0%増
脆弱性悪用による攻撃(前年比)
Verizon DBIR 2025
AIコード・新規Webサービス向け脆弱性診断サービス
AIが作ったコードを、
誰がセキュリティチェックしましたか?
AIは動くコードを生成するが、セキュリティを「保証」しない。
ChatGPT・GitHub Copilot・Cursorで作られたWebサービスも、
攻撃者はその見落としを今日も探している。
1サービス 5万円〜
OWASP Top 10準拠
簡易レポート付き
Risk posture
診断中…
High ⚠
認証・権限
管理画面アクセス制御
Medium
入力検証
XSS / Injection確認
Info
設定確認
ヘッダー・TLS・公開情報
0時間
公開後にスキャンを受け始めるまでの目安
セキュリティ研究 / Shodan
0%
Webアプリで「アクセス制御の不備」が検出される割合
OWASP Top 10 2021
AIコードのリスク
AIで速く作れるようになった分、
見落としも速く生まれる
ChatGPT・GitHub Copilot・Cursor等のAIツールで開発されたコードは、 機能的には動いても、セキュリティ的に安全とは限りません。
認証ロジックの抜け
AIが生成した認証コードには、セッション管理の不備や権限チェックの省略が混入しやすい。「動くコード」が「安全なコード」とは限らない。
入力値処理の省略
SQLインジェクション・XSSへの防御コードをAIが省略・誤実装するケースがある。プロンプトにセキュリティ要件を明示しないと対策は入らない。
設定・依存関係の油断
古いライブラリや安全でないデフォルト設定がそのまま本番に出やすい。AIはコードを提案するが、環境の安全性は確認しない。
開発者自身が気づいていない脆弱性こそ、第三者による診断で初めて可視化される。
根拠に基づいた危機感
Webサービスを狙う攻撃は、
事業リスクとして無視できません。
IPA 情報セキュリティ10大脅威 2026
AI利用リスクが組織向け脅威に初選出
IPAは2026年版で「AIの利用をめぐるサイバーリスク」と「システムの脆弱性を悪用した攻撃」を組織向け脅威に挙げています。
出典を見る →Verizon DBIR 2025
脆弱性悪用は主要な初期侵入経路
Verizonの2025年レポートでは、脆弱性悪用が侵害の初期アクセスとして前年比34%増加していることが示されています。
出典を見る →OWASP Top 10
Webアプリの代表的リスクを体系的に確認
アクセス制御、暗号化、Injection、設定不備など、Webアプリで重要な観点を診断項目に反映します。
出典を見る →診断サービス
公開中・公開前のWebサービスを、
現実的な範囲から診断します。
診断対象
- Webアプリケーション
- LP付きSaaS・会員制サイト
- ログイン機能・管理画面
- APIを持つサービス
診断内容
- 自動診断と主要リスク確認
- 認証・権限・入力系のチェック
- 設定・公開情報・セキュリティヘッダー確認
- 改善優先度付きの簡易レポート提出
診断にはOWASP ZAPなどのセキュリティ診断ツールを活用します。ツール名よりも、見つけるべきリスクと改善につながる報告を重視します。
主な診断項目:SQLインジェクション、クロスサイトスクリプティング(XSS)、認証・セッション管理の不備、アクセス制御の欠落、セキュリティ設定ミス(OWASP A05)、機密データの露出、古い依存ライブラリの脆弱性。
得られる価値
技術面の不安を、
事業判断できる情報に変えます。
開発者向け
リリース前後の不安を減らし、AI生成コードや急いで実装した機能の見落としを確認できます。第三者の目が入ることで、コードの信頼性が上がります。
経営者向け
情報漏洩・ブランド毀損・法的リスクを事前に把握し、投資対効果の高い対策を取れます。顧客への説明責任を果たすための根拠にもなります。個人情報保護法対応や取引先・投資家からのセキュリティ確認にも活用いただけます。
料金・プラン
脆弱性診断ライトプラン
50,000円〜 / 1サービス
初期ヒアリング、診断、簡易レポート、改善優先度の提示までを含む、最初に始めやすいプランです。
診断の流れ
最初の相談からレポート提出まで、
迷わず進められます。
-
無料相談
サービス概要、URL、診断したい範囲を確認します。
-
対象範囲の確認
ログイン有無、画面数、API有無、注意点を整理します。
-
診断実施
自動診断と主要リスク確認を組み合わせて実施します。
-
レポート提出
検出内容、影響、改善優先度を簡易レポートで共有します。
-
改善相談
修正方針や再確認が必要な箇所を相談できます。
FAQ
よくある質問(Web脆弱性診断サービスについて)
AIで作ったサービスでも診断できますか?
