剣 KENSAI
← All posts · security · 2026-01-01 · 3 min

KENSAIのAI駆動スキャンが従来のツールで見逃されるビジネスロジック欠陥を検出する方法

従来のセキュリティスキャナーはSQLインジェクションやXSS脆弱性の発見に優れていますが、重要なビジネスロジック欠陥の67%が検出されずに残っています。KENSAIのAI駆動エンジンは、アプリケーションの動作、ユーザーワークフロー、文脈的関係を分析し、シグネチャベースのツールでは単に見ることができない複雑な脆弱性を識別します。


ビジネスロジックの盲点

セキュリティ脆弱性は2つの広いカテゴリに分類されます:技術的欠陥(バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティングなど)とビジネスロジック欠陥(壊れたアクセス制御、競合状態、ワークフロー操作など)。

KENSAIは根本的に異なるアプローチを採用しています。既知の悪いパターンを探す代わりに、KENSAIのAIエンジンは正常なアプリケーション動作がどのようなものかを学習し、その後異常、境界ケース、悪用可能な論理チェーンを識別します。

KENSAIのAIエンジンの仕組み

KENSAIはアプリケーションをクロールし、ユーザーワークフロー、状態遷移、アクセス制御パターン、データ依存関係を含む包括的な動作モデルを構築します。

実際の検出例

例1:SaaS請求プラットフォームには3ステップのアップグレードプロセスがありました。KENSAIは、有効なセッショントークンを使用してステップ3エンドポイントに直接POSTすることで、ユーザーが支払いを完全にスキップできることを発見しました。

従来のスキャナー結果:脆弱性は見つかりませんでした
KENSAI結果:重大なビジネスロジック欠陥 — 不正な権限昇格

技術アーキテクチャ

コンポーネント技術目的
アプリケーションクローラーヘッドレスブラウザ自動化すべてのエンドポイント、ワークフロー、ユーザーインタラクションをマッピング
動作モデルグラフニューラルネットワーク(GNN)アプリケーションロジックの状態マシン表現を構築
ワークフロー分析器Transformerベースのシーケンスモデル時間的論理と複数ステッププロセスを理解

NIS2コンプライアンスにとって重要な理由

EUのNIS2指令は、組織がサイバーセキュリティリスクを管理するために「適切かつ比例した技術的および組織的措置」を実施することを要求しています。ビジネスロジック脆弱性は、従来の脆弱性スキャンに現れないため、特に陰湿なリスククラスを表しています。

大規模でのパフォーマンス