テクノロジーが競争の場をリセットするとき#
2015年、私は自動化されたペネトレーションテストは可能であるだけでなく、必要不可欠だという信念のもと、サイバーセキュリティテストソフトウェアの会社を設立しました。当時はそのアイデアに懐疑的な反応も多くありましたが、今では1200社以上のエンタープライズ顧客と数千人のユーザーに支えられ、そのビジョンは現実のものとなりました。しかし、私たちがこれまで築いてきたものは、これから始まる未来の基盤に過ぎないことも分かっています。
現在、サイバーセキュリティテストにおけるAIの登場によって、可能性のルールが書き換えられる転換点を目の当たりにしています。この変化は1ヶ月では見えないかもしれませんが、5年後にはこの分野は全く別物になっているでしょう。
PenteraのCTOとして、私は会社に対してこうしたビジョンを持っています。考えうるあらゆるセキュリティ脅威シナリオを、AIならではのスピードと知性でテストできる世界です。私たちはすでにこの現実の個々の要素をプラットフォームに実装し始めています。この記事では、今後数年にわたるPenteraの完全なビジョンを描いています。
AIは、レッドチームツールやセキュリティダッシュボードの単なる最適化レイヤーではありません。アドバーサリアルテストのライフサイクル全体にわたる変化をもたらします。ペイロードの作成方法、テストの実行方法、発見事項の解釈方法を変革します。私たちの自動化セキュリティ検証プラットフォームの可能性を再定義しています。スマートフォンのタッチスクリーン革命のように、AIは直感的なインターフェース、実行のエンジン、生データを意思決定に変換する翻訳者となるでしょう。
Penteraでは、AIがアドバーサリアルテストのあらゆるレイヤーを変革しています。
Vibe Red Teaming#
想像してみてください。あなたはCISOとして、オンプレミスのActive Directory、Azure上の本番アプリケーション、コンテナやSaaSを活用する活発な開発チームからなるハイブリッド環境を守る責任があります。
あなたは、契約社員の認証情報がGitHubリポジトリで誤って公開されたことを知りました。あなたが知りたいのはCVEデータベースや脅威フィードに埋もれている情報ではなく、その特定のアクセスが実際に被害につながるかどうかをテストすることです。
そこで、Penteraを開き、こう指示します。
「john.smith@company.ioの認証情報で本番環境の財務データベースにアクセスできるか確認して。」
スクリプトも、ワークフローも、プレイブックも不要です。
数秒でプラットフォームはあなたの意図を理解し、環境をスコープし、攻撃計画を立て、攻撃者を安全かつ外科的にエミュレートします。それだけでは終わりません。
テスト中に防御側が反応すれば、途中で適応します。検知を回避できる場合は回避し、必要に応じて一時停止し、ライブの証拠に基づいて経路を再評価します。
そして完了したら?
あなた専用にカスタマイズされた要約が届きます。生データの羅列ではありません。経営層にはハイレベルなリスク報告、SOCにはログと発見事項、クラウドチームには修復手順が提供されます。
これがVibe Red Teamingです。セキュリティ検証が会話的で、知的で、即座に実行可能になる世界です。
さらに想像してください:
例えばSOCなど、あらゆるセキュリティアプリケーションやエージェントから、新しいクラウド環境の受け入れテストをしたい場合。または、DevOpsチームが新しいLLMアプリケーションモデルを本番環境に展開したい場合。
これらの管理アプリケーションは、まもなくエージェント化され、Penteraの攻撃テストAPIを呼び出して、そのワークフローの一部としてテストを実行します。これにより、インフラ内のあらゆるアクションが最初から本質的に安全であることが保証されます。
これが呼び出し可能なテストサブエージェントです。あらゆるセキュリティアプリケーションやスクリプトからセキュリティ検証操作を呼び出し、セキュリティコントロールの有効性と正確性をその場で検証できます。
アドバーサリアルテストのあらゆるレイヤーを変革する#
この未来を実現するために、私たちはアドバーサリアルテストのライフサイクルを知性中心に再設計し、ペンテストやレッドチーム演習の発想・実行・適応・理解のすべてのレイヤーにAIを注入しています。これらの柱が、よりスマートで直感的、そしてより人間的なセキュリティ検証のビジョンの基盤となります。
1. プロダクトのエージェント化:クリックの終焉、会話の時代へ#
将来、あなたはテンプレートでテストを作成するのではなく、自然言語でテストを指示するようになります。そしてテストが進行中も、結果を待つだけでなく、次に何をするかを自分で形作ることができます。
