AppSecの新時代が到来：Contrast Northstarで統合、リアルタイム、AIが実現するセキュリティへ

本日、ContrastはNorthstarを発表した — 最新のアプリケーションとアプリケーションプログラミングインターフェイス(API)の保護における大きな飛躍だ。

2025年のセキュリティは、もはや静的スキャンや境界防御だけでは不十分だ。Northstarのリリースにより、開発、アプリケーションセキュリティ、セキュリティ運用の各部門がついに連携できる。アプリケーション層の攻撃をリアルタイムで阻止し、あらゆる種類の脆弱性とゼロデイを排除できる。そしてAIツールを利用できる。それは単にスマートなだけでなく、高速で正確で、現実世界のコンテキストに基づいたAIツールだ。

そのコンテキストは、アプリケーション環境のリアルタイムモデルである「Contrastグラフ」から得られる。Contrastグラフは、発生したアプリケーション層への攻撃、実際にリスクを生み出す脆弱性、最短の修復方法など、最も重要な事項について極めて正確で実用的なビューを示す。

このリリースを「Northstar」と名付けたのは、それが未来へ前進する道を指し示すからだ。ユーザがこれまでに見えていなかったものを見えるようにし、曖昧であった部分を明確にし、攻撃者が隠れていた場所に光を当てる。

言い換えれば、これはContrastそのものだ。

目次

Contrastグラフ
新しいユーザエクスペリエンス
動的リスクスコアリング
Contrast AI SmartFix
Contrast AI MCPサーバ
デプロイハブ
フレックスエージェント

なぜ今なのか

これまで我々が知っていたような、従来のアプリケーションセキュリティ(AppSec)が機能しなくなりつつある。それどころか、「アプリケーションセキュリティ」と呼ぶこと自体が、その概念を「シフトレフト」や「シフトライト」という、ありきたりで狭い議論の枠の中に限定されてしまっている。現実には、最大限の努力を払ったとしても、コードに脆弱性がないと考える人は誰もいない。仮にコードに脆弱性が一切なかったとしても、Webアプリケーションファイアウォール(WAF)が見逃してしまう攻撃は依然として存在する。2025年のVerizonのデータ漏洩/侵害調査報告書(DBIR) やMandiantの2025年のM-Trendsレポートに示されているように、脅威アクターはそれを認識しており、攻撃を加速させている。エンドポイントへの攻撃が減少しているのは、高度になったEDR(エンドポイントにおける検知と対応)ツールのおかげだ。今こそ、その先進性をアプリケーション層に導入すべきだ。

Northstarリリース

Northstarのリリースによって、ContrastのADR(アプリケーションにおける検知と対応)が次なるレベルに進。Northstarには初の統合プラットフォームが搭載されており、セキュリティ、開発、運用の各部門で次のことが可能になる：

• 検知：アプリケーション層の攻撃を発生時に検知
• 対応：自動またはボタン操作で侵害に対応
• 修復：アクティブな脆弱性をAIで自動修正、または必要な知識を備えたAIアシスタントによる手動修正で、最初から正しく修復

今回のNorthstarのリリースは、アプリケーションセキュリティの転換点だ。ランタイムインテリジェンス、詳細な状況把握、そして自動化が融合し、侵害が始まる前にそれを阻止することができる。

リアルタイムの洞察はContrastグラフから

今日の組織では、迅速な意思決定が必要だ。実用的なコンテキストを備えたインテリジェンスが必要だ。Contrastのバックエンドに大幅な変更を加えた。Northstarで、Contrastは最新のストリーミングデータアーキテクチャに移行し、アプリケーション、API、ライブラリ、攻撃、脆弱性、インフラ、ランタイムの挙動に関するテレメトリを単一の強力なモデルである「Contrastグラフ」に集約した。この拡張性の高いアプローチによって、何百万ものアプリケーションとAPIをリアルタイムでシームレスにサポートする。

