Slide 1

Slide 1 text

© AgenticSec Inc.  1 紹介資料 セキュリティスキャナと同じ頻度でペネトレーションテスト。 攻撃者⽬線のAIエージェントで継続的に脆弱性‧リスクを検証。

Slide 2

Slide 2 text

© AgenticSec Inc.  2 Mission あなたのシステムを誰よりも深く知り、 攻撃者よりも速く検証する。

Slide 3

Slide 3 text

代表者紹介 中谷 翔(なかたに しょう)| Founder/CEO 開発・セキュリティ技術のスペシャリスト トヨタ自動車(株) 2021- 主幹/プリンシパル リサーチャー 執行役員 Founder/CEO (株)AgenticSec 2025- エンジニア スペシャリスト (株)FOLIO 2016- (株)ディー・エヌ・エー 2014- メディア出演情報 Black Hat USA Arsenal 登壇 (2025) Automotive CTF 国内決勝2位, 世界大会4位 (2024) 防衛省サイバーコンテスト 7位 (2024) OffSec Certified Professional (OSCP) (2024-) CISSP (2024-) セキュリティ受賞歴 セキュリティ資格 その他経歴 東京大学 (学士: 2008-, 修士: 2012-) IPA未踏クリエーター (2012) メディアアクセス 最強AI「ミュトス」日本上陸へ 日本企業が「ミュトス」のアクセス権入手

Slide 4

Slide 4 text

当社役員体制 当社取締役 株式会社LayerX 代表取締役CTO 松本 勇気(まつもとゆうき) 当社取締役 株式会社LayerX 取締役COO 福島 広造(ふくしまこうぞう) 株式会社Gunosy、合同会社DMM.comのCTOを経 て、2021年3月よりLayerX代表取締役CTOに就任。 開発や組織づくり、ならびにFintechとAI・LLMの2事業 の推進を担当。2019年には日本CTO協会の立ち上げ に関わり、理事として活動したのち、2025年より顧問 に就任。 ITコンサルティング会社を経て、ボストン コンサルティング グ ループ(BCG)に入社。企業変革、テクノロジー領域を担当。 2015年、ラクスル株式会社へ入社。全社の取締役COO及び RAKSUL事業CEOを務める。2023年からは、BCGのマネー ジングディレクター&パートナーとして、AI領域を担当。2025 年10月1日付けで株式会社LayerX上級執行役員COO 兼バ クラク事業 CEOに就任した後、2026年7月1日付けで取締役 COOに就任。

Slide 5

Slide 5 text

Executive Summary 5

Slide 6

Slide 6 text

6 ネットワーク 脆弱性診断 Web 脆弱性診断 ペネトレーションテスト ● ⾦融業界の事例: ⾦融庁が TLPT (脅威ベースのペネトレーションテスト) 実施を推奨 ○ 他重要インフラから同様 の流れが予想される [背景] ペネトレーションテスト

Slide 7

Slide 7 text

ペネトレーションテストのプロセスとプレイヤー 社内NW 横展開 権限昇格 初期侵⼊ 仮説⽴案 情報収集 初期侵⼊(まで) 権限昇格‧横展開 やる こと ● テスト対象の脆弱性を突いて リモートログイン(制御を奪う) 侵⼊後、 ● 侵⼊直後よりも強いユーザー 権限を奪う ● 社内NWの他マシンに侵⼊ ⽬的 「侵⼊される?」リスク把握 ● 境界防御の弱点を探す ● 権限昇格‧横展開のスタートライン 「侵⼊されたら?」影響把握 ● 社内NWの弱点を探す 特徴 ● 境界防御は優先対策される → 定型では成功しづらい ● 前調査 (偵察‧列挙) を⼊念に、 ⼩さな⽳を⾼度に組合せて達成 ● 社内NWは対策弱く、定型 ツール実⾏で成果出やすい ● 初期侵⼊失敗し「仮にここか ら侵⼊されたら」で開始も (シナリオ信じられなくて対策に繋がらないがち) プレイ ヤー ● セキュリティベンダー (⼈間) ● ⼈間並のソフトウェアがない → AgenticSec がAIで⾃動化 (AIエージェント技術で初めて可能になったとも⾔える) ● セキュリティベンダー (⼈間) ● ソフトウェア (定型/⼈間介⼊) (Pentera等, C2系, ツール系) 境界防御 7

