ニュース

ソフトバンク、「Patching as a Service」の提供対象を3,000社に拡大

OpenAIのAI技術を活用して脆弱性診断からパッチ適用まで対応

 ソフトバンクとSB OAI Japanは、OpenAI Group PBC(以下、OpenAI)の高度なAI技術を活用したAI駆動型サイバーセキュリティー対策ソリューション「Patching as a Service(パッチング・アズ・ア・サービス)」の提供対象を3,000社に拡大し、7月14日から本格的に提供する。

 Patching as a Serviceは、重要インフラを支える企業のシステムをサイバー攻撃から防御することを目的としたソリューションで、OpenAIの技術とソフトバンクの運用ノウハウを組み合わせ、システムの脆弱性診断から、診断結果のレポートや対策の提案、パッチの適用までワンストップで行なえる。

 なお、ソフトバンクとSB OAI Japanは、一部の企業を対象にPatching as a Serviceの脆弱性診断を先行して実施している。その結果、ソースコード1,000万行あたり、平均約280件の潜在的な脆弱性を検出し、そのうち25%が早急に対策が必要な可能性のある高リスクの脆弱性であることがわかった。

 今後は、サイバー攻撃への対策をさらに強化するためのオプションサービスを順次追加。システムの脆弱性への対応だけではなく、システムそのものの最適化によって安全性を向上させることを目的に、ソースコード全体の刷新・整理や、システム言語の刷新、古くなったことが原因で保守に課題があるオンプレミス環境からクラウド環境への移行などに対応するモダナイゼーションサービスの提供も予定している。

 ソフトバンクはサイバーセキュリティー対策に特化した組織「AIサイバー防衛室」を7月16日に設置する予定。今後SB OAI Japanと合わせて約1,000人体制で、Patching as a Serviceの提供と利用企業へのコンサルティングを推進していく。

Patching as a Serviceで提供するサービス

ソースコード診断

 ソースコードを解析し、不自然なソースコードや設定の不備、古い認証方式などの潜在的な脆弱性を検出し、検出箇所や想定される影響範囲を整理する(静的診断)。また、その結果を基に必要に応じ、検出された脆弱性が実際の環境で悪用される可能性があるかをテストし、その影響範囲を確認する(動的診断)。

攻撃診断

 外部から確認可能なシステムの挙動を基に、疑似的な攻撃を行ない、攻撃者の視点で潜在的な脆弱性を検出する。ソースコードの診断だけでは検出しにくい脆弱性のリスクを可視化し、優先的に対策すべき項目を明確にする。

レポート/対策の提示

 ソースコードの診断および攻撃診断の結果を基に、潜在的な脆弱性や想定される影響、対策の優先度、推奨される対策などをまとめたレポートを提供。担当者が顧客のシステム環境に応じた対策方法をコンサルティングする。

パッチ適用

 ソースコードの診断および攻撃診断の結果を基に、検出された脆弱性の修正に必要なパッチを作成。模擬環境で動作確認などのテストを実施した後、作成したパッチを適用を適用する。