その結果、アプリケーションセキュリティで新たなことが可能になった。Contrastグラフは、組織のアプリケーションとAPI環境のリアルタイムのデジタルツインであり、実際の攻撃経路をマッピングし、実行時の挙動を関連付けする。脆弱性、脅威、資産がどのように関連しているかが明らかになる。このような詳細で動的なコンテキストにより、従来のツールにつきものの推測作業がなくなる。そして、正確かつ自動化された優先順位付けと修正が可能になるため、各部門は実際のリスクに集中し、自信を持って作業できる。

これまでは、攻撃をコンテキストで見ることができなかったため、各部門で攻撃を阻止できなかった。Contrastグラフがそれを変える。

機能面で言えば、これから説明する新しいユーザエクスペリエンスとAIツールによって、新たな、より優れたワークフローが実現する。この強化されたワークフローの原動力となっているのが、Contrastグラフから得られるデータなのだ。

ユーザエクスペリエンスには混乱ではなく明確さを

新しいユーザエクスペリエンスにより、アプリケーション層の脅威が隠れることがなくなった。セキュリティ部門では以下が可能になる：

• 関連する脆弱性を考慮しながら、アプリケーション層全体にわたる攻撃の動きを観測
• 影響を受けるコンポーネントを迅速に切り分け
• 共有プラットフォームから各部門間(開発、アプリケーションセキュリティ、セキュリティ運用)の対応を調整

ロール固有のビューにより、各部門で必要とされる正確な可視性が得られる。デモをご覧頂くと、プラットフォームから、関連する攻撃の深刻度順にランク付けされた脆弱性について、常にリアルタイムでユーザに通知されていることが分かるだろう。さらに重要なのは、攻撃が脆弱性に到達すると、数秒以内に検知し、緊急のインシデントを明確に報告するということだ。これにより、攻撃の自動ブロックまたは手動ブロックが可能になる。また、必要なユーザに脆弱性にパッチを適用するように通知が送られる。

デモを見て、アプリケーションが攻撃されたら何が起こるかを確認してほしい。 

本当に重要なものを優先する

新しいユーザエクスペリエンスのデモをご覧になった方は、Contrastが動的スコアリングを導入していることに気付いたかもしれない。これは、本番環境で実際にリスクにさらされているものに基づいて、よりスマートに優先順位を付ける方法だ。

「Contrastスコア」は、CVSSv4とリアルタイムインテリジェンスを基盤とし、「Contrastグラフ」から得られるリアルタイムの洞察を取り入れている。全ての脆弱性に対して画一的に最悪のシナリオを想定するのではなく、次のような実行時の状況(ランタイムコンテキスト)を使用して、各スコアを動的に調整している：

• 実際の悪用可能性 — その脆弱なコードには実際に到達可能で、現在攻撃されているか？
• アクティブな脅威シグナル  — 攻撃者はこの経路を活発に探索(プローブ)しているか？
• 影響範囲 — 悪用された場合、システムのどの程度の範囲が影響を受けるか？
• ビジネス上の機密性 — この資産は重要なデータや規制対象データを扱っているか？

「重大」とラベル付けされた脆弱性で埋め尽くされたバックログの代わりに、明確で実行可能な優先順位 — つまりアプリケーションとAPIが実行中である現在、実際に脅威となっている小さなサブセットを把握できる。

Contrastスコアを利用しているユーザによると、静的スキャンで特定されたほとんどの脆弱性が攻撃を受けておらず、重要なサービスに影響を与えていないため、「高」と「重大」の検出結果が50%以上減少したという報告がある。つまり、ノイズやストレスが少なくなり、本当に重要なことへの対応が可能になる。

SmartFixで数分で修正 — Contrast初のエージェントAI

重大な脆弱性が攻撃を受けていることがわかったら、できるだけ早く修正したいものだ。そうするには、これまでは2つの方法があった。1つは、脆弱性の情報を開発者に送って手動で修正コードを書いてもらう方法。もう1つは、コンテキストの無い汎用的なAIアシスタントを使用してコードを修正する方法だ。但し、このようなAIアシスタントは、アプリケーションの脆弱性を十分に理解していないため、正確な推奨事項が提供されず効果がない方法だ。