可能です。AI生成コードやAI支援で短期間に開発したサービスでも、認証、権限、入力値、設定などの観点から確認します。
AIで作ったサービス特有の診断はありますか?
はい。AIコードに多いパターン(認証ロジックの省略、入力値処理の不備、依存関係の未更新など)を重点的に確認します。
公開中のサービスでも大丈夫ですか?
可能です。事前に対象範囲と注意点を確認し、サービス影響を抑えた範囲で診断します。
診断でサービス停止は起きませんか?
負荷の高い検査や破壊的な操作は事前合意なしに行いません。必要に応じて検証環境での診断をおすすめします。
5万円でどこまで見てもらえますか?
ライト診断では、対象範囲を絞った初期診断、簡易レポート、改善優先度の提示を行います。画面数やログイン有無により見積もりが変わります。
ZAPとは何ですか?
OWASP ZAPはWebアプリケーションの脆弱性診断に使われるオープンソースのセキュリティ診断ツールです。本サービスでは補助ツールの一つとして活用します。
ペネトレーションテストと脆弱性診断の違いは何ですか?
脆弱性診断は、既知の脆弱性パターンや設定不備を体系的にスキャンし、リスクの優先度とともに報告します。ペネトレーションテストはさらに一歩踏み込み、実際の攻撃者と同じ手順で侵入を試みる演習です。本サービスのライト診断は脆弱性診断に分類され、まず「どこに何のリスクがあるか」を把握したい段階に適しています。
診断にはどのくらいの期間がかかりますか?
無料相談から診断完了・レポート提出まで、対象範囲にもよりますが通常1〜2週間程度です。事前ヒアリングと対象範囲の確認(1〜3日)、診断実施(3〜5営業日)、レポート作成・共有(2〜3日)の流れです。お急ぎの場合はご相談ください。
OWASP Top 10とは何ですか?
OWASP(Open Worldwide Application Security Project)が定期的に公開する、Webアプリケーションで最も重大なセキュリティリスクのトップ10です。最新版(2021年)にはアクセス制御の不備、暗号化の失敗、インジェクション(SQLインジェクション・XSS等)、設定ミスなどが含まれます。本サービスではOWASP Top 10を診断の基準軸として使用しています。
Vibe codingやノーコードで作ったサービスも診断できますか?
可能です。Vibe coding(AIに自然言語でコードを書かせる手法)やノーコードツールで構築したサービスも、Webアプリケーションとして動作している限り診断対象となります。コードの書き方に関わらず、認証・入力値処理・設定の観点からリスクを確認します。
リリース前のサービスでも診断してもらえますか?
はい、公開前のサービスでも診断いただけます。本番公開前に診断することで、脆弱性を修正してからリリースできるため、より安全です。ステージング環境や検証用URLがある場合はそちらを対象に診断します。公開済みサービスと公開前サービスどちらも対応しています。
診断レポートはどのような形式で受け取れますか?
検出された脆弱性の一覧、それぞれの深刻度(高・中・低)、想定される影響、改善優先度を記載した簡易レポートをPDFまたはドキュメント形式でご提出します。技術担当者だけでなく、経営者・事業責任者が読んで意思決定できる構成を意識しています。
社内の開発者がいますが、外部診断が必要な理由はありますか?
社内開発者は自分が書いたコードの意図を知っているため、自分の「思い込み」に基づくセキュリティホールを見逃しやすい傾向があります。外部の第三者が診断することで、実装者の視点とは独立した観点からリスクを発見できます。これは「自分の文章は自分で校正しにくい」のと同じ原理です。
5万円は他社と比べて高いですか?
一般的な脆弱性診断サービスは数十万〜数百万円が相場です。ライト診断の5万円〜は、特に初めて診断を受けるスタートアップ・個人開発者・小規模事業者が「まず現状を把握する」ための入口として設計した価格帯です。大規模な診断が必要な場合は別途お見積もりします。
Start with assessment
不安を残したまま、
サービスを伸ばさないために。
まずは対象サービスと現在の状態を確認し、必要な診断範囲を整理します。