Slide 8

Slide 8 text

AgenticSecで社会をこう変えたい 8 ● 脆弱性診断‧スキャンツールからの ⼤量の「かもしれない」脆弱性 ● 本当はペネトレ後に対策したいが、 発現確認前に優先度判断 現状 (セキュリティ担当の悩み) 課題 ● ペネトレは⾼度⼈材のみ可能 ○ ⾼額‧決裁⾯倒 → 低頻度 / 諦め 解決 ● AIでペネトレを⾃動化‧⺠主化 ○ 好きなときに脆弱性の発現確認

Slide 9

Slide 9 text

提供価値 9

Slide 10

Slide 10 text

背景: セキュリティサイクル “CTEM” 10 Continuous Threat Exposure Management エンプラ領域の新し⽬のセキュリティフレームワーク (考え⽅) (1)「何を守る?」を定義 (2)「何がリスクに晒されている?」   を把握 (3)「どのリスクから対応すべき?」   を決定 (4)「そのリスク本当に悪⽤可能?」   を実証 (5)対策を実⾏ "Ctem-diagram.svg" by Monserrat Enriquez, licensed under CC BY-SA 4.0. Source: https://commons.wikimedia.org/wiki/File:Ctem-diagram.svg

Slide 11

Slide 11 text

   CTEMとAgenticSecの提供価値 11 1. Scoping 2. Discovery 3. Prioritization 4. Validation 5. Mobilization ⽬ 的 「何を守る?」 を定義 「何がリスクに晒 されている?」 を把握 「どのリスクから 対応すべき?」 を決定 「そのリスク本当 に悪⽤可能?」 を実証 対策を実⾏ ⼿ 段 ‧ビジネス  インパクト評価 ‧資産定義 ‧ASM (Attack Surface Mgmt) ‧脆弱性診断 ‧VM (Vuln Mgmt) ‧SAST / DAST ‧CVSSスコア ‧脅威インテリ  ジェンス ‧ペネトレー  ションテスト ‧PTaaS (PenTest as a Service) ‧BAS (Breach&Attack Simulation) ‧対応ロード  マップ作成 ‧改修作業 課 題 - - ‧脆弱性多すぎ  (偽陽性ノイズ) ‧⾼難度→⾼価  (1回数百万円) ‧低頻度 (年数回) ‧再現⽅法不明 ‧ビジネス影響  不明 提 供 価 値 - - ペネトレーション テスト前倒し実施 で実リスク特定 AI⾃動ペネトレー ションテスト →安価‧⾼頻度で  継続的な実証 ‧攻撃再現ツール  提供, WebUI実⾏ ‧Scoping情報加味  した影響レポート 主領域 ⽀援 ⽀援

Slide 12

Slide 12 text

   AgenticSecの裏ビジョン (CTEMをこうしたい) 12 1. Scoping 2. Discovery 3. Prioritization 4. Validation 5. Mobilization ⽬ 的 「何を守る?」 を定義 「何がリスクに晒 されている?」 を把握 「どのリスクから 対応すべき?」 を決定 「そのリスク本当 に悪⽤可能?」 を実証 対策を実⾏ ⼿ 段 ‧ビジネス  インパクト評価 ‧資産定義 ‧ASM (Attack Surface Mgmt) ‧脆弱性診断 ‧VM (Vuln Mgmt) ‧SAST / DAST ‧CVSSスコア ‧脅威インテリ  ジェンス ‧ペネトレー  ションテスト ‧PTaaS (PenTest as a Service) ‧BAS (Breach&Attack Simulation) ‧対応ロード  マップ作成 ‧改修作業 お 気 持 ち AgenticSecの領 域外だが超⼤事。 検出された脆弱性 をAgenticSecの 実証対象にする。 どんどん良いの出 てほしい。 (偽陽性はもうちょい 減らしてもろて...) ⼈間がやること じゃない!! 先に偽陽性ノイズ 削減してからじゃ ないとまともにで きない。 3,4を⼊れ替えた い。 この領域のよいテ クノロジー(ソフトウェア) がないから優先付 →絞ってペネトレ 発注 (⾼価) する 他なかった。 1→2→4→3→5で あるべき。 「実証済か」を加 味した優先度のつ いたリスクに対策 すべき。 4のレポートが対 策に直結しないと 無意味なのでそこ も価値発揮。

