TokyoBlackHatNews

helpnetsecurity.com 4分で読了

Legit Security、AppSecの修復とリスク低減にエージェント型AIを導入

Legit Securityは、各組織のコードベースから学習したコンテキストをもとに、問題の優先順位付け・修正案の生成・プルリクエストの作成・結果確認を自律的に行う新しい修復エージェントを発表しました。

Image

AIの普及により、攻撃者が脆弱性を悪用するスピードはかつてないほど速まっており、迅速な修復対応が不可欠となっています。Legitのエージェント型AppSecプラットフォームの一部として提供されるこれらのエージェントは、複数のコードベースに対して並行して修復処理を実行します。これは、再利用されたコードを通じて共通の認証バイパス脆弱性が混入し、複数のサービスに伝播するようなケースで特に重要です。また、ビジネスコンテキストを活用して真のリスクを優先的に特定し、どのAppSecテストツールが導入されているかにかかわらず、適切な修正を生成します。

AIファーストの開発手法は、アプリケーションセキュリティの在り方を根本から変え、まったく新しいアプローチを求めています。以下の実態がそれを物語っています。

  • AIコーディングエージェントがコミットされるコードの大半を占める状況
  • AIが生成するコードには、人間が書いたコードと比べて2.74倍もの脆弱性が含まれること
  • 脆弱性の修復にかかる中央値は252日であり、これは攻撃者が開示から悪用に移るまでに要する時間の約6倍に相当すること
  • 最新のフロンティアモデルを手にした攻撃者が、新たな脆弱性をデプロイから数分以内に悪用すること

つまり、AIを活用して開発スピードが上がるほど、リスクの蓄積も加速し、攻撃者による悪用キャンペーンの実行も速まります。こうしたトレンドが重なり合って生じる甚大なリスクに対処するには、自動化された高度なエージェント型ツールが不可欠です。

「セキュリティチームが苦戦しているのは、人材が不足しているからではありません。モデル自体が根本的に変わったにもかかわらず、AppSecテストツールが変わっていないことが原因です」と、LegitのCEOであるRoni Fuchs氏は述べています。「Legitの新しい修復エージェントはこの現実に向き合うために構築されており、ビジネスとコードベースのコンテキストを軸にAIのスピードで修復を実現します。だからこそ、信頼して使っていただけます。」

Legit修復エージェントの主な機能

CursorやClaude Code、GitHub CopilotといったAIコーディング汎用ツールとは異なり、Legitのエージェントはセキュリティの専門知識とビジネスコンテキストを備えており、一時的なパッチではなく本番環境に適した修正を生成します。さらに、Legitの修復エージェントには以下の機能が備わっています。

  • 統合されたリスク状況の把握:LegitはSDLC全体にわたる継続的スキャンとサードパーティツールからのリスクシグナル取り込みによって生成された、コードベースとアプリの完全なリスク状況を保持しています。LLMやコーディングエージェントは、このデータにネイティブでアクセスできません。
  • 本当に重要な問題の特定:従来のAppSecツールは、明確な優先順位なしに大量の問題を検出します。Legitのエージェントは各顧客の固有環境を把握しており、到達可能性・悪用可能性・本番稼働状況などの要素で優先順位付けされた、真に対処すべき問題のみを修復キューに届けます。
  • 攻撃対象領域のギャップを網羅的に解消:脆弱性が単一のリポジトリにのみ存在することはほとんどありません。重大なCVEが数十のサービスに同時に存在することもあります。Legitのエージェントは、影響を受けるすべてのリポジトリに対して並行してプルリクエストを開き、攻撃対象領域のあらゆるギャップを解消します。
  • PR作成前の検証:Legitのエージェントはテストを実行して修復が確実に機能することを確認したうえで、何をどのように修正したかを平易な言葉で説明したPRを作成します。
  • エージェント活動の監査可能な記録:Legitは修復エージェントが行ったすべてのアクション(元の検出結果からPR、検証済みの修正、エンジニアリング側の対応まで)を記録し、活動の完全な監査証跡を提供します。

「セキュリティチームからよく聞くのは、AIコーディングツールを脆弱性バックログに向けてみたものの、コンテキストが欠けていて検証もされていないパッチが大量に生成されるだけだったという声です。誤検知の修正を試みるケースすらあり、多くの時間が無駄になっています」と、LegitのプロダクトVPであるYoav Stahl氏は語っています。「Legitのエージェントは、お客様のコードベース・リスクプロファイル・組織のポリシーを理解しています。だからこそ、私たちが提供する修正は、確実にそのお客様の環境で機能するものです。」

翻訳元: https://www.helpnetsecurity.com/2026/06/17/legit-security-remediation-agents/

ソース: helpnetsecurity.com
#AIコーディング #AppSec #Legit Security #SAST #アプリケーションセキュリティ #エージェント型AI #セキュリティ自動化 #プルリクエスト自動化 #リスク管理 #脆弱性修復

関連記事

GentleKillerが48製品にわたる400以上のセキュリティプロセスを標的に

Blue Planet、統合ネットワーク変更ガバナンスでサービスプロバイダーのリスク低減を支援

42Crunchの新プラグイン、GitHub Copilot内でAPIの脆弱性発見・修正を支援