「contractor-oktaアイデンティティグループからアクセス試行を開始して。そのグループ内のアカウントが10.10.22.0/24のファイル共有にアクセスできるか確認。もしアクセスできたら権限昇格し、認証情報の抽出を試みて。もしドメイン管理者の認証情報が取得できたら、prod-db-financeにピボットして。」
そしてテストが動き出したら、あなたはさらに指示を出します:
「ラテラルムーブメントを一時停止。Workstation-203からの権限昇格パスだけに集中して。」
「LSASSインジェクションではなく、メモリスクレイピングで認証情報収集を再実行して。」
「devサブネットを対象とするすべてのアクションを中止。このシナリオは財務部門のみ。」
これがVibe Red Teamingの実践です。
固定化されたワークフローも、オプションのツリーをクリックする必要も、人間の思考とテストロジックの翻訳もありません。
あなたがシナリオを定義し、流れを指示し、経路を適応させます。テストはあなたの意図とテスターとしての想像力の延長となります。レッドチームの力が瞬時に手に入ります。この体験を実現するため、自然言語入力でリアルタイムにテストを制御できる初期的なエージェント機能の開発にすでに着手しています。
2. APIファーストの知性:攻撃の細かな制御を解放#
私たちはアドバーサリアルテストのためのAPIファースト基盤を構築しています。認証情報収集、ラテラルムーブメント、権限昇格など、あらゆる攻撃機能が個別のバックエンド関数として公開されます。これにより、AIはユーザーインターフェースや事前定義されたワークフローに依存せず、技術を直接呼び出して活用できます。
このアーキテクチャにより、AIは現在のシナリオに関連するものだけを柔軟に活用できます。観察した内容に応じて特定の機能を呼び出し、正確に適用し、リアルタイムで環境に合わせて調整できます。
APIファーストモデルは開発も加速します。新しい機能がバックエンドで利用可能になった瞬間、AIはそれを使えます。関数の呼び出し方、出力の解釈、テストへの適用方法を理解しています。UIの対応を待つ必要はありません。
この変化により、より迅速なイテレーション、より高い適応性、そして新機能の効率的な活用が可能になります。AIは文脈と制御を持って必要なときに必要なものだけを動的に活用できる自由を得ます。
3. WebテストのためのAI:ウェブ面の武器化#
AIのインパクトは、一般的なウェブ攻撃技術の進化を見るとさらに明確になります。AIは必ずしも新しい手法を生み出すわけではありませんが、実際の文脈を適用することでそれらを強化します。
PenteraはすでにAIベースのウェブ攻撃面テストをプラットフォームに導入しており、AI駆動のペイロード生成、適応型テストロジック、より深いシステム認識を実現しています。これらの機能により、攻撃者の行動を従来よりも正確かつ迅速、かつ環境に応じてエミュレートできます。
将来的には、AIによってこの攻撃面は今では現実的でない方法でもテスト可能になります。新たな脅威インテリジェンスが登場すると、プラットフォームは関連するペイロードを生成し、該当するシステムや機会に遭遇した際に即座に適用します。
AIはまた、機密データの発見と利用方法も変革します。ファイル、スクリプト、データベースのテラバイト単位のデータを、固定パターンではなく攻撃者が探しているもの(認証情報、トークン、APIキー、セッションID、環境変数、設定シークレット)を認識しながら解析します。同時に、AIは相手にしているシステムの種類やその一般的な挙動も認識します。この文脈により、AIは発見したものを正確に適用できます。認証情報は関連するログインフローでテストされ、トークンやセッション情報は必要な場所に注入されます。テストの各ステップは、環境とその中の機会の理解に基づいて意図的に進行します。
言語、構造、地域差は、これまで有意義なテストを困難または不可能にしてきました。AIはすでにPenteraでこの障壁を取り除いています。プラットフォームは、フローを書き換えたりスクリプトをローカライズしたりすることなく、さまざまな言語や地域のインターフェースロジックを解釈します。意図を認識し、それに応じて適応します。
これが私たちが目指す方向性です。知性を使って脅威を正確にエミュレートし、どこに注力し、何を修正し、どのように自信を持って環境を守るべきかを理解できるシステムです。
4. LLM攻撃面の検証
AIインフラは、組織の運用の中核となりつつあります。大規模言語モデル(LLM)はユーザー入力を処理し、メモリを保持し、外部ツールと連携し、さまざまな環境で意思決定に影響を与えます。これらのシステムは広範な権限や暗黙の信頼を持つことが多く、攻撃者にとって高価値なターゲットとなります。
攻撃面は拡大しています。プロンプトインジェクション、データ漏洩、コンテキスト汚染、隠れた制御フローなどがすでに悪用されています。LLMがより多くのワークフローに組み込まれるにつれ、攻撃者はそれらを操作し、データを抽出し、従来の検知を回避する形で挙動を変える方法を学んでいます。
