バグバウンティ、脆弱性診断、DevSecOpsを統合したサービス「IssueHunt One」を提供するIssueHunt株式会社(東京都中央区)は、SAST・SBOM・CSPMに関する「リスクの洗い出し」から「修正方法・運用体制の支援」までをワンストップで担うコンサルティングサービスを提供開始した。AIとセキュリティエンジニアによる判断を組み合わせるとしており、検知後の対応の具体化が進む点が利用企業の運用に影響し得る。
サービスは、SAST・SBOM・CSPMの3領域を対象にする。脆弱性スキャンに加え、AIとセキュリティエンジニアによる高度な判断をセットにし、顧客課題に合わせた支援を行う方針を示している。目的は、現場で「何をどこまでやるべきか」の判断や、検知された膨大なアラート対応に追われる状況を踏まえ、検知にとどまらず修正や運用面まで扱う点にある。
3領域で支援範囲明示
対応領域はSBOM、SAST、CSPMの3つとし、それぞれで「リスクの洗い出し」から「修正方法・運用体制の支援」までを扱う。CSPMではAWS、Google Cloud、Azureなどのクラウド設定ミスを解析対象に含め、「公開されたS3バケット」など事故に直結する設定不備の洗い出しに触れている。
SBOMでは、プロダクトに使用されているライブラリの脆弱性解析に加え、膨大な依存関係の中から、実際に攻撃されるリスクが高いものの特定を掲げる。SASTでは、ソースコードのセキュリティ品質を解析し、SQLインジェクションやXSSなどコードに潜む重大な欠陥の特定と、修正案の提示までを含めるとしている。
AIと専門家の判断を併用
背景には、急速なアジャイル開発の普及やAI活用の進展によりソフトウェアの脆弱性リスクが複雑化する一方、セキュリティ人材の不足がある点を挙げる。現場では、判断の難しさやアラート対応の負荷が課題になっているとの認識を示した。提供形態は、AIとセキュリティエンジニアによる判断を組み合わせる設計とし、短期集中型のコンサルティングサービスとしている。
IssueHunt株式会社は、プロダクトセキュリティ総合支援サービス「IssueHunt One」を提供してきたとしており、従来のプロダクトセキュリティ領域の知見をもとに今回のサービス提供に至ったとしている。