メインコンテンツまでスキップ

Takumi ブラックボックス診断機能をリリース

· 約8分
Takashi Yoneuchi
Takashi Yoneuchi
CTO @ GMO Flatt Security Inc.

Takumi がブラックボックス診断に対応しました。

XSS のような古典的な脆弱性から、認証・認可に関するようなビジネスロジックの脆弱性まで、幅広い脆弱性を検知できます。 全体の診断には数時間から2日ほどを要しますが、必要に応じて、指定箇所のみの診断や、指定観点のみの診断も可能です。

本機能のリリースに寄せて、早期利用&フィードバックくださった方に向け、100 クレジットを進呈いたします(検証応援キャンペーン)。 フィードバックは 2025/11/19(水) 23:59 JST必着です。この機会を是非ご活用ください。

eyecatch

概要

Takumi ブラックボックス診断機能は、アプリケーションのURL・認証情報を受け取り、当該アプリケーションを擬似的に攻撃し、診断結果を Web 上でレポートとして出力する機能です。

利用にはクレジットが必要です。クレジット消費量は、診断対象の特性やサイズに応じて変動します。 数十クレジット程度以上かかる場合もあります。

Shisho Cloud byGMO の Web 画面から利用できます。 Slack からは利用できません(意図しない攻撃トラフィックの発生を避けるため)。

利用開始方法

本機能は全ての「Takumi byGMO」ユーザーの皆様が、月ごとのクレジット枠内で自由に利用いただけます。 追加料金やプラン変更は必要ございません。

グローバルサイドバー内「診断」(Assessment)タブからご利用ください。

デモ: 診断をはじめる

「診断」(Assessment)タブ内、画面右上の「新規診断」ボタンから、診断が開始できます。

診断時の設定は、およそアプリケーションのURLや認証情報のみです。

診断開始の UI

診断開始時は、2つのモードからいずれかをお選び頂けます。

  • 「全体を診断」モードでは、アプリケーション全体をまとめて診断します。クローリング、診断が一気通貫で行われます。
  • 「一部を診断」モードでは、クローリング終了時点で Takumi が停止します。その後、診断したい機能・観点を選択いただいてから、診断を再開 します。診断範囲をコントロールし、クレジット消費量を最小化したい方におすすめです。

診断には、数時間から2日ほどを要します。 ぜひ、ゆったりとお待ち下さい。

デモ: 診断レポート

診断レポートは、およそ以下の画面のように、Web 上で閲覧いただけます。

診断結果の UI

フォーマットは、およそセキュリティベンダに診断を依頼した際のアウトプットに近いものです。

診断結果の UI

診断結果の各項目では、どの機能を、どのような観点で診断した結果、どのような深刻度・リスクの脆弱性があったか、が説明されています。

診断結果の UI

デモ: 再診断する

再診断機能は、一部の機能・一部の観点のみを診断する機能です。 クレジット消費量は、再診断の対象となる機能・観点の数に応じて変動します。

診断結果の UI

診断観点

大別すると、Takumi は以下のような観点でレビューします。

  • ロジックの不備
  • 認可制御の不備
  • インジェクション全般
  • SSRF
  • XSS
  • クリックジャッキング
  • オープンリダイレクト
  • ファイル操作不備
  • セッション管理不備
  • CORS設定不備
  • CSRF

各大項目の中に、細かな診断観点が様々含まれています。 特色は、特に(ビジネス)ロジックの脆弱性が診断対象に含まれること です。 LLM エージェントを活用した弊社技術により、アプリケーション仕様に基づいた診断が可能となっています。

細部が気になる場合は、開発者とのお打ち合わせも可能です。是非お問い合わせください。

精度評価

GMO Flatt Securityが独自に脆弱性を埋め込んだデモアプリケーションを対象に、ブラックボックス診断機能単体による診断を行った結果、約20時間のスキャン を通して 検出率は48%誤検知(偽陽性)率は33.3% という結果になりました。

なお、デモアプリケーションには、ソースコードを参照しないと発見が本質的に困難である脆弱性も含まれており、そのようなものを除いた場合の 検出率は70% でした。

展望

本機能は今後、ホワイトボックス機能のエンジンと連動し、グレーボックス診断へと進化していきます。ホワイトボックスの更に高い検知力、ブラックボックス診断の高い脆弱性検証力の両側を活かし、より高精度で使いやすい診断を提供してまいります。

展望

検証応援キャンペーン【25/11/19 23:59 迄】

本機能のリリースに寄せて、早期利用&フィードバックくださった方に向け、100 クレジットを進呈いたします(検証応援キャンペーン)。 フィードバックは 2025/11/19(水) 23:59 JST必着です。こちらのリンク からお寄せください。

この機会を是非ご活用ください!

Takumi byGMOの利用をご検討中の方へ

ブラックボックス診断機能のリリースにご興味をお持ちいただき、ありがとうございます。 「Takumi byGMO」はGMO Flatt Securityが開発した、セキュリティ業務に特化したAIエージェントです。

サービス紹介はこちら:https://flatt.tech/takumi 製品の特長、ご利用料金、FAQ等についてご覧いただけます。

今すぐのご利用開始はこちら:https://cloud.shisho.dev/hello/takumi アカウント作成後、すぐに診断機能をご利用いただけます。