「セキュリティ診断」に専門家は必要ない時代へ
「Webセキュリティの診断をしたい」と思っても、従来は高いハードルがありました。
- 専門のセキュリティ会社に依頼すると数十万〜数百万円かかる
- 自社のエンジニアがいなければ、診断結果を読み解くことすらできない
- 診断レポートが英語や専門用語だらけで、経営者には意味が理解できない
AIの登場で、この状況は大きく変わりました。URLを入力するだけで、65項目の診断を数分で完了できる時代が来ています。
SELF-CONSULTINGが提供する「Custos(クストス)」は、まさにこのコンセプトで設計されたAI Webセキュリティ診断サービスです。
Custosが65項目でチェックする4つのカテゴリ
一般的なセキュリティツールが見落とすレベルまで、Custosは4つの層から徹底チェックします。
🌐 ネットワーク層(18項目)
HTTPS / TLS 1.3 設定、SSL証明書の有効期限、混在コンテンツ(Mixed Content)、HSTSの設定状況、CDN / WAFの導入確認、サードパーティライブラリの脆弱性など。サイトへの入り口であるネットワーク層のリスクを網羅的にスキャンします。
🖥️ アプリケーション層(22項目)
Content-Security-Policy(CSP)、X-Frame-Options(クリックジャッキング対策)、Cookie属性(Secure / HttpOnly / SameSite)、XSS・CSRF対策、バックアップファイルの露出、エラーメッセージによる情報漏洩など。Webアプリケーション特有のリスクを22項目で診断します。
🔐 認証・認可(14項目)
管理画面・ログインページの露出、デフォルト認証情報のチェック、ブルートフォース攻撃対策、レート制限の実装、多要素認証(MFA)の推奨など。不正ログインを防ぐ認証周りのセキュリティを14項目で確認します。
📡 情報漏洩・継続監視(11項目)
SPF / DKIM / DMARCの認証設定、HaveIBeenPwned連携による情報漏洩監視、NVD連携CVE新着脆弱性通知、APIキー・秘密鍵の露出検知、ドメイン有効期限監視、サイト改ざん検知など。
これら65項目を、人間のエンジニアが手動でチェックすれば数日かかる作業を、AIは数分で完了します。
Custosを使ってみると、何がわかるか
実際にCustosを使ったとき、流れは次のとおりです。
① URLを入力してスキャン開始
診断したいWebサイトのURLを入力してスキャンを開始。所有者確認後、AIが自動的に65項目の診断を開始します。設定や専門知識は一切不要です。
② 3〜5分で診断完了、日本語レポートを受信
スキャン完了後、「危険度レベル(Lv.1〜5)」の5段階で整理された日本語レポートが生成されます。Lv.5(緊急)〜Lv.1(情報)の順に、対処すべき優先度が一目でわかります。
③ 修正ガイドで「何をすればいいか」がわかる
発見された脆弱性ひとつひとつに、「何が問題で、どう修正すればよいか」の具体的なガイドが付きます。詳細診断(¥6,980)では修正コード例まで提供されるため、エンジニアへの依頼書としてそのまま使えます。
④ 継続監視で「守られた状態」を維持
月額¥12,800の継続監視プランに移行すると、毎月自動でスキャンが繰り返され、新しいCVEが公開されるたびにアラートが届きます。診断して終わり、ではなく「守り続ける仕組み」が整います。
実際に検知された脆弱性の事例
EC・小売業(従業員20名)
TLS設定の不備(Lv.5/緊急)と古いWordPressプラグインの既知脆弱性(Lv.4/危険)を初回スキャンで検出。修正ガイドをもとに1週間で対処完了。放置していれば顧客情報1.8万件が漏洩するリスクがあった。推定被害額2,800万円を回避。
士業・専門家(事務所)
DMARCが未設定で、メールドメインのなりすましが可能な状態を検知。顧問先50社への偽請求書送付リスクを回避。同月、業界全体でなりすまし攻撃が多発していた。
初回スキャンは1ドメイン無料で利用できます。まず「今の状態を知ること」が、すべての対策の第一歩です。