2026.6.11|インフラ
大規模Webサイトのセキュリティ運用を自動化してみた
― AIを活用した自動脆弱性診断 ―
WebサイトやWebアプリケーションの運用では、機能追加やUI改善、外部サービス連携などを重ねるうちに、システム構成や画面遷移が少しずつ複雑化します。
その結果、当初は把握できていたセキュリティ状況も時間とともに全体像が見えにくくなり、脆弱性を継続的に確認することが難しくなるケースがあります。
特にコンテンツ更新が頻繁に行われるサイトでは、ページ数の増加やリンク構造の複雑化により、すべての画面を人手で確認することは容易ではありません。
そこで弊社が実践したのが、AIによる自動脆弱性診断ツールの活用です。
手間をかけずに、サイト全体のセキュリティ状態を「継続的にチェックできる仕組み」を構築しました。
本記事では、Webサイトの運用やセキュリティ管理を担当されている方に向けて、弊社の取り組み事例をご紹介します。
運用フェーズで脆弱性診断が難しくなる理由
多くのWebサイトでは、リリース時や大規模改修のタイミングで脆弱性診断が実施されます。
しかし、運用フェーズでは次のような理由から継続的な診断が難しくなることがあります。
1. サイト構造の複雑化
機能追加やコンテンツ更新を重ねることで、サイト構造や画面遷移は徐々に複雑になります。
特に長期間運用されているサイトでは、ページ数も増加し、全体の構造を把握すること自体が難しくなる場合があります。
2. 診断の属人化
脆弱性診断にはセキュリティ知識と対象サイトの理解が求められます。
特定の担当者に依存すると、診断の網羅性や品質にばらつきが生じる可能性があります。
3. 実施スケジュールの調整
脆弱性診断では大量のリクエストを送信するため、サーバ負荷が発生します。
そのため、本番環境ではアクセスの少ない時間帯に実施するなど、運用との調整が必要になります。
これらの理由から、脆弱性診断は
- 新しい脆弱性情報が公開されたとき
- 大規模改修のタイミング
など、必要なときだけ実施する運用になりがちです。
しかし実際には、改修や更新の有無に関わらず定期的に診断を行い、セキュリティ状態を継続的に確認することが重要です。
というのも、新たな脆弱性情報の公開や攻撃手段の高度化により、Webサイト自体に変更がなくても脆弱な状態になるリスクがあるためです。
弊社の取り組み ~AIを活用したクラウド型Webアプリケーション脆弱性診断ツールAeyeScan~
これらの課題に対応するため、弊社では脆弱性診断の自動化に取り組んでいます。
その手段として、AIを活用したクラウド型Webアプリケーション脆弱性診断ツールAeyeScanを活用しています。
AeyeScanは、Webサイトを自動巡回しながら脆弱性を検査できるツールです。
AIによるブラウザ操作の自動化により、画面遷移やフォーム操作を解析しながらサイト全体を巡回できるため、複雑な構造のWebサイトでも効率的に診断を実施できます。
導入の目的は次の3点です。
- サイト全体を網羅的に診断できる仕組みを構築する
- 担当者に依存しない安定した診断を実現する
- 運用環境への負荷を抑えながら継続的に診断を行う
※AeyeScanの詳細については公式サイト(https://www.aeyescan.jp/
)をご参照ください。
自動巡回で抽出された600画面
今回脆弱性診断を実施したのは、弊社が企画・構築・運用まで担当している大規模コンテンツサイトです。
このサイトでは、以下のような情報をほぼ毎日更新しています。
- 試合情報、試合日程・結果
- 選手情報、選手メディア出演情報
- ニュース記事、インタビュー記事
- グッズ総合案内、チケット総合案内
- ファンクラブ関連情報
- その他各種コンテンツ
また各ページから関連ページへのリンクも多く、サイト全体のページ数は非常に多くなっています。
AeyeScanによる巡回を実施した結果、約600画面が診断対象として抽出されました。
診断準備にかかった時間
脆弱性診断前には以下の設定を行いました。
- 診断対象URLの設定
- 認証情報(Basic / Digest認証)の設定
- 巡回対象外URL・ドメインの指定
- 診断スケジュール設定
- アクティベーション対応
これらの設定を含めても、準備作業は約10分で完了しました。
AeyeScanによる脆弱性診断の流れ
脆弱性診断は大きく2つのステップで実施しました。
1. 自動巡回
トップページを起点にリンクをたどり、サイト内のページを自動巡回します。
この段階で、診断対象となる画面数やページ遷移の順序が記録されます。
今回の巡回では、リンク構造をもとに約600画面が抽出されました。