そこで、Contrast AI SmartFixが登場する。

SmartFixは、実行環境を認識し、最適な修正方法を考え、対策を講じることができる、エージェント型AIだ。アプリケーションセキュリティテスト(SAST)、動的アプリケーションセキュリティテスト(DAST)、ソフトウェアコンポジション解析(SCA)技術を利用するAIツールとは異なり、SmartFixには、攻撃対象領域、完全なデータフロー、スタックトレース、HTTPリクエスト、既存のセキュリティ防御、利用可能なライブラリ、バックエンド接続などに関する情報がある。

Contrast AI SmartFixは、Contrastグラフのコンテキストを全て使用して、以下の内容を含むプルリクエストを生成する：

• コンテキストに応じた修正プラン(代替案を含む)
• 安全なコードパッチ
• 修正が適切であることを検証するためのテストケース

これは、単にAIが修正を提案するだけのものではない。対策を講じることができるインテリジェントなシステムなのだ。数週間ではなく数分で、検知から解決に至ることができるようになる。他のAIソリューションとは異なり、SmartFixは適切な解決策を実現するために必要なすべてのコンテキストを備えている。

Contrast MCPサーバ

AIの使用例は無限に広がっているように思える。しかし、AIからの出力は、入力データの品質に左右される。Contrastを導入することで、業界で最も詳細なアプリケーション層のセキュリティデータにアクセスできるようになる。

Contrast MCPサーバにより、組織はこの詳細なセキュリティコンテキストを安全なゲートウェイを経由してAIツールで活用できるようになる。できます。独自のAIエージェントを使用して、Contrastでリアルタイムに収集されるデータと直接対話できるようになる。

これは、人とAIのためのセキュリティインテリジェンスのゲートウェイである。

Contrast MCPサーバは、アプリケーション層の脅威を理解し、それに対処するためのゲートウェイだ。ランタイムコンテキストをセキュリティスタック全体に接続することで、人間であるアナリストとデジタルエージェントの両方が、迅速かつスマートに業務を遂行できるようになる。ログや静的なダッシュボードを精査する代わりに、ユーザは次のことが可能になる：

• ライブラリの使用状況データに基づいて、アプリケーション内の脆弱なライブラリの優先順位付けと修正
• 新たに発表された深刻度の高い脆弱性がアプリケーション全体に与える影響を素早く評価
• ランタイムクラスの使用状況データを利用して未使用のライブラリを迅速に特定して削除

ContrastのMCPサーバは、Contrastで検出された脆弱性を迅速かつ正確に修復するための修正戦略を生成するAIコーディングエージェントをサポートする。そして、これはIDEから離れることなく行える。 これは単なるツールではなく、インテリジェントで自動化されたセキュリティ運用の基盤となる。

デプロイハブ — 導入は迅速に、防御はさらに高速に

Contrastの導入が劇的にシンプルになった。「デプロイハブ」とは、導入初日からプラットフォームをすぐに使い始めるための司令塔だ。 エージェントの導入状況が可視化され、部門間でタスクを割り当てて管理し、関連する説明動画を直接参照できる。ステップバイステップのガイダンスにより、複雑な環境でも迅速かつ確実に設定できる。

実現できること：

• 価値をすぐに実感： 短時間でアプリケーションの保護を開始できる。Contrastを迅速に設定することにより、効率的なスキャンと攻撃のブロックが可能になり、より安全なアプリケーション環境へ迅速に移行できる。
• スマートなセットアップで迷わない：ガイド付きの分かりやすい手順で、ワークフローに従うだけだ。複数の説明を読み解き、つなぎ合わせるような作業はもう必要ない。
• 一元化された管理機能：サービス全体にわたるエージェントの導入状況の追跡、タスクの割り当て、問題の解決を全て単一の視覚的なダッシュボードから行うことができる。

「デプロイハブ」は、導入・展開の煩わしさを解消し、実装から効果測定へと注力できる。

フレックスエージェント — メンテナンスの手間を減らし、さらに加速

ContContrastの「フレックスエージェント」は、導入を自動化・簡素化し、言語、サービス、部門を問わずエージェントを最新の状態に保ち、一貫性を保つ。運用上の負担を軽減しながら、大規模なセキュリティ対策を実現するように設計されている。

