TOP特許意匠商標
特許ウォッチ Twitter
10個以上の画像は省略されています。
公開番号2025118432
公報種別公開特許公報(A)
公開日2025-08-13
出願番号2024013745
出願日2024-01-31
発明の名称ウェブアプリケーションの脆弱性を検査するためのシステム、方法、及びプログラム
出願人株式会社エーアイセキュリティラボ
代理人個人
主分類G06F 21/57 20130101AFI20250805BHJP(計算;計数)
要約【課題】 様々なアプリケーションの脆弱性の検査を可能とする。
【解決手段】
本発明の一実施形態に係る脆弱性検査サーバ10は、通信ネットワーク20を介して通信可能に接続されているユーザ端末30を操作するユーザに対して、ウェブアプリケーションの脆弱性の静的解析を行う脆弱性検査サービスを提供する。当該サーバ10は、大規模言語モデルを用いて、ウェブアプリケーションにおける複数のエンドポイントの各々において実行される処理情報を含むエンドポイント情報をソースコードに基づいて取得すると共に、当該エンドポイントの脆弱性情報を、対応するエンドポイント情報及び仕様情報に基づいて取得し、こうした仕組みは、多様な環境で構築される様々なアプリケーションの脆弱性の検査に一律に適用され得る。
【選択図】 図1
特許請求の範囲【請求項1】
1又は複数のコンピュータプロセッサを備え、ウェブアプリケーションの脆弱性を検査するためのシステムであって、前記1又は複数のコンピュータプロセッサは、
前記ウェブアプリケーションにおける複数のエンドポイントの各々に関するエンドポイント情報であって、前記エンドポイントにおいて実行される処理に関する処理情報を含む前記エンドポイント情報を、前記ウェブアプリケーションのソースコードに基づいて出力することを指示する第1指示情報を生成するステップと、
前記第1指示情報を第1大規模言語モデルに対して入力し、前記第1大規模言語モデルから出力される前記エンドポイント情報を取得するステップと、
前記エンドポイントの仕様が自然言語で記述された仕様情報を取得するステップと、
前記エンドポイントの脆弱性に関する脆弱性情報を、前記エンドポイント情報及び前記仕様情報に基づいて出力することを指示する第2指示情報を生成するステップと、
前記第2指示情報を第2大規模言語モデルに対して入力し、前記第2大規模言語モデルから出力される前記脆弱性情報を取得するステップと、を実行する、
システム。
続きを表示(約 1,500 文字)【請求項2】
前記第2大規模言語モデルは、前記第1大規模言語モデルと同一の大規模言語モデルである、
請求項1のシステム。
【請求項3】
前記処理情報は、前記エンドポイントにおいて実行されるHTTPメソッド及び/又はコードを含む、
請求項1のシステム。
【請求項4】
前記1又は複数のコンピュータプロセッサは、さらに、前記仕様情報を前記エンドポイント情報に基づいて出力することを指示する第3指示情報を生成するステップを実行し、
前記仕様情報を取得するステップは、前記第3指示情報を第3大規模言語モデルに対して入力し、前記第3大規模言語モデルから出力される前記仕様情報を取得する、
請求項1のシステム。
【請求項5】
前記第3大規模言語モデルは、前記第1大規模言語モデル及び/又は前記第2大規模言語モデルと同一の大規模言語モデルである、
請求項4のシステム。
【請求項6】
前記第2指示情報は、予め定められた脆弱性の検査ルールに従って前記脆弱性情報を出力することを指示する、
請求項1のシステム。
【請求項7】
1又は複数のコンピュータによって実行され、ウェブアプリケーションの脆弱性を検査するための方法であって、
前記ウェブアプリケーションにおける複数のエンドポイントの各々に関するエンドポイント情報であって、前記エンドポイントにおいて実行される処理に関する処理情報を含む前記エンドポイント情報を、前記ウェブアプリケーションのソースコードに基づいて出力することを指示する第1指示情報を生成するステップと、
前記第1指示情報を第1大規模言語モデルに対して入力し、前記第1大規模言語モデルから出力される前記エンドポイント情報を取得するステップと、
前記エンドポイントの仕様が自然言語で記述された仕様情報を取得するステップと、
前記エンドポイントの脆弱性に関する脆弱性情報を、前記エンドポイント情報及び前記仕様情報に基づいて出力することを指示する第2指示情報を生成するステップと、
