特許ウォッチ

公開番号2025118231
公報種別公開特許公報(A)
公開日2025-08-13
出願番号2024013436
出願日2024-01-31
発明の名称セキュリティテストシステム
出願人株式会社ユービーセキュア
代理人個人
主分類G06F 21/57 20130101AFI20250805BHJP(計算;計数)
要約【課題】DAST等の手法により自動的に検知されたアプリケーションの脆弱性について、正しい検知か誤検知かのユーザによる手動での精査と対応策の提示を支援する。
【解決手段】対象Webサイト3の脆弱性の有無を検査し、検知された脆弱性に係る情報を検査結果13として記録してユーザに提示する検査実施部11と、ユーザから指定された対象脆弱性に係る質問を受け付けて、LLM4により回答を作成して回答する対話処理部12を有し、対話処理部12は、対象脆弱性に係る詳細情報をLLM4に対して入力する。
【選択図】図1
特許請求の範囲【請求項１】
Ｗｅｂアプリケーションにおけるセキュリティの脆弱性の有無を検査するセキュリティテストシステムであって、
前記Ｗｅｂアプリケーションの脆弱性の有無を検査し、検知された脆弱性に係る情報を検査結果として記録してユーザに提示する検査実施部と、
前記検査結果においてユーザから指定された対象脆弱性に係る質問を受け付けて、ＬＬＭ（大規模言語モデル）により回答を作成して回答する対話処理部と、を有し、
前記対話処理部は、前記対象脆弱性に係る詳細情報を前記ＬＬＭに対して入力する、セキュリティテストシステム。
続きを表示（約 880 文字）【請求項２】
請求項１に記載のセキュリティテストシステムにおいて、
前記対話処理部は、前記対象脆弱性に係る前記詳細情報を含む第１のプロンプトを前記ＬＬＭに対して入力し、ユーザからの前記質問に対して回答するために必要となる回答必要情報を判断させる第２のプロンプトを前記ＬＬＭに入力し、前記ＬＬＭから出力された前記回答必要情報に係る内容を前記検査結果から取得して、ユーザからの前記質問に対して回答させる第３のプロンプトを前記ＬＬＭに入力して、前記ＬＬＭから出力された内容を回答としてユーザに提示する、セキュリティテストシステム。
【請求項３】
請求項１に記載のセキュリティテストシステムにおいて、
前記対話処理部は、前記対象脆弱性に係る前記詳細情報を、既知の脆弱性に係る詳細情報を予め蓄積した脆弱性マスタから取得する、セキュリティテストシステム。
【請求項４】
請求項２に記載のセキュリティテストシステムにおいて、
前記第１のプロンプトには、前記対象脆弱性に係る前記詳細情報として、少なくとも、前記対象脆弱性の名称、前記対象脆弱性の概要の説明情報、前記対象脆弱性を検知するためのロジック、および前記対象脆弱性の検知が誤検知か否かを判断するための方法に係る情報が含まれる、セキュリティテストシステム。
【請求項５】
請求項２に記載のセキュリティテストシステムにおいて、
前記回答必要情報には、前記Ｗｅｂアプリケーションに対するリクエストと当該リクエストに対するレスポンス、前記Ｗｅｂアプリケーションに対する改ざんしたリクエストと当該リクエストに対するレスポンス、および前記改ざんの値のうち、少なくとも１つ以上が含まれる、セキュリティテストシステム。
【請求項６】
請求項１に記載のセキュリティテストシステムにおいて、
前記対話処理部は、予め設定した質問のテンプレートからユーザにより選択されたものに基づいて前記質問を受け付ける、セキュリティテストシステム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、アプリケーションのテスト技術に関し、特に、Ｗｅｂアプリケーションの脆弱性の有無を検査するセキュリティテストシステムに適用して有効な技術に関するものである。
続きを表示（約 1,700 文字）【背景技術】
【０００２】
Ｗｅｂアプリケーションはネットワークの利用が前提であり、セキュリティの観点から脆弱性の有無を検査・テストすることは非常に重要である。Ｗｅｂアプリケーションの脆弱性の有無を検査するツールやサービスは各種のものが利用可能であり、検討・開発も日々行われている。
【０００３】
Ｗｅｂアプリケーションのセキュリティテストの手法は、大きくＳＡＳＴ（Static Application Security Testing：静的アプリケーションセキュリティテスト）と、ＤＡＳＴ（Dynamic Application Security Testing：動的アプリケーションセキュリティテスト）に分けられる。ソースコード等を静的に分析するＳＡＳＴに対して、ＤＡＳＴでは、稼働しているアプリケーションに対して、攻撃者の視点を踏まえて外部から疑似的な攻撃（検査）リクエストを送信し、アプリケーションの挙動（レスポンス）の変化から脆弱性があるかどうかを判定する。
【０００４】
このような手法を用いたセキュリティテストに関連する技術として、例えば、特表２０２３－５４５６２５号公報（特許文献１）には、ＳＡＳＴやＤＡＳＴなどの手法を用いてソフトウェアをスキャンして潜在的脆弱性問題を検出し、これらをリストする電子文書報告を生成して、電子文書報告から各潜在的脆弱性問題についての特徴を抽出し、抽出された特徴と、潜在的脆弱性問題のソースコードに基づいて決定したトークンに基づいてベクトルを決定し、ベクトルに基づいて脆弱性スコア付け方法を選択して脆弱性精度スコアを決定することで、ソフトウェアの脆弱性のトリアージを行うことが記載されている。
【先行技術文献】
【特許文献】
【０００５】
特表２０２３－５４５６２５号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
従来技術によれば、ＳＡＳＴやＤＡＳＴなどの手法によりソフトウェアの脆弱性をスキャンして、脆弱性の程度（攻撃の可能性）を数値化することで、最も関連性の高い脆弱性を明らかにし、解決策を提案することが可能であると言える。
【０００７】
一方で、セキュリティテストの手法としてＤＡＳＴを用いる場合、ＤＡＳＴが稼働中のアプリケーションに対して外部から擬似的な攻撃を行って脆弱性の有無を判定するというブラックボックス的な手法であることから、攻撃時におけるアプリケーションの内部の処理を１００％把握することが難しく、脆弱性の検知に誤りが生じ得る。特に、セキュリティテストシステム等、自動的に検査・診断を行うような仕組みの場合、手動での検査・診断に比べて誤検知の可能性が高くなる。したがって、自動的に検知された脆弱性については、正しい検知（True Positive）なのか誤検知（False Positive）なのかをユーザが手動で精査する必要がある。
【０００８】
このとき、アプリケーションの脆弱性について知見のあるユーザであれば、自動的に検知された脆弱性に係る詳細情報から、適切な情報に着目して高い精度で精査することができる。一方で、脆弱性について知見のないユーザの場合、どこに着目して判断すべきかが分からず、精査を適切に行えない事態が生じ得る。また、正しく検知された脆弱性への対応策についても、例えば、ソースコードを具体的にどう修正すべきか等の判断ができない場合が生じ得る。
【０００９】
そこで本発明の目的は、ＤＡＳＴ等の手法により自動的に検知されたアプリケーションの脆弱性について、正しい検知か誤検知かのユーザによる手動での精査とユーザへの対応策の提示を支援するセキュリティテストシステムを提供することにある。
【００１０】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記載および添付図面から明らかになるであろう。
【課題を解決するための手段】
（【００１１】以降は省略されています）

関連特許