実現できること：

• 言語にとらわれないシンプルさ：Java、.NET、Python、Node.jsでエージェントを簡単にデプロイ・更新できる。言語に関する深い知識は必要ない。
• 自動更新が常時稼働： 手動操作なしでセキュリティを確保できる。フレックスエージェントは、エージェントを常に最新バージョンに保つ。
• ROIの加速：セットアップの迅速化、作業中断の減少、継続的なカバレッジにより、セキュリティ対策の成果がより早く実現する。

迅速な導入と確実なカバレッジを支える、目に見えないエンジンだ。

インテグレーション — 既存の投資を強化

Contrastは、Splunk、Wiz、Sumo Logicなどの業界をリードするツールとシームレスに連携する。部門で既に利用されているプラットフォームでセキュリティに関する洞察を確実に手にいれるようになる。Contrastはグローバルパートナーの拡大を続け、アプリケーション層の防御を再定義していくる中で、今後数週間のうちにさらなるインテグレーションと戦略的パートナーシップを発表する予定だ。

お客様の声

Martha Gamez-Smith氏(情報セキュリティ責任者、 Texas Computer Cooperative |教育サービスセンター、リージョン20)：
「新機能を拝見し、大変喜ばしく思っています。Contrastは他の競合他者とは一線を画しており、他社にはない機能を感じています。おかげで、業務がより効率的で簡単になります。実際のデータを活用することで、当社の各部門はより効率的に作業をすることができます。」

パートナーの声

Ned Engelke氏(最高技術責任者、EVOTEK)：
「Contrastが際立っているのは、現代のセキュリティ運用にいかにうまく統合されているということです。Contrastグラフ、SmartFix、そしてMCPサーバは、ユーザがセキュリティツールにAIを効果的に導入するために必要なデータとツールを提供します。これは、単なるダッシュボードではなく、現実的な状況を踏まえた真の自動化です。」

業界リーダの声

Katie Norton氏(リサーチマネージャー、IDC)：
「AIが脅威の状況を大きく変え続ける中、アプリケーションセキュリティは従来の事後対応型スキャンから、よりリアルタイムでコンテキストを考慮した防御へと拡大しています。Contrastがランタイムインテリジェンス、統合ワークフロー、エージェントAIに注力しているのは、組織が最新の脅威に先手を打つための適応型セキュリティ戦略に向けた業界全体の流れと一致しています。」

Tyler Shields氏(主席アナリスト、Enterprise Strategy Group)： 
「セキュリティ運用プロセスをアプリケーションセキュリティインシデントおよび脆弱性検出機能と連携させることは、開発者、アプリケーションセキュリティ、セキュリティ運用部門間に存在するサイロを解消するための重要な一歩です。この広範なコンテキスト解析機能は、高度なAIベースの優先順位付けと自動修復に適しています。これは、今日のセキュリティ組織が必要とする重要なセキュリティ成果です。」

Chris Kissel氏(セキュリティ&トラスト製品担当リサーチバイスプレジデント、IDC)：
「SOCアナリストにとって、ADRの真価は、本番環境のアプリケーション内部から、コンテキストに富んだリアルタイムの攻撃情報を既存のワークフローに直接取り込むことができる点にあります。Contrastグラフによって強化された、これらの高精度のアラートによって、推測作業当が無くなり、誤検知が減り、各部門が最も重要な脅威を優先して迅速に対応することを可能にします。」

最新のAppSecが実際にどのようなものかを見てみよう

アプリケーション層を守るために、スキャン、WAF、EDR、バックログチケットにまだ頼っているのであれば、本当の脅威は見えない。そして、脅威を阻止することもできない。

Contrastは、アプリケーション内部をリアルタイムに可視化し、すぐに行動できる対応力を提供する。ノイズはいらない。推測に頼る必要もない。必要なのは、ただ答えだけ。