前記第2指示情報を第2大規模言語モデルに対して入力し、前記第2大規模言語モデルから出力される前記脆弱性情報を取得するステップと、を備える、
方法。
【請求項8】
ウェブアプリケーションの脆弱性を検査するためのプログラムであって、1又は複数のコンピュータに、
前記ウェブアプリケーションにおける複数のエンドポイントの各々に関するエンドポイント情報であって、前記エンドポイントにおいて実行される処理に関する処理情報を含む前記エンドポイント情報を、前記ウェブアプリケーションのソースコードに基づいて出力することを指示する第1指示情報を生成するステップと、
前記第1指示情報を第1大規模言語モデルに対して入力し、前記第1大規模言語モデルから出力される前記エンドポイント情報を取得するステップと、
前記エンドポイントの仕様が自然言語で記述された仕様情報を取得するステップと、
前記エンドポイントの脆弱性に関する脆弱性情報を、前記エンドポイント情報及び前記仕様情報に基づいて出力することを指示する第2指示情報を生成するステップと、
前記第2指示情報を第2大規模言語モデルに対して入力し、前記第2大規模言語モデルから出力される前記脆弱性情報を取得するステップと、を実行させる、
プログラム。

発明の詳細な説明【技術分野】
【0001】
本発明は、ウェブアプリケーションの脆弱性を検査するためのシステム、方法、及びプログラムに関するものである。
続きを表示(約 2,500 文字)【背景技術】
【0002】
従来、アプリケーションの脆弱性を、ソースコードの静的解析によって検出することが行われている(例えば、下記特許文献1を参照)。こうした静的解析では、典型的には、ソースコード全体のデータフローの検査が行われ、悪意のある入力から脆弱性の発現までのフローが再現される。
【先行技術文献】
【特許文献】
【0003】
特開2019-003309号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述したような静的解析は、言語及びフレームワーク等の環境毎に異なる実装とする必要があるため、多様な環境で構築される様々なアプリケーションの脆弱性の検査に一律に適用することが困難であった。
【0005】
本発明の実施形態は、様々なアプリケーションの脆弱性の検査を可能とすることを目的の一つとする。本発明の実施形態の他の目的は、本明細書全体を参照することにより明らかとなる。
【課題を解決するための手段】
【0006】
本発明の一実施形態に係るシステムは、1又は複数のコンピュータプロセッサを備え、ウェブアプリケーションの脆弱性を検査するためのシステムであって、前記1又は複数のコンピュータプロセッサは、前記ウェブアプリケーションにおける複数のエンドポイントの各々に関するエンドポイント情報であって、前記エンドポイントにおいて実行される処理に関する処理情報を含む前記エンドポイント情報を、前記ウェブアプリケーションのソースコードに基づいて出力することを指示する第1指示情報を生成するステップと、前記第1指示情報を第1大規模言語モデルに対して入力し、前記第1大規模言語モデルから出力される前記エンドポイント情報を取得するステップと、前記エンドポイントの仕様が自然言語で記述された仕様情報を取得するステップと、前記エンドポイントの脆弱性に関する脆弱性情報を、前記エンドポイント情報及び前記仕様情報に基づいて出力することを指示する第2指示情報を生成するステップと、前記第2指示情報を第2大規模言語モデルに対して入力し、前記第2大規模言語モデルから出力される前記脆弱性情報を取得するステップと、を実行する。
【0007】
本発明の一実施形態に係る方法は、1又は複数のコンピュータによって実行され、ウェブアプリケーションの脆弱性を検査するための方法であって、前記ウェブアプリケーションにおける複数のエンドポイントの各々に関するエンドポイント情報であって、前記エンドポイントにおいて実行される処理に関する処理情報を含む前記エンドポイント情報を、前記ウェブアプリケーションのソースコードに基づいて出力することを指示する第1指示情報を生成するステップと、前記第1指示情報を第1大規模言語モデルに対して入力し、前記第1大規模言語モデルから出力される前記エンドポイント情報を取得するステップと、前記エンドポイントの仕様が自然言語で記述された仕様情報を取得するステップと、前記エンドポイントの脆弱性に関する脆弱性情報を、前記エンドポイント情報及び前記仕様情報に基づいて出力することを指示する第2指示情報を生成するステップと、前記第2指示情報を第2大規模言語モデルに対して入力し、前記第2大規模言語モデルから出力される前記脆弱性情報を取得するステップと、を備える。
