AeyeScanがTOTP認証サイトの診断に対応、専門知識不要の内製化を強化

株式会社エーアイセキュリティラボは2026年5月23日（月）、AIを活用したクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」において、多要素認証（MFA）を利用するWebサイトのうち、TOTP認証に対する診断対応機能を強化したことをお知らせします。

これにより、従来は高度な専門知識や煩雑な設定作業が必要だったTOTP認証サイトの診断を、シークレットキーを登録するだけで実施可能となり、本番環境を含む高セキュリティサイトも継続的に診断できるようになります。

■背景
多要素認証サイトの診断における課題とは
近年、重要な情報を扱うWebサイトでは、TOTP認証を含む多要素認証（MFA）の導入が普及しつつあります。一方で、これらの認証方式は脆弱性診断の内製化における大きな障壁にもなっていました。

従来、多要素認証サイトを診断する場合には、一時的に認証を無効化したり、認証後のCookieをカスタムヘッダとして登録したりする必要があり、専門知識や多くの工数が求められていました。そのため、対応できる担当者が限られるだけでなく、一部サイトは診断対象から外さざるを得ないケースも発生していました。

また、SSOやSAML認証など、自動巡回で対応できない認証や複雑な画面遷移への対応には、JavaScriptやSelenium、Proxy設定などの専門知識が必要となるケースも多く、診断運用の属人化や学習コストの増大が課題となっていました。

■今回のアップデートについて
TOTP認証サイトも直感操作で診断可能に
AeyeScanでは、従来よりリモートブラウザによる直感的な手動巡回機能を通じて、SSOやSAML認証など、自動巡回では対応が難しい認証環境にも対応してきました。一方で、TOTP認証サイトについては、認証の一時解除や迂回が必要であることが課題となっていました。

今回のアップデートでは、TOTP認証サイトについて、シークレットキーを登録するだけで手動巡回の対象に含めることが可能になります。認証解除や複雑な事前設定を行うことなく、多要素認証を有効化した本番環境のまま診断を実施できるようになり、高セキュリティ領域を含む、より広範囲な脆弱性診断を実現します。

AeyeScanは、こうした高度な認証対応を「学習コストゼロ」の操作性で運用できる点も特長です。直感的なリモートブラウザ操作の延長でTOTP入力が完結するため、担当者のスキルに依存しない診断運用を実現します。

■期待される効果
工数をかけず、必要なタイミングで高頻度な診断ができる
本機能により、本番環境を含む多要素認証サイトの診断工数を大幅に削減できるようになります。リリース前診断や改修時の再診断などを必要なタイミングで高頻度に実施しやすくなり、継続的な脆弱性対策を「内製化サイクル」の中に組み込めるようになります。

また、専門知識を持つ一部の担当者に依存しない診断体制を構築できるため、セキュリティ運用の属人化解消や、組織全体での診断品質の均一化にも寄与します。

■今後について
専門知識不要であらゆるWebサイトを診断できる“独自性”を強化
AeyeScanは、AI＋RPAによる高精度な自動巡回や、各種ガイドラインに対応したレポート機能を通じて、企業の脆弱性診断内製化を支援してきました。今回のTOTP認証対応により、「難しい認証設定」という、内製化における最大の障壁を解消します。

これによりAeyeScanは、「特別な知識がなくても、あらゆるWebサイトを継続的に診断できる」内製化ツールとしての独自性をさらに強化。今後もAeyeScanは、企業のセキュリティ対策を“専門家だけのもの”にしないことを目指し、現場で無理なく運用できる脆弱性診断の仕組み化を支援してまいります。