TokyoBlackHatNews

theregister.com 4分で読了

自動化ペネトレーションテストツールへの失望が広がるセキュリティ業界

セキュリティ

昨年は完全自律型ペネトレーションテストを受け入れると回答したセキュリティ専門家が29%いたが、今年はわずか9%に低下

脆弱性の発見においても、ボットがすべての答えになるわけではないようです。オフェンシブセキュリティ企業のCobaltによれば、完全自動化されたペネトレーションテストは多くのセキュリティチームを失望させており、このアプローチへの支持は過去1年で急落しています。

Cobaltが最近公開した「2026 State of Pentesting」レポートでは、セキュリティ実務者が自律型ペネトレーションテストツールを急速に見切り始めていることが明らかになりました。その大きな理由は、こうしたツールが重大な脆弱性を検出できていないという現実です。Cobaltが2026年版レポートのために実施した調査では、回答者の78%が自動スキャンツールによる「重大な偽陰性(False Negative)」を経験したと報告しています。AIが普及した環境で実際に生み出す脆弱性の種類を、これらのツールはうまく検出できていないのです。

「自動スキャナーは既知のシグネチャベースの脆弱性を見つけることには長けています。しかしAIセキュリティには全く対応できていません」と、同社はレポートの調査結果をまとめたリリースの中で述べています。

「プロンプトインジェクション攻撃や過剰なエージェント権限の欠陥には、創造的なマルチターンの対話チェーンや敵対的な心理学的アプローチが必要です」とCobaltは続けます。「こうした論理的な欠陥は、単一ショットの自動クエリでテストするツールには完全に見えないのです。」

自動スキャンツールへの1年間の失望は、純粋な自動化セキュリティスキャンアプローチを検討する組織の数を大幅に減少させました。このアプローチを受け入れる意向があると回答した割合は、昨年の29%から今年はわずか9%にとどまっています。

Cobaltの調査回答者数は450人と少ない点は注目に値しますが、それでもこの数字は自動ペネトレーションテストベンダーにとって悪いニュースである一方、セキュリティ専門家にとっては良いニュースだとCobaltは述べています。

「完全自動化ペネトレーションテストへの依存度の低下は、実は健全なサインです」と同社はレポートのまとめで述べています。「これは実務者がベンダーの誇大広告を見抜き、単なるカバレッジではなく真の保証を求めていることを証明しています。」

また、セキュリティ以外のAIツールが自分たちの環境に持ち込む脆弱性の多さに、実務者が単純に圧倒されているという側面もあります。Cobaltによると、従来の環境で検出された脆弱性のうち高リスクまたは重大な深刻度に分類されるものは約12%ですが、AIおよびLLM環境ではその数字が32%にまで跳ね上がります。しかも、これは最近になって出てきた数字ではありません。

この32%という数字はここ2年間変わっていないとCobaltはペネトレーションテストデータに基づいて述べており、AIが大量の脆弱性を持ち込んでいることを示唆しています。こうした深刻度の高い脆弱性の増加と、AIが引き起こしがちな種類の脆弱性を見逃す自動ペネトレーションテストボットが組み合わされば、まさに災害の温床となります。

Cobaltが提案する解決策は「ハイブリッドセキュリティ」です。ほとんどのシステムはAIによる自動スキャンを許容しながら、最も重要なシステムの保護と管理は人間に委ねるというアプローチです。同社自身がこのようなソリューションを販売していることは言うまでもありませんが、AIによって持ち込まれる脆弱性の増加という同社の見解は、決して独自の主張ではありません。

アプリケーションセキュリティ企業のVeracodeは今年初め、AI支援によるソフトウェア開発がセキュリティチームの対処能力を超えるペースで脆弱性を生み出しており、より多くの脆弱性が長期間にわたって未解決のまま放置されていると報告しています。Veracodeによれば、企業の約82%が既知の脆弱性を1年以上未解決のままにしており、発見された脆弱性全体に占める高リスク脆弱性の割合も上昇し続けています。

ただし、自動化ペネトレーションテストに対してCobaltや調査回答者ほど懐疑的でない立場もあります。AmazonのセキュリティチーフであるCJ Moses氏によると、AIペネトレーションテストツールによってAmazonのセキュリティチームの効率が40%向上したとのことですが、この数字の算出根拠は明らかにされていません。

それでもMoses氏は、セキュリティプロジェクト全体をAIに委ねることには乗り気ではありません。同氏は4月のRSAカンファレンスで、AIペネトレーションテストがミスを犯さないようにするために、まだ人間が監視する必要があると語っています。

「AIは特に大量のデータを持ち、全体像を把握する必要がある場合に非常に優れた能力を発揮します」とMoses氏は4月のインタビューで述べています。「しかし意思決定の面では、まだ全面的に頼れる段階には至っていません。」®


翻訳元: https://www.theregister.com/security/2026/06/30/infosec-professionals-sour-on-automated-pentesting-tools/5264571

ソース: theregister.com
#AI脆弱性 #Cobalt #LLMセキュリティ #オフェンシブセキュリティ #ハイブリッドセキュリティ #プロンプトインジェクション #ペネトレーションテスト #偽陰性 #脆弱性スキャン #自動化セキュリティ

関連記事

Huntress CEOが「捜査情報をランサムウェア犯罪者に漏らした脅威ハンターの行為は”判断の誤り”」と発言

MicrosoftがTeams会議から不審なボットを締め出す「門番」機能を構築

インド中央銀行、信頼性向上を目的に.bankドメインの使用を義務化——しかしレジストリが機密情報を漏洩