Slide 13

Slide 13 text

プロダクト 13

Slide 14

Slide 14 text

AgenticSecが約束する、2つの価値 A お客様のシステムを1番理解する ‧テストするたびに、賢くなる。 検証結果‧修正履歴が、次のテストの武器になる ‧「あの脆弱性、本当に塞がった?」にすぐに答える。 過去の攻撃を再現して、修正を確認(リグレッションテスト) ‧お使いのスキャナの検出結果も取り込み、 理解をひとつに。 既存のセキュリティ投資を、攻撃検証の⽂脈として活かす B 攻撃スピードに負けない 継続的検知‧修正 ‧脆弱性公表当⽇に、「うちは⼤丈夫か」に答える。 蓄積済みのシステム理解に当てるだけ。 時間のかかる再スキャンは不要 ‧Webアプリも、ネットワークも検証。 NWペンテストに加え、Webペンテストも提供開始 ロードマップ ‧⾒つける、直す、検証する。  検知→修正→再検証のループを全⾃動に AIが攻撃を24時間で⽣み出す時代。防御の検証は、もっと速く。 14

Slide 15

Slide 15 text

使うほど、あなたのシステムに強くなる 深く 理解する 速く 検証できる 何度も 回せる 1 2 3 使うほど、強くなる 1 理解が、速度を⽣む 新たな脅威が出ても、ゼロからスキャンし直さない。 蓄積したシステム構成‧セキュリティリスクの知識に 「当てる」だけ — だから構造的に速い。 2 速いから、何度でも回せる 1回ごとの負担が⼩さく、年1回の「点」の検証が、 ⽇常の「⾯」の検証に変わる。 3 回すほど、理解が深まる 「検知→修正→再検証」を1周するたびに システム理解が深まり、次のテストはさらに⾼精度に。 テストのたびに深まる理解が、御社を守る⼒そのものになる。 15

Slide 16

Slide 16 text

AgenticSec プロダクトファミリー ⾒つける‧整える AgenticSec DevSecOps 提供中 お使いのセキュリティスキャ ンの検出結果を集約し、 AIがトリアージ。 システム構成とセキュリティ ポスチャを可視化する コントロールプレーン 実証する AgenticSec Pentest 提供中 ⽂脈を読んで攻撃を組み⽴て る、世界初のAIネイティブ 初期侵⼊。 「本当に危ない脆弱性はどれ か」を攻撃者⽬線で検証。 ネットワーク‧Web ペネトレーションの両⽅対応 直す AgenticSec Dev ロードマップ ⾒つかった脆弱性の再現と、 修正コードの開発をAIが⽀援 運⽤する AgenticSec SOC/PSIRT ロードマップ 状況判断‧対応検討‧ インシデントレスポンスを AIが⽀援 ※ AgenticSec Dev / SOC‧PSIRT はロードマップ上の製品です(名称は変更の可能性があります) すべての製品が「お客様システムへの理解」を共有。使うほど、検知も実証も修正も深く‧速くなります。 16

Slide 17

Slide 17 text

AgenticSec Pentest ライセンス ライセンス構成 AgenticSec Pentest ライセンス ペンテスト計画‧実⾏‧レポート⽣成∕ ターゲット管理(検証結果‧修正履歴の蓄積) オプション — いずれか1つ以上を選択(併⽤可) NWペンテスト オプション IPアドレスを起点に初期 侵⼊を実証 or Webペンテスト オプション WebアプリのURLを 起点に攻撃を実証 導⼊するとできること ‧好きなときに、何度でもAIペンテスト 計画→実⾏→レポートまで⾃動。 年1回の「点」の検証が、⽇常の「⾯」の検証に ‧「あの脆弱性、本当に塞がった?」にすぐに答える 過去の攻撃を再現して修正を確認(リグレッションテスト) ‧担当者‧⽤途に合わせたレポート 業界標準のPDFレポートに加え、開発者には再現コマンド ‧イントラネット内のターゲットも検証可能 お客様環境に置くエージェントはコマンド1発で導⼊ 17

