ブログ

F5 分散クラウド Web アプリケーション スキャン: AI対応ウェブapplicationsの保護

イアン・ディノ サムネイル
イアン・ディノ
2025年4月18日公開

人工知能(AI) がビジネスの運営方法に革命をもたらし続ける中、AI 対応サービスを強化する大規模言語モデル (LLM) を介して Webapplicationsに AI を統合することがますます一般的になっています。 そして、このイノベーションに伴って、新たな AI 対応サービスや脆弱性といった形でさらなるリスクが生じ、新たな重要なサービス、より機密性の高いデータ、アプリやビジネス全体の信頼性、そして最終的にはユーザーの信頼が危険にさらされることになります。

セキュリティ対策の強化は重要であり、 F5 分散クラウド Web アプリケーション スキャンはこのニーズを満たします。 インテリジェントな Webapplicationセキュリティ ソリューションである Distributed Cloud Web App Scanning は、組織が最新の AI 対応 Web アプリを保護するという進化する課題に対処できるように設計されています。 このサービスは、組織のドメインの外部攻撃対象領域マッピングと動的applicationセキュリティ テスト (DAST) 機能、大規模言語モデル (LLM) のリスクに対する OWASP Top 10 に対して AI コンポーネントをテストするための包括的なスイートなどの最先端の機能を備えており、最新の Web アプリの脆弱性を強力かつ継続的に検出します。

このブログでは、AI と LLM を Webapplicationsに統合する組織にとってこのサービスを導入することが必須である理由、Distributed Cloud Web App Scanning が特定する脆弱性、およびサービスの仕組みについて説明します。

次世代applicationsのセキュリティ

組織が機能性を強化し、より豊かなユーザー エクスペリエンスを提供するために AI を導入するケースが増えるにつれ、これらのシステムのセキュリティ、信頼性、コンプライアンスを確保することが不可欠になっています。 AI 脅威の動的な性質と、実世界の脆弱性が実稼働環境に表面化する可能性があることを合わせると、継続的かつ堅牢なテストの必要性が強調されます。

AI を導入する組織にとって、分散クラウド Web アプリスキャンが重要な理由は次のとおりです。

  • 広範囲にわたる継続的テスト: AI システムは従来のソフトウェアとは異なり、動的であり、学習し、適応し、進化します。 継続的なテストにより、組織は、実際の LLM の使用から生じるものも含め、OWASP LLM トップ 10 の脅威カテゴリの広範な範囲にわたって脆弱性を特定し、軽減することができます。
  • AI 対応サービスにおけるユーザーの信頼の保護: プロンプトインジェクションやモデルの幻覚などの問題は、特に AI 対応のチャットボットやアシスタント、翻訳サービス、コンテンツ生成、検索などの顧客対応applicationsでは、ユーザーの信頼を損なう可能性があります。 プロアクティブなテストは、脆弱性が悪用されて新しい AI エクスペリエンスに影響を及ぼす前に、脆弱性を特定して解決することで、信頼を保護するのに役立ちます。
  • 規制および倫理基準の遵守: AI システムに対する監視が強化される中、最新の AI 対応デジタル エクスペリエンスを実装する組織は、関連する規制フレームワークへの準拠を証明する手段が必要です。 分散クラウド Web アプリ スキャンは、統合された LLM ベースのサービスに影響を与えるものも含め、Web アプリの脆弱性を組織が特定して追跡できるようにすることでこれをサポートし、コンプライアンス プロセス内でのレポートに重要な監査証跡を提供します。

 

脆弱性を理解する

AI システム、特に LLM は強力ですが本質的に複雑であり、Webapplicationsに導入すると、次のような新たな脆弱性や攻撃の形で新たなリスク層が追加されます。

  • プロンプトインジェクション攻撃: 悪意のある行為者は、LLM を操作して不正な出力を生成するなどの意図しないアクションを実行する入力を作成します。
  • データ漏洩: LLM は機能するために膨大なデータ セットに依存することが多く、適切な保護手段がなければ、トレーニング中ややり取り中に提供された機密データが誤って漏洩する可能性があります。
  • クロスサイトスクリプティング(XSS): 攻撃者は、AI 対応の入力に悪意のあるスクリプトを挿入し、application、出力、さらにはそのユーザーを危険にさらします。
  • モデルの幻覚: LLM は、コンテキスト的に不適切または不正確な結果を生成する可能性があり、ユーザーの信頼を損ない、法的またはコンプライアンス上の問題を引き起こす可能性があります。

分散クラウド Web アプリ スキャンは、これらの問題を見つけるだけでなく、修復ガイダンスも提供します。 AI アシスタントが各脆弱性をより深く理解し、実用的な推奨事項を提供することで、組織は Web アプリが保護され、利用可能であり、ユーザーの信頼が損なわれないことを保証できます。

分散クラウドウェブアプリスキャンの仕組み

最新の AI 対応 Webapplications内で LLM を検出してテストするプロセスは、包括的なカバレッジを保証する自動化された 4 段階のプロセスから始まります。

  1. 偵察: Web アプリ スキャン サービスは、まず外部に面しているドメインと対話し、Web アプリ全体、そのサブドメイン、公開されている LLM 統合サービスなどのサポート インフラストラクチャを検出してマッピングします。
  2. 識別: LLM の存在が検出されると、サービスはフィンガープリント アルゴリズムを実行して、使用されている特定のモデル (たとえば、Mistral 7B Instruct や、業界で人気の 150 を超える LLM を含むその他の広く採用されているモデル) を識別します。
  3. テスト: 最初のマッピングの後には、OWASP Web アプリと LLM トップ 10 固有の脅威の広範なテスト スイートを含む自動侵入テストが行われます。 このサービスは、NVIDIA の garak や Microsoft の PyRIT などの業界をリードするテスト フレームワークを活用し、敵対的攻撃をシミュレートして、プロンプト インジェクション攻撃、リレーおよびリピート リレーの脆弱性によるデータ漏洩、クロスサイト スクリプティング (XSS)、キーワード プローブとモデルの幻覚、誤解を招く主張など、重大なセキュリティ問題を明らかにします。
  4. 報告: スキャンとテストにより、LLM および Webapplicationのトップ 10 リスト全体で見つかった脆弱性を強調表示する、完全で詳細な侵入テスト レポートが生成されます。 このレポートには、テスト全体と脆弱性のビデオとスクリーンショットを含む実用的な修復ガイダンスが含まれており、組織は特定された脆弱性に簡単に対処して、最新の AI 対応 Web アプリを保護できるようになります。

未来を安全に迎え入れる

AI を活用したイノベーションは、Webapplicationsと最新のデジタル エクスペリエンスに驚くべき可能性をもたらしましたが、同時に、新たな高度なセキュリティの脅威の扉も開きました。 統合された LLM テスト スイートを備えた分散クラウド Web アプリケーション スキャンは、組織がこの進化する環境に安全に対応するために必要なスケーラビリティとカバレッジを提供し、applicationsの進化に合わせて脆弱性を常に把握できるようにします。

このインテリジェントで継続的な Webapplicationセキュリティ テストを企業のセキュリティ体制に組み込むことで、Web アプリと API が保護されるだけでなく、責任ある安全な AI の開発と導入に対する組織の取り組みも強化されます。

分散クラウド Web アプリ スキャンが防御を強化し、自信を持って AI を導入するのにどのように役立つかについて詳しくは、お問い合わせください

サンフランシスコで開催されるRSAカンファレンスに参加する予定の方は、4月29日のセッション「共に強く: 「アプリのセキュリティと配信への統一されたアプローチ」をご覧ください。ブース N-4335 にお立ち寄りください。