生成AIに何を任せるか考えた結果、脆弱性診断の設計業務を支援してもらうことにした。

まず、”脆弱性診断の設計”って何のこと？と思うだろうから説明したいと思う。

これまで脆弱性診断は、経験豊富なホワイトハッカーが複雑な攻撃手法を使ってソフトウェアに脆弱性を見つけるのが一般的だ。
しかし、この方法には、”ホワイトハッカー個人のスキルに依存する課題”や作業範囲が不明瞭であることや人材不足といった課題があった。

そこで、脆弱性診断を実行する前に、その診断の作業範囲や内容を具体的に決めておくことにした。
これが「設計」と呼んでいる工程だ。
設計を導入したことで、脆弱性の種類とその有無が、
ソフトウェアのどの範囲で確認されたかが分かり、診断実績の管理ができるようになった。

また、機能や画面に応じてどのように設計を行うかを統一し、
標準化することで、属人性をなくし、どのエンジニアが担当しても同じように設計ができるようにした。

とはいえ、設計は責任の重い作業だ。
何をするか決めるということは、言い換えると、何をしないかを決めることだ。

もしも判断を間違えると、
本来確認したかった脆弱性に対して十分な作業が実施されなかったという事態も起こりうる。

さらに、ソフトウェアやWebサイトは目的も挙動も本当に様々で、
そんななかで適切な判断を行っていかないといけない。

そんな作業が診断ごとに必要とされ、
担当エンジニアにはかなりのプレッシャーがかかってしまっている状態だった。
助け舟を出そうにも、設計を担当できるまでに育てるには結構な時間を要する。

そこで生成AIの出番となる。AIのもつ知識を活かしてエンジニアに助言する。
エンジニアのアシスタントとなり孤立を助ける形で、生成AIの力が活かせるはずだ。
そんな将来像を実現するため、具体的な検討に入っていく。

次の話 06 AI、設計エンジニアのアシスタントになる（後編）