Slide 18

Slide 18 text

AgenticSec DevSecOps ライセンス お使いのツールはそのまま SAST DAST SCA / SBOM CSPM ASM‧脆弱性スキャン AgenticSec DevSecOps バラバラの検出結果をAIが集約‧整理し、システム全体の ひとつの理解へ 導⼊するとできること ‧お使いのSAST‧DAST‧各種スキャンを取り込む 既存のセキュリティ投資を、置き換えずにそのまま活かす ‧バラバラの検出結果を、ひとつの理解に 製品ごとに形式‧粒度の異なる検出結果を、AIが集約‧整理 ‧システム構成とセキュリティポスチャを可視化する コントロールプレーン システム構成‧脅威シナリオ‧検証状況をひと⽬で把握 ‧AgenticSec Pentestと連携し、実攻撃で検証 「本当に危ないか」を確かめ、偽陽性ノイズを除去(連携時) 18

Slide 19

Slide 19 text

導⼊パターン — 組み合わせで価値が最⼤に AgenticSec Pentest のみ AIペンテストの実証⼒ ブラックボックスでネットワーク‧Webを ペネトレーションテスト。 リグレッションテストで修正を確認。 ペンテストの内製化‧⾼頻度化に。 AgenticSec DevSecOps のみ 検出結果の集約‧整理 お使いのセキュリティスキャンの結果を AIが集約‧整理し、ひとつの理解に。 セキュリティポスチャ可視化の コントロールプレーン。 Pentest +DevSecOps おすすめ より⾼度なホワイトボックステストで 検知→実証→ノイズ除去の⼀気通貫 セキュリティスキャンが⾒つけた脆弱性を 実攻撃で実証し、偽陽性ノイズを除去‧優 先度を確定。 DevSecOpsが集めた構成‧コードの情報を ペンテストが活⽤し、ホワイトボックスペ ンテストが可能に。 検証のたびに理解が蓄積し、使うほど強く なる循環が完成。 どちらか⽚⽅でも価値を。両⽅そろえると、使うほどあなたのシステムが強固になる好循環が回り始めます。 19

Slide 20

Slide 20 text

この先のAgenticSec — ロードマップの2製品 AgenticSec Dev ロードマップ 直す、をAIで ‧⾒つかった脆弱性をAIが再現し、修正コードの開発を⽀援 ‧ペンテストで実証された「本当に危ない」ものから着⼿ ‧検知→修正→再検証の閉ループの「修正」を担う AgenticSec SOC/PSIRT ロードマップ 運⽤する、をAIで ‧状況判断‧対応検討‧インシデントレスポンスをAIが⽀援 ‧蓄積されたシステム理解が、運⽤の現場でも武器になる ‧SOC‧PSIRT業務の負荷を軽減 ※ 製品名‧提供内容‧提供時期は予定であり、変更の可能性があります 4製品で「⾒つける‧実証する‧直す‧運⽤する」の全⼯程へ。理解の蓄積が、すべての製品の⼟台になります。 20

Slide 21

Slide 21 text

技術 21

Slide 22

Slide 22 text

技術コア AIエージェントでのペネトレーションテスト初期期侵⼊の完全⾃動化を世界初達成 (2025/02) 論⽂ RapidPen: Fully Automated IP-to-Shell Penetration Testing with LLM-based Agents 特許: 特願2025-080819 講演 ● Black Hat USA 2025 (トップカンファ) ● Hack Fes. 2025 (招待講演) ● PentestSecJP (招待講演) 22

Slide 23

Slide 23 text

AgenticSecデモ 23 デモ1 ⼿軽さ‧わかりやすさ ● モダンな Web UI ● ポチポチ操作で偵察‧列挙‧初期侵⼊ ● AIの「いま何してる」が⾒れる ● テスト対象像を可視化 デモ2 ⾼度な技術 ● ⼈間顔負けの思考⼒‧実⾏⼒で Active Directoryマシンに「複合初期侵⼊」を 達成 (Xポスト)

Slide 24

Slide 24 text

イントラネット内ターゲットもペンテスト可能なアーキ 24

Slide 25

Slide 25 text

AIエージェントのアーキとして⾯⽩いところ 25

Slide 26

Slide 26 text

⾼いペンテスト性能を⽰すホワイトペーパー 26 ホワイトペーパー 請求

Slide 27

Slide 27 text

AgenticSecに関するご質問、デモのご依頼、お⾒積りなど お気軽にお問い合わせください 27 おわり