Penteraの役割は、そのギャップを埋めることです。
私たちは、LLMと現実世界の入力、ワークフロー、統合を通じてやり取りし、不正利用を表面化させるよう設計します。モデルが悪用可能な出力を生成した場合、テストは意図的に続行されます。その出力を使ってアクセスを獲得し、ラテラルムーブメントを行い、権限を昇格させ、接続されたシステムでアクションをトリガーします。目的は、侵害されたモデルが環境全体にどのような実質的な影響を及ぼすかを示すことです。
これは単にモデルを強化するだけではありません。その周囲のシステム全体のセキュリティを検証することです。Penteraは、AIインフラがどのように悪用され、どこに組織リスクがあるかをセキュリティチームに明確に示します。その結果、AI対応システムが単に稼働しているだけでなく、設計段階から安全であるという自信を得ることができます。
5. AIインサイト:あなたに語りかけるレポート#
すべてのテストの最後には「これは自分にとって何を意味するのか?」という問いが残ります。
私たちはすでに、AIによるレポーティング機能をプラットフォームに導入しています。主要な曝露傾向を可視化し、修復の優先順位を強調し、セキュリティチームに自社の態勢がどのように進化しているかを明確に示します。しかしこれは基盤に過ぎません。
私たちのビジョンはさらに先を見据えています。AIは単に結果を要約するだけでなく、誰が読んでいるのか、なぜそれが重要なのか、どのように伝えるのが最も有益なのかを理解します。
- セキュリティリーダーは、四半期ごとの態勢傾向をビジネス目標と結びつけて確認できます。
- エンジニアは、明確で実行可能な発見事項を受け取ります。無駄や掘り下げは不要です。
- 取締役会には、セキュリティ曝露と事業継続性を結びつけた1ページの要約が届きます。
そして革新は内容だけでなく、伝達方法にもあります。メキシコのITチームはスペイン語でレポートを受け取り、フランスの地域リーダーはフランス語で読みます。翻訳の遅延も、意味の損失も、他人を介した情報のフィルタリングもありません。
レポートは適応し、明確化し、優先順位付けします。あなたの役割、関心、言語に合わせて語りかけます。それは単なるドキュメントではなく、まるであなたのためだけに書かれたインサイトです。
6. AIサポート:障害のないテスト体験#
AIは、一般的な質問への回答から複雑な技術的問題の迅速な解決まで、あらゆる段階で摩擦を減らすことでサポート体験を変革します。
会話型チャットボットが、ユーザーがその場で行き詰まったときにサポートします。プラットフォームの使い方、テスト設定、発見事項のナビゲーション、一般的な操作方法など、簡単な質問に即座に答えます。これにより、一般的な作業でドキュメントや人間の介入に頼る必要がなくなり、必要なときにすぐに明確な回答が得られます。
より複雑な問題については、AIが裏側でより深い役割を担います。複数のサポート階層を経由してチケットが処理されるのを待つ代わりに、ユーザーはログやスクリーンショット、エラー詳細を直接サポートフローにアップロードできます。AIが入力を解析し、既知のパターンを特定し、解決策を自動生成します。問題が使い方によるものか、既知の製品挙動か、バグの可能性が高いかを判断し、必要な場合のみ、すでに全情報を添えてエスカレーションします。
その結果、解決までの時間が短縮され、やり取りの回数が減り、人間の役割もすべてのリクエストのトリアージから、解決策の確認・最終化へとシフトします。顧客は行き詰まる時間が減り、より前進できるようになります。
結論:テストから変革へ#
Vibe Red Teamingは、セキュリティテストの新しい体験です。設定やスクリプトから始まるのではなく、「意図」から始まります。あなたが検証したいことを説明すれば、プラットフォームがそれをアクションに変換します。
AIがそれを可能にします。アイデアをテストに変え、リアルタイムで適応し、環境の変化を反映します。テンプレートからシナリオを作るのではありません。あなた自身の条件で本物の検証を指示するのです。
Penteraの安全設計による攻撃技術を基盤とし、すべてのアクションは制御され、混乱を避けるように設計されているため、チームは本番環境を危険にさらすことなく積極的なテストが可能です。
これは新しいモデルの基盤です。テストは継続的で表現力豊かになり、セキュリティチームの日常業務の一部となります。行動への障壁は消え、テストは脅威のスピードに追いつきます。
私たちはすでに、その未来に向けて歩み始めています。
注: 本記事はPentera創業者兼CTOのDr. Arik Liberzonによって執筆されました。
翻訳元: https://thehackernews.com/2025/08/ai-is-transforming-cybersecurity.html