メインコンテンツまでスキップ

Takumi ブラックボックス診断エンジンの改善

· 約4分
Mokusou
Mokusou
Software Engineer @ GMO Flatt Security Inc.

Takumi ブラックボックス診断エンジンに複数の改善を導入しました。

概要

2025年11月のブラックボックス診断リリース以降、継続的にエンジンの改善に取り組んでまいりました。今回のアップデートでは以下の3点をリリースしました。

検出精度の向上

特定の種類の脆弱性について、検出結果から誤検知を取り除く新しい検証レイヤーを追加しました。これにより、Takumiがより正確に脆弱性を指摘しやすい(攻撃可能ではない脆弱性を指摘しにくい)ようになりました。

また、アプリケーション診断報告書において、この検証レイヤーで検証された指摘事項には「検証済み」、それ以外には「要追加検証」と表示されるようになり、診断結果のトリアージの際にご参照いただけます。

診断報告書における検証バッジ

なお、2025年12月初旬に公開した以下のレポートのベンチマークには、この検証レイヤーを使用しています。

スコープ設定の機能強化

診断対象および診断対象外について、それぞれ複数のURLを指定できるようになりました。以下のようなケースでご活用いただけます。

  • 複数のサブドメインやドメインにまたがるアプリケーションの診断
  • 特定のセクションのみを診断し、他を除外したい場合

複数URL設定

性能の最適化

スキャン効率を向上させるため、いくつかの内部最適化を行いました。

  • スキャンスコープの適切な適用: 診断対象の機能範囲および脆弱性観点の指定範囲をより遵守するよう改善
  • クロール範囲の改善: クローリングで一部のエンドポイントが発見されにくい問題を修正

これらの最適化により、検知率を維持しつつ検知精度が向上しました。スキャン時間とクレジット消費量についても、それぞれ30〜50%程度の改善が確認されました。ベンチマーク手法の詳細については、Takumi(ブラックボックス)ベンチマークレポートと同様のものを利用しています。

利用開始方法

本機能は全てのTakumi by GMOユーザーの皆様が、追加料金なしでご利用いただけます。