脆弱性診断・脅威モデリングを行うセキュリティエージェントを実装しました | CyberAgent Developers Blog

こんにちは！システムセキュリティ推進グループの小笠原 (@gassara5) です。 最近では連日のサプライチェーン攻撃の増加やClaude Mythosを始めとしたAIのサイバー攻撃能力を考えると、守り側もAIを使わずにはいられない時代になりました。 今回は、私たちが実装したセキュリティエージェント「BUGMAP」の事例をご紹介したいと思います。BUGMAPはセキュリティチームだけでなく、社内のエンジニアが使えるツールとして提供しています。 ＊ BUGMAP： 「BUG（脆弱性）がどこにあるか明らかにし、解決のための道のり=MAP（地図）を提供する」、という意味合いで名付けました なぜBUGMAPを作ったのか 私たちセキュリティチームはプロダクトセキュリティの課題解決がミッションとなります。その中でも、リリース前などに実施する脆弱性診断や、設計レビュー、脅威検知・モニタリングをメインに行

[mkusaka]

セキュリティエージェントBUGMAPで脆弱性診断・脅威モデリングを実装。GitHub連携し1h〜2hでIssue/PR作成も可能。

[simplememofast]

内部的にはチェックリスト型診断をLLMの関数呼び出しに置換した構造。エージェント化の利点は固定順序作業の可変化で、脅威モデリングと噛み合う

[nguyen-oi]

144個の専用レビューエージェントを回すの凄いな。これからはAI防御の時代か