Hello there, ('ω')ノ
第5回のテーマ
🎯 AI と人間の正しい役割分担
AI は非常に優秀ですが、
すべてを任せてよい存在ではありません。
侵入テストでは特にこの線引きが重要です。
1️⃣ AI に任せてよいこと
✅ 情報収集・整理
AI が最も力を発揮するのはここです。
- 初動スキャン
- サービス・ポートの整理
- スキャン結果の要約
- レポートの下書き作成
これらは 人間がやると時間がかかるが、判断を伴わない作業 です。
実例
summarize all findings so far and highlight key risks
👉 数秒で「読みやすい整理済み情報」が返ってくる
2️⃣ 条件付きで任せられること
⚠️ 調査方針の提案
AI は「次に何を調べるべきか」を
かなり妥当なレベルで提案してくれます。
ただし、
- 演習環境か
- 本番環境か
- 契約やスコープはどうなっているか
といった 文脈 は人間が管理すべきです。
良い使い方
suggest safe next steps within a non-intrusive scope
👉 「安全な範囲で」という条件を必ず付ける
3️⃣ 人間が必ず判断すべきこと
❌ 攻撃の実行可否
- brute force
- exploit 実行
- 権限昇格
- lateral movement
これらは 絶対に AI 任せにしない 領域です。
理由は明確です。
- 法的リスク
- 業務上の責任
- 想定外の影響
AI は責任を取れません。
4️⃣ なぜ AI は「侵入しない」のか
ここまで使っていて気づいた点があります。
- AI は基本的に「調査」に留まる
- 危険な行為を避ける傾向がある
- 判断理由を説明しようとする
これは 侵入テストの学習 という観点では
非常に健全です。
「なぜ今はやらないのか」を言語化してくれるため、
考え方が身につきます。
5️⃣ 初学者にとっての最大の価値
この連載で一番伝えたいのはここです。
✨ コマンドより「思考」を学べる
- 何を調べるか
- なぜそれを選ぶか
- 次にどうつなげるか
これらは本来、
経験者の頭の中にしかないもの です。
AI はそれを
言葉として可視化してくれます。
6️⃣ 実務で使うときの考え方
実務では、次のスタンスがちょうど良いです。
| 作業 | 担当 |
|---|---|
| 初動調査 | AI |
| 情報整理 | AI |
| レポート下書き | AI |
| スコープ判断 | 人間 |
| 攻撃判断 | 人間 |
| 最終報告 | 人間 |
👉 AI = 優秀なジュニアアナリスト
👉 人間 = 責任を持つ判断者
7️⃣ この連載のまとめ
- 自然言語で侵入テストができる時代になった
- AI は「作業」ではなく「思考補助」に向いている
- 初学者ほど恩恵が大きい
- 正しい距離感が何より重要
おわりに
AI を使うことで、
侵入テストは 難しいもの から
考えて学べるもの に変わりつつあります。
大切なのは、
- 使いこなすこと
- 任せすぎないこと
- 学ぶ姿勢を持つこと
Best regards, (^^ゞ