本番環境への影響を考慮し、アクセスが少ない深夜2:00〜6:00の時間帯のみ実行する設定とし、巡回は52分で完了しました。
2. 脆弱性検査
巡回で抽出された各ページに対して脆弱性検査を実行します。
巡回と同じく、 深夜2:00〜6:00の時間帯のみ実行するスケジュール設定で実施しました。
実行時間を制限しているため1回では完了せず、 3日間(3回)に分けて実行し、総検査時間は 522分(8時間42分)となりました。
このように時間帯を限定して実行することで、サイト運用への影響を抑えながら脆弱性診断を実施しています。
検出された主な内容
脆弱性診断の結果、いくつかの改善ポイントが確認されました。
例として以下のような項目が検出されています。
- DOMベースクロスサイトスクリプティング
- HTTPSページ内での混合コンテンツ
- セキュリティヘッダの設定不備
- TLS設定の不備(暗号スイート・プロトコル)
- iframeタグのsandbox属性の不備
- 脆弱なJavaScriptライブラリの利用(例:jQuery 1.7.2)
- リンク切れページ
こうした問題は、コンテンツ更新やページパーツの再利用などの中で、意図せず発生することがあります。
AeyeScan活用による効果
今回の取り組みにより、以下の効果が得られました。
診断工数の削減
手動で600画面を確認する場合、1画面あたり平均3分としても約30時間以上の作業が必要です。
自動化により、診断準備から実行までの工数を大幅に削減できました。
網羅的な診断
自動巡回により、リンク構造をもとにサイト全体を対象とした診断が可能になりました。
安定した診断品質
AIによる自動操作で、担当者の経験や知識に依存せず、安定した品質で診断を実施できました。
運用環境への負荷抑制
深夜時間帯に実行するスケジュール設定により、本番環境への影響を最小限に抑えながら診断ができました。
脆弱性診断後の対応
弊社では、サイトのページ制作やコンテンツ更新などの運用も担当しています。
そのため診断で検出された脆弱性については、弊社で改修対応まで実施しています。
診断で問題が見つかった場合、以下の流れで対応しています。
- 1.検出
- 自動巡回と自動脆弱性診断により、サイト全体のページを対象に脆弱性を検出します。
検出結果はリスクレベルごとに分類され、高リスクの脆弱性から優先的に対応方針を決定します。 - 2.改修
- 検出された脆弱性は、ページ制作チームとシステム担当者が協力し、影響範囲や修正内容に応じて担当を振り分けながら修正します。
- 3.継続的な管理
- 改修後も自動スケジュールで定期診断を行い、 セキュリティ状態を継続的に維持しています。
このように、一体で行う体制により、継続的なセキュリティ品質の維持が可能となっています。
弊社のセキュリティ体制
弊社では、ソニーグループのグローバルで高いセキュリティ水準を背景に、WebサイトやWebアプリケーションをはじめ、業務プラットフォーム、スマートフォンアプリ、IoT機器など、多様なシステムの構築・運用に携わっています。
今回ご紹介したような脆弱性診断の取り組みを含め、日々のシステム運用の中でセキュリティ品質を維持する仕組みづくりにも力を入れています。
これまで培ってきた知見を活かし、お客様のご予算やビジネス要件に応じて、安全性とコストのバランスを考慮した柔軟な提案を行っています。
継続的なセキュリティ運用に向けて
Webサイトのセキュリティ対策は、脆弱性診断を単発で実施するだけでは十分とは言えません。
システムは日々の更新や機能追加によって変化し続けるため、その状態を把握し、必要に応じて対策を行う運用が求められます。
一方で、実際の現場ではサイト規模の拡大や更新頻度の高さにより、全体を継続的に把握・管理することが難しくなるケースも少なくありません。また診断の実施タイミングや対象範囲が限定的になることで、セキュリティ状態のばらつきが生じることもあります。
今回ご紹介した取り組みのように、自動化を活用することで、脆弱性診断そのものは効率化できます。
しかし、その「効率化した脆弱性診断」をどのように実際の運用へ組み込むかが重要になります。
弊社では、WebサイトやWebアプリケーションの構築・運用に加え、セキュリティ対策や運用設計など、システム全体を考慮した支援を行っています。診断の自動化だけでなく、運用プロセス全体を含めて、継続的に安全性を維持できる仕組みづくりをご提案しています。
また脆弱性診断の自動化はもちろん、継続的に安全性を維持できる「運用プロセスの仕組みづくり」もご提案しています。
Webシステムの運用やセキュリティ対策に課題をお持ちの方、また今回ご紹介した取り組み以外にも、システム運用や改善に関する具体的な事例にご興味のある方は、お気軽にご相談ください。
資料ダウンロード
お問い合わせ