エアギャップ環境でも使える｜外部AIに依存しないDerScanner独自のAI機能とは？

脆弱性対策にAI導入を断念したことはありませんか？

脆弱性対策ツールに搭載されているAI機能の多くは、ChatGPTやClaudeなどの外部AIエージェントにコードの一部やメタ情報を送り、脆弱性対応に活用しています。これらのAIエージェントは有償版であれば、SOC2やISO27001などのセキュリティ認証に準拠した環境で運用されていますが、コードが外部に送信されてしまうため、導入を見送らざるを得ない企業も少なくありません。

脆弱性対策ツールの中にはAI機能を搭載している製品もありますが、その多くは外部のAIエージェントを使用するため、「AIは興味あるけど、自社では利用できない」と断念した方もいらっしゃるのではないでしょうか。

一方で、エアギャップ（インターネット／外部ネットワークから隔離された環境）でも、AIを活用できるツールがあります。それが「DerScanner」独自のAI機能です。

インターネットから隔離した環境でも使える！DerScannerのAI機能とは？

DerScannerには、主に2つのAI機能が搭載されています。

1. トリアージ機能（DerTriage）
2. コード修正案提示機能（DerCodeFix）

どちらも、外部AIエージェントを使用せず、独自のAI機能をオンプレミス環境にインストールして使用します。初回インストール時のみインターネット接続が必要ですが、インストール後は不要で、すべて社内環境だけで完結させることができます。

それぞれどのような機能があるのか、以下をご確認ください。

1. トリアージ機能（DerTriage）でできること

SASTスキャンはコードベースで網羅的にスキャンされるため、多くの脆弱性が検出されます。しかし、誤検知かどうかを一つずつ確認するのは手間がかかります。そこで、役立つのがDerTriageです。

1. 検出結果を表示します

今回は、以下の画像の23行目が、Code Injectionとして検出されたケースを例にします。

2. トリアージ機能を実行します

結果から、Rejected（対応不要）と判定されました。

DerTriageは、単純に「深刻度が高いから危険」と判断するのではなく、コードのコンテキストを考慮した上で判定します。

この例では、eval()自体は危険性がある関数ですが、15～22行目の処理により、変数“expression”にはランダム生成された値を四則演算した結果のみが格納されており、ユーザーが悪意のあるコードを注入できる経路がありません。そのため、DerTriageでも対応不要と判断されています。

2. コード修正案提示機能（DerCodeFix）でできること

開発エンジニアは本来の開発業務に集中し、脆弱性修正にかかる手戻りや工数は最小化したいものです。DerCodeFixは、検出された脆弱性に対してピンポイントで修正案を提示します。

1. 検出結果を表示します

今回は、24行目が、Command Injectionとして検出されたケースを使用します。

2. DerCodeFixを実行します

修正案が作成され、変更箇所が赤色で表示されます。

FixとOriginalで修正後と修正前のコードの比較が可能です。

DerCodeFixは修正案の提示のみを行います。画面内のコピーボタンをクリックし、お使いのIDEなどに直接貼り付けることが可能です。

この例では、Popen()のshell=Trueが削除され、ユーザー入力が直接シェルへ渡るリスクが解消されています。
※27行目のeval(command)は別の脆弱性として管理されているため、今回の修正から除外されています。

脆弱性対策へのAI活用、今度はDerScannerで検討してみませんか？

AIと聞くと、「インターネット接続が前提」というイメージを持たれがちですが、セキュリティ要件を理由に導入を見送るのは、非常にもったいない判断です。DerScannerであれば、エアギャップ環境でもコードを外部に出さずにAIを活用できます。

東陽テクニカでは、販売から導入後のサポートまで一貫して行っております。最新の脆弱性対策に関するお悩みがあれば、お気軽にご相談ください。

アプリケーションセキュリティ・テストプラットフォーム「DerScanner」