CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法日本では情報セキュリティに係る人材が不足している。私は人材不足を解消する一つの方法として、人工知能(AI)技術に着目し、自らの意志でWebアプリケーションの脆弱性を見つけ出すAI「SAIVS(Spider Artificial Intelligence Vulnerability Scanner)」の研究開発を進めている。SAIVSの最終目標は、人間の脆弱性診断員と同等以上の診断能力を獲得することである。現在のSAIVSはプロトタイプだが、以下に示す人間のような行動を取りながらWebアプリの脆弱性を見つけ出すことが可能である。 1. Webアプリのクローリング SAIVSはログインや会員登録ページなどの動的ページを、人間と同じようにクローリングすることができる。例えばログインが必要なWebアプリの場合、先に会員登録ページでアカウントを作成し、その後にログインを行う。また、アカウント作成時は
