AIで作ったそのツール、
セキュリティ大丈夫ですか?
バイブコーディング・格安AI開発・自前構築のWebアプリを、
実務エンジニアが手動でセキュリティ診断します。
コードの共有なし・19,800円から。
こんな状況、当てはまりませんか?
Claude CodeやCursorで業務ツールを作った。動いているが、セキュリティを確認したことがない。
格安の開発者にAIで作ってもらった。コードの中身はよくわからない。
VPSを借りてサーバーを立てた。ファイアウォールの設定はとりあえずのまま。
アプリをリリースして1年以上、ライブラリのアップデートをほとんどしていない。
個人情報や業務データを扱うシステムだが、セキュリティレビューを一度もしていない。
自動スキャンツールを試したことはあるが、結果が英語でよくわからなかった。
APIキーの管理方法が「なんとなく」になっている。
なぜリスクが生まれるのか
原因と典型的な問題パターンを短く説明します。
AIが書いたコードの落とし穴
AIは「動くコード」を書くのが得意ですが、「安全なコード」は別の話です。
自前構築・放置システムのリスク
「とりあえず動いている」状態のサーバーは、自動攻撃の標的になりやすい。
自動攻撃は「大企業だから狙う」のではありません。
総当たりで獲物を発見し、脆弱な設定をスキャンして、自動的に侵入を試みます。
まず、現状を知るところから。
コードを共有せず、ヒアリングだけで始められます。
セキュリティヒアリング診断
より深く確認したい方へ
ソースコードの手動レビュー、またはインフラ実地検査まで。
A. セキュリティ診断
(ソースコード)
B. セキュリティ診断
(ソースコード+インフラ)
他のサービスとの違い
サンプルレポート
架空のアプリケーションに対するセキュリティ診断レポートのサンプルです。
本レポートはソースコードレビューに基づく診断であり、すべての脆弱性検出や安全性を保証するものではありません。
診断結果サマリ
主要な指摘事項(抜粋)
アクセストークンが平文で保存されている
DBの access_tokens テーブルにトークン値が平文保存
DB漏洩・ログ漏洩時に、そのまま不正ログインに悪用可能
トークンは復元不能な形(ハッシュ等)で保管し、失効・期限管理を行う
ユーザ入力HTMLが無検証で表示される(XSS)
プロフィール/投稿本文がサニタイズなしでレンダリング
管理画面含む任意ユーザのブラウザ上でスクリプト実行→トークン窃取・操作
表示コンテキストに応じたエスケープ/サニタイズ方針を定義し、許可タグのみ通す等の制御を行う
保護APIの認可(Authorization)テストが存在しない
API疎通とシナリオテストはあるが、権限違いの拒否ケースが不足
認可漏れは気付きにくく、本番公開後にデータ漏洩につながりやすい
重要APIについて「許可される/拒否される」両面のテストを用意し、ロール・テナント境界を含めて検証する
High 2件、Medium 2件 の指摘を含む、全7件の詳細は完全版レポート(PDF)をご確認ください。
実績・特長など
「自動スキャン」ではありません
- 「自動ツールでスキャンして終わり」のサービスとは違います。実際に現場で手を動かしているエンジニアが、ソースコードやインフラをレビューしています。
「魚と子どものネットワーク」さんなど、事例多数
- 設計段階からTLS・DB暗号化・個人情報の自動削除を実装
- Grafana/Lokiによる監視体制を構築・運用中
自社SaaS開発・インフラ運用実績
自社サービスの開発・運用を通じて、セキュリティとインフラの実務経験を蓄積。
理論だけでなく、実際に手を動かして運用しているエンジニアです。
セキュリティ情報発信
noteなどでセキュリティ記事連載を実施。
実務で培った知見を、わかりやすく継続的に発信しています。
ご利用の流れ
ヒアリング診断の場合
お問い合わせ
下記フォームからお申し込みください
ヒアリングシート送付
メールでヒアリングシートをお送りします
ご記入・返送
シートにご記入いただき、返送ください
レポート納品
リスクサマリレポートを数日以内に納品
オンライン説明
レポートをご説明します(30〜45分)
セキュリティ診断(A/B)の場合
お問い合わせ
ヒアリング診断を経た方、または直接ご相談
ご契約・コード共有・インフラ検査事前準備
NDA対応可。安心してコードをお預けいただけます
診断実施
手動レビュー・実地検査を実施
レポート説明MTG
診断結果をご説明します(30〜45分)
セキュリティ事故は
「起きてから対応」では遅いことがあります。
まずは現状を知るところから。