【0008】
本発明の一実施形態に係るプログラムは、ウェブアプリケーションの脆弱性を検査するためのプログラムであって、1又は複数のコンピュータに、前記ウェブアプリケーションにおける複数のエンドポイントの各々に関するエンドポイント情報であって、前記エンドポイントにおいて実行される処理に関する処理情報を含む前記エンドポイント情報を、前記ウェブアプリケーションのソースコードに基づいて出力することを指示する第1指示情報を生成するステップと、前記第1指示情報を第1大規模言語モデルに対して入力し、前記第1大規模言語モデルから出力される前記エンドポイント情報を取得するステップと、前記エンドポイントの仕様が自然言語で記述された仕様情報を取得するステップと、前記エンドポイントの脆弱性に関する脆弱性情報を、前記エンドポイント情報及び前記仕様情報に基づいて出力することを指示する第2指示情報を生成するステップと、前記第2指示情報を第2大規模言語モデルに対して入力し、前記第2大規模言語モデルから出力される前記脆弱性情報を取得するステップと、を実行させる。
【発明の効果】
【0009】
本発明の様々な実施形態は、様々なアプリケーションの脆弱性の検査を可能とする。
【図面の簡単な説明】
【0010】
本発明の一実施形態に係る脆弱性検査サーバ10を含むネットワークの構成を概略的に示す構成図。
検査ルール情報テーブル152が管理する情報を例示する図。
検査管理テーブル154が管理する情報を例示する図。
検査詳細管理156が管理する情報を例示する図。
検査画面50を例示する図。
検査ルール指定画面60を例示する図。
脆弱性検査を行う際にサーバ10が実行する処理を例示するフローチャート。
エンドポイント情報取得用のプロンプトを例示する図。
エンドポイント情報取得用のプロンプトが入力された大規模言語モデルからの応答を例示する図。
仕様情報取得用のプロンプトを例示する図。
仕様情報取得用のプロンプトが入力された大規模言語モデルからの応答を例示する図。
脆弱性情報取得用のプロンプトを例示する図。
脆弱性情報取得用のプロンプトが入力された大規模言語モデルからの応答を例示する図。
仕様情報抽出用のプロンプトを例示する図。
仕様情報抽出用のプロンプトが入力された大規模言語モデルからの応答を例示する図。
【発明を実施するための形態】
(【0011】以降は省略されています)
この特許をJ-PlatPat(特許庁公式サイト)で参照する

関連特許

個人
裁判のAI化
1か月前
個人
工程設計支援装置
9日前
個人
情報処理システム
1か月前
個人
フラワーコートA
17日前
個人
検査システム
1か月前
個人
介護情報提供システム
24日前
個人
設計支援システム
1か月前
個人
携帯情報端末装置
10日前
個人
設計支援システム
1か月前
株式会社サタケ
籾摺・調製設備
1か月前
個人
結婚相手紹介支援システム
6日前
キヤノン電子株式会社
携帯装置
1か月前
株式会社カクシン
支援装置
1か月前
個人
アンケート支援システム
19日前
個人
備蓄品の管理方法
1か月前
大阪瓦斯株式会社
住宅設備機器
3日前
キヤノン株式会社
情報処理装置
1か月前
サクサ株式会社
中継装置
20日前
キヤノン株式会社
情報処理装置
1か月前
個人
ジェスチャーパッドのガイド部材
23日前
サクサ株式会社
中継装置
1か月前
東洋電装株式会社
操作装置
1か月前
東洋電装株式会社
操作装置
1か月前
株式会社村田製作所
ラック
5日前
アスエネ株式会社
排水量管理方法
1か月前
個人
リテールレボリューションAIタグ
16日前
株式会社アジラ
移動方向推定装置
18日前
株式会社寺岡精工
システム
23日前
株式会社ゼロワン
ケア支援システム
9日前
株式会社ゼロワン
ケア支援システム
9日前
飛鳥興産株式会社
物品買取システム
12日前
日本電気株式会社
システム及び方法
1か月前
キヤノン株式会社
画像形成システム
3日前
株式会社アザース
企業連携システム
24日前
個人
ユーザインターフェースシステム
10日前
個人
ユーザインターフェースシステム
10日前
続きを見る