Application SecurityのApiiro、コードから実行環境までの文脈で脆弱性を検知・検証・修正する「AI-SAST」を発表

エージェント型アプリケーションセキュリティプラットフォームを提供するApiiroは、新たな静的解析手法「Apiiro AI-SAST」を発表しました。これは、熟練したアプリケーションセキュリティエンジニアの判断プロセスを模倣し、コードリスクの検知、悪用可能性の検証、そして修正までを自動化するアプローチです。Apiiro独自の特許技術であるDeep Code Analysis（DCA）を基盤に、コールフロー、データフロー、到達可能性解析とAI推論を組み合わせることで、誤検知を排除し、実際にビジネスリスクとなる脆弱性のみを特定・修正できるとしています。

近年、AIコーディングアシスタントの普及によりコードのリリース速度は約4倍に高まった一方で、アプリケーションリスクは10倍に増加しているとApiiroは指摘します。従来型のSASTツールは、モダンなソフトウェアの複雑性や開発スピードに対応できず、脆弱性が本当に到達可能か、悪用可能か、事業上重要かを判断しないまま大量のアラートを生成してきました。その結果、ノイズが増え、開発者の生産性が低下し、セキュリティチームが疲弊するという課題が生じていました。

Apiiro AI-SASTは、ASTスキャニング、LLMによる推論、そしてDCAによるソフトウェアアーキテクチャ理解を統合することで、この問題を解決します。DCAは、複数リポジトリやモジュールを横断してソフトウェアグラフを構築し、制御フロー、データフロー、API、OSS依存関係、フレームワーク、シークレットなどをコードからランタイムまで一貫して可視化します。さらに独自のApplicative Fingerprinting技術により、コード資産をビルドや本番環境の成果物と自動的に紐づけ、理論上のリスクと実際のビジネスリスクを区別します。

修正プロセスでは、各脆弱性の根本原因を特定し、アプリケーション全体を保護するための最適な単一点の修正箇所を提示します。生成される修正案は、既存のソフトウェアグラフに即した形で、APIやOSS、フレームワーク、コーディングパターンを考慮した精密なコード変更となります。さらに、検知ロジックのカスタマイズや人のフィードバックを取り込む適応型の仕組みにより、組織ごとのセキュリティ基準やビジネスロジックに合わせてAIが進化する設計です。

PaddleのHead of Information SecurityであるColin Barr氏は、Apiiro AI-SASTの導入により短期間で誤検知が大幅に減少し、APIエントリーポイントに基づくリスク優先順位付けが可能になったと評価しています。ApiiroのChief Strategy OfficerであるMoti Gindi氏も、単純にコードにAIを付加するだけでは企業環境では不十分であり、ソフトウェアの構造と業務文脈を理解することが不可欠だと述べています。Apiiroは、AI時代の高速開発を維持しながら、実害性の高いリスクに集中したセキュリティ対策を実現するとしています。

Apiiroについて
Apiiroは、AutoFix Agentを中核とするエージェント型アプリケーションセキュリティプラットフォームを提供する企業です。特許技術Deep Code Analysis（DCA）により、コードからランタイムまでのソフトウェアアーキテクチャを継続的に発見・可視化し、アプリケーションリスクの評価、検知、優先順位付け、修正、予防を大規模に自動化します。BlackRock、TIAA、USAA、Bloomberg、SoFi、ShellなどのFortune 500企業がApiiroを採用しています。