ヶ月かかる脅威の実態をCrowdStrikeとVerizon DBIR 2025のデータで示す。

このような背景から、多くの国や企業が防御態勢の強化を急いでいますが、攻撃側の速度や自動化に防御側が追従できていない現状があります。従来型のセキュリティ監視やルールベースの診断では検出が間に合わないケースが増加しており、AIを活用した自動ペネトレーションテストの導入と、再現性のある評価指標による性能測定が急務とされていました。今回のブラックボックス条件での社内検証は、こうしたサイバー攻撃の現状を踏まえ、AI脆弱性診断ツールの実戦的な有効性を示すことを目的としています。

生成AIを活用したセキュリティ製品は増加していますが、その効果が分かりにくいという課題も指摘されています。特に攻撃側の領域では、「本当に侵入できるか、悪用できるか」が重要であり、成功判定が明確なベンチマークが求められていました。

客観性と再現性を重視した評価手法

同社が参照した「XBOW Validation Benchmarks」は、攻撃に成功すると「フラグ」と呼ばれる文字列が取得できる仕組みです。これにより、取得できれば成功、できなければ失敗という明確な評価軸で、AIシステム間や人間ペンテスターとの比較が容易になります。

今回の検証では、「RedAgent」のWeb診断機能のみを使用し、対象のソースコードや内部実装情報を一切参照しないブラックボックス条件でベンチマークに挑戦しました。複数の試行により、フラグ取得率の平均が89.1%となったことを確認しています。なお、本検証はCoWorker社内の検証であり、第三者認証ではありません。

ペネトレーションテストにおける「ブラックボックス」と「ホワイトボックス」の違いも重要です。ブラックボックスは現実の攻撃者に最も近い条件で、防御側が気付いていない脆弱性をあぶり出せる一方、ホワイトボックスは内部構造をもとに隠れた脆弱性まで洗い出せるものの、現実の攻撃シナリオとは異なる場合があります。実務での受託診断や第三者評価では、外部からの攻撃者と同じように情報が制限されたブラックボックス条件が一般的です。

「RedAgent」が提供する価値

「RedAgent」は、脆弱性診断やペネトレーションテストを自律化し、攻撃の前にリスクを排除するAIセキュリティサービスです。従来は属人的だった診断業務を、同社独自のAIエージェントが標準化・高速化することで、網羅的なリスク把握と迅速な対策を実現します。

Red Agentは、脆弱性診断とペネトレーションテストを自律化し、レッドチームの活動を支援するシステムです。診断時間を従来の1/10に高速化し、迅速で効果的なセキュリティ対策を実現します。対応範囲は静的・動的脆弱性診断とペネトレーションテストです。

診断時間は従来比で最大1/10に短縮され、オンプレミス環境にも対応しています。結果は丁寧かつ分かりやすいレポートとして提示され、実務での活用を強力に支援します。

CoWorker株式会社は「RedAgent」の提供に加え、人手による検証を含む従来型の脆弱性診断・ペネトレーションテストも提供しています。これにより、「まずは第三者として現状を診断してほしい」「AIを導入する妥当性を検証したい」「継続的なセキュリティテストに移行したい」といった多様なニーズに対し、段階的な導入設計が可能であるとしています。

CoWorker株式会社の展望

CoWorker株式会社 代表取締役の山里一輝氏は、「近年のサイバー攻撃は高度化・高速化が著しく、従来の防御体制では追いつかない状況が続いています。今回の社内検証で『RedAgent』が熟練ペンテスターを上回る成果を示したことは、AIを活用した自律型セキュリティの有効性を証明する重要な一歩であり、多くの企業や社会インフラに役立つと確信しています。今後も技術の磨き込みと透明性の高い評価を続け、安心・安全なデジタル社会の実現に貢献してまいります」とコメントしています。

「CoWorker The Digital Improvement Studio」という会社名とタグラインが書かれたロゴ画像です。青と紫のグラデーションで「CoW」とデザインされています。

CoWorker株式会社は、2019年2月に設立されたAIテクノロジーカンパニーです。システム開発、ITコンサルティング、セキュリティの3領域を展開し、「Security × AI」を掲げ、次世代セキュリティの研究開発を通じて社会の安全基盤の強化に貢献しています。

会社名:CoWorker株式会社
設立年月:2019年2月
住所:東京都新宿区西新宿三丁目3番13号西新宿水間ビル6階
代表取締役:山里 一輝
事業内容:ITコンサルティング/システム開発
URL:https://www.coworker.co.jp/

ソース元
AIセキュリティのCoWorker、ブラックボックス侵入テストで“熟練ペンテスター級”を超える成功率を達成
https://prtimes.jp/main/html/rd/p/000000017.000156001.html

関連記事

著者紹介:press

press プレスリリースを元に、サイバーセキュリティ関連の企業動向を配信しています。情報の正確性についてはソース元をご確認ください。


カテゴリ:
タグ: