サービス

攻撃者が使える穴を見つけ、塞ぐ。

どこから始めるかわからなくても大丈夫です。現状を聞いてから、優先順位を提示します。

GIAC GWAPT認定・野村総合研究所出身の代表が最初から最後まで直接担当します。

01 セキュリティ診断 リスクを把握したい・システムが安全か確かめたい 02 セキュアシステム開発 既存システムを安全にしたい・最初からセキュアに作りたい 03 月次顧問 セキュリティの意思決定を継続的に相談したい
01
リスクを把握したい・システムが安全か確かめたい

セキュリティ診断

ツールは設定した範囲しか見ません。攻撃者はその外側を突きます。実際に悪用できる穴を特定し、次に何をすべきかが決まる報告書を出します。代表が直接担当します。

対応内容
  • リスク評価・優先順位付け(経営・戦略レベルの上流診断)
  • ネットワーク診断・Webアプリケーション診断・ペネトレーションテスト
  • LLM / RAG / AIエージェント固有の脆弱性評価(プロンプトインジェクション・データ漏洩・エージェント悪用)
  • クラウド権限・ネットワーク構成レビュー
  • 発見した脆弱性の修正支援・再診断
成果物
  • 脆弱性一覧とリスクレベルの評価レポート
  • 優先順位付きの対処ロードマップ
  • 推奨アクションと費用・期間の見積もり
02
既存システムを安全にしたい・最初からセキュアに作りたい

セキュアシステム開発

セキュリティは設計の一部です。後から足すより、最初から組み込む方が速く、確実です。代表が要件定義から本番まで直接担当します。途中で担当が変わることはありません。外部委託はしません。

対応内容
  • 既存システムの脆弱性診断 → 改修 → 再診断
  • ゼロからのセキュアなシステム要件定義・設計・実装
  • Zero Trust アーキテクチャの設計・実装(IAP / Cloud Armor / VPC 分離)
  • 設計レビュー・コードレビュー(攻撃耐性の観点)
  • AIシステム(LLM・RAG・エージェント)のセキュアな設計・本番導入
  • オンプレミスでのLLM運用(データを外部に出さない構成)
成果物
  • セキュリティ設計書・脅威モデル
  • 実装済みのシステム(インフラ含む)
  • 本番リリース判断と運用引き継ぎドキュメント
03
セキュリティの意思決定を継続的に相談したい

月次顧問

領域を問わず、上流の戦略・設計から下流の実装支援まで個別に対応します。CTO / CISO代行として、技術・セキュリティの意思決定を継続的にサポートします。診断・開発の契約は前提としません。

対応内容
  • 技術リスクを経営者が判断できる言葉に置き換えて整理
  • CTO / CISO 代行(経営会議への参加も可)
  • 月次レビュー・四半期ごとのリスク棚卸し
  • Slack 非同期対応(インシデント時は優先対応)
  • セキュリティ投資・ベンダー選定の助言
成果物
  • 月1〜2回のミーティング
  • インシデント発生時の初動サポート
  • 四半期リスクレポート
依頼の流れ
01

お問い合わせ

現在の状況や不安な点を教えてください。何が問題かわからない段階でも構いません。

02

ヒアリング・見積もり

課題とスコープを整理し、対応内容と費用をメールでお伝えします。

03

契約・着手

合意後、速やかに開始します。代表が直接担当します。外部への再委託はしません。

04

納品・フォロー

成果物の納品後も、疑問点や追加対応に応じます。

よくある質問
自動ツールによる診断と何が違いますか?
自動ツールも活用しますが、それだけでは見えないリスクがあります。アプリケーション固有のビジネスロジック・認証フローの抜け・権限昇格など、文脈を読まないと気づけない箇所は攻撃者の視点で個別に確認します。また、最新のLLM・AIシステム固有の脆弱性(プロンプトインジェクション・データ漏洩・エージェントの悪用)にも対応しています。
診断中に本番システムへの影響はありますか?
通常の診断でシステムが停止・破損することはありません。ただし、DoS耐性テストなど一部の高負荷項目は事前に除外または調整したうえで実施します。本番・ステージングどちらでも対応可能ですが、初回はステージング環境を推奨しています。
報告書は経営者にも読めますか?
報告書はエグゼクティブサマリー(ビジネスリスクと優先度)と技術詳細の2部構成で作成します。経営判断の材料として使っていただける構成です。
診断後、脆弱性の修正も依頼できますか?
対応方針の説明と優先順位付けは診断に含まれます。コード修正・設定変更の実作業は別途セキュアシステム開発としてご相談ください。月次顧問では修正後の再確認も継続的に対応します。
AWS・GCP・Azureなどクラウド環境も診断できますか?
対応しています。IAM設定・ネットワーク構成・ストレージ権限など、クラウド固有のリスクも診断します。クラウドプロバイダーへの事前申請が必要な場合は要否含めてご案内します。
社内にセキュリティ担当者がいなくても相談できますか?
できます。セキュリティの問題かどうか判断がつかない段階でも構いません。月次顧問では、社内に担当者を置かない状態のまま、外部から継続的に判断を支援します。
費用の目安を教えてください
スコープと規模によって変わります。Webアプリ診断(小〜中規模)であれば数十万円台からご相談を受けています。ヒアリング後にメールでお伝えします。
どのくらいの期間がかかりますか?
ヒアリング・スコープ合意から報告書納品まで、Webアプリ診断で2〜3週間が目安です。診断作業自体は1〜2週間です。開発案件はスコープにより異なります。
月次顧問は診断や開発の契約が前提ですか?
前提ではありません。単独でご契約いただけます。
対応実績を教えてください
守秘義務の観点から個社名の公開はしていません。金融・SaaS・医療・製造など各業種、従業員数十名〜数千名規模の企業に対応しています。詳細はお問い合わせ時にお伝えします。
受注数に限りはありますか?
あります。品質を保つために受注数を絞っています。現在の受け入れ状況はお問い合わせ時にご確認ください。

話を聞くだけでもいい。

どこから手をつければいいかわからない段階でも受け付けます。

相談する