KENSAIのAI駆動スキャンが従来のツールで見逃されるビジネスロジック欠陥を検出する方法
従来のセキュリティスキャナーはSQLインジェクションやXSS脆弱性の発見に優れていますが、重要なビジネスロジック欠陥の67%が検出されずに残っています。KENSAIのAI駆動エンジンは、アプリケーションの動作、ユーザーワークフロー、文脈的関係を分析し、シグネチャベースのツールでは単に見ることができない複雑な脆弱性を識別します。
ビジネスロジックの盲点
セキュリティ脆弱性は2つの広いカテゴリに分類されます:技術的欠陥(バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティングなど)とビジネスロジック欠陥(壊れたアクセス制御、競合状態、ワークフロー操作など)。
KENSAIは根本的に異なるアプローチを採用しています。既知の悪いパターンを探す代わりに、KENSAIのAIエンジンは正常なアプリケーション動作がどのようなものかを学習し、その後異常、境界ケース、悪用可能な論理チェーンを識別します。
KENSAIのAIエンジンの仕組み
KENSAIはアプリケーションをクロールし、ユーザーワークフロー、状態遷移、アクセス制御パターン、データ依存関係を含む包括的な動作モデルを構築します。
実際の検出例
例1:SaaS請求プラットフォームには3ステップのアップグレードプロセスがありました。KENSAIは、有効なセッショントークンを使用してステップ3エンドポイントに直接POSTすることで、ユーザーが支払いを完全にスキップできることを発見しました。
従来のスキャナー結果:脆弱性は見つかりませんでした
KENSAI結果:重大なビジネスロジック欠陥 — 不正な権限昇格
技術アーキテクチャ
| コンポーネント | 技術 | 目的 |
|---|---|---|
| アプリケーションクローラー | ヘッドレスブラウザ自動化 | すべてのエンドポイント、ワークフロー、ユーザーインタラクションをマッピング |
| 動作モデル | グラフニューラルネットワーク(GNN) | アプリケーションロジックの状態マシン表現を構築 |
| ワークフロー分析器 | Transformerベースのシーケンスモデル | 時間的論理と複数ステッププロセスを理解 |
NIS2コンプライアンスにとって重要な理由
EUのNIS2指令は、組織がサイバーセキュリティリスクを管理するために「適切かつ比例した技術的および組織的措置」を実施することを要求しています。ビジネスロジック脆弱性は、従来の脆弱性スキャンに現れないため、特に陰湿なリスククラスを表しています。
大規模でのパフォーマンス
- 初期スキャン:典型的なエンタープライズアプリケーション(500以上のエンドポイント)で4〜8時間
- 増分スキャン:30〜60分(変更された/新しい機能のみをテスト)
- 継続的監視:本番トラフィックでのリアルタイム動作異常検出