中小企業向け 月次セキュリティ健康診断
AI特命室セキュリティ点検サービス
WordPress、Nextcloud、社内Webアプリ、公開サーバー、ソースコード、依存ライブラリの危険箇所を、AI、ClearWing等のOSS診断基盤、人間SEの確認で月次点検するサービスです。
月次レポート
人間SE確認
許可範囲だけ実施
サービスの位置づけ
AI特命室本体は、業務全体を支援するAI秘書・AIエージェント導入サービスです。本サービスは、その中から「セキュリティ点検」だけを切り出し、まず月次点検として始めやすくした入口商品です。
本サービスは攻撃代行ではありません。取引先説明、監査、保守品質の底上げ、放置リスクの早期発見を目的とした、防御のための月次セキュリティ健康診断として提供します。
対象となるお客様
Webサイトを運用中
WordPress、ECサイト、企業サイト、LPなどを持ち、危険な公開状態を早めに見つけたい会社。
専門担当が薄い
情シス担当が兼任または不在で、サーバー、コード、設定の点検まで手が回らない会社。
説明責任がある
取引先要求、監査、補助金、保険などでセキュリティ対策の説明が必要な会社。
点検対象の単位
プラン上限は「対象枠」で数えます。対象枠1つは、原則として以下のいずれか1件です。
- Webサイト1件、主ドメインまたはサブドメイン1件
- サーバー1台、VPSまたはクラウドVM 1台
- GitHub / GitLab 等のソースコード保管場所1件
- Nextcloud等の業務Webアプリ1環境
- DNS / メール設定1ドメイン群
- クラウド管理テナント1件
同一サイトでも、管理画面、CMS、公開サーバー、関連APIが明確に分かれる場合は、範囲確認のうえ複数枠として扱うことがあります。
標準サービス範囲
外部公開面チェック
公開ポート、SSH、VPN、管理画面、TLS証明書、HTTPセキュリティヘッダ、DNS、WAF / CDN、不要サービスを確認します。
内部設定・コードチェック
OS、ミドルウェア、WordPress、Nextcloud、権限、ログ、バックアップ、ソースコード、依存ライブラリを許可範囲で確認します。
ソースコード診断
秘密情報混入、危険な認証処理、入力値検証不足、SQLインジェクション、XSS、SSRF、任意ファイル操作、外部コマンド実行の疑いを確認します。
依存ライブラリとCVE確認
package.json、requirements.txt、composer.json、Gemfile、Dockerfile、lockファイル、OSパッケージ情報から既知脆弱性と更新優先度を確認します。
月次AI診断レポート
経営者向け要約、技術詳細、緊急対応項目、前回差分、未対応項目、次にやるべき3項目、人間SE確認コメントを整理します。
優先度の整理
緊急、注意、情報に分け、経営判断と技術対応の両方で使いやすい日本語レポートにします。
プランと価格
AI特命室本体の半額を基準に、初期費用と月額運用費用を設定しています。価格はすべて税別です。
| プラン | 対象数上限 | 初期費用 | 月額運用費用 | 主な内容 |
|---|---|---|---|---|
| ライト | x1 | 32,000円〜 | 49,000円 / 月 | 対象1枠、月1回簡易点検、日本語レポート、優先度付き改善提案 |
| スタンダード | x2 | 64,000円〜 | 99,000円 / 月 | 対象2枠、外部公開面、内部設定・コード、CVE、月次レポート |
| プロ | x4 | 160,000円〜 | 199,000円 / 月 | 対象4枠、詳細点検、改善ロードマップ、月次報告会 |
x4を超える対象は個別見積です。正式見積は対象範囲を確認してから確定します。
各プランの使い分け
ライト
Webサイト1件、小規模なソースコード保管場所1件、小規模な公開サーバー1台をまず点検したい場合に向いています。
複数サイト、複数システム、複数コード保管場所はスタンダード以上を推奨します。
スタンダード
Webサイトとコード、Webサイトとサーバー、WordPressとDNS / メール設定など、中小企業の標準構成に向いています。
初期リリース時の主力プランです。
プロ
複数サイト、Nextcloudや業務アプリ、DNS / メール、バックアップ、複数サーバーを継続管理したい場合に向いています。
取引先説明や監査対応が必要な会社にも適しています。
追加オプション
初回深掘り診断
WordPress重点点検
Nextcloud重点点検
DNS / メールセキュリティ点検
バックアップ・復旧点検
クラウド設定点検
従業員向けミニ研修
緊急対応オプション
修正代行オプション
認可済みPoC検証・ペネトレーションテスト
PoC検証やペネトレーションテストは標準サービスには含めません。必要な場合のみ、対象範囲、実施時間、停止条件、緊急連絡先を明記した別契約のオプションとして実施します。
AI・OSS診断基盤の使い方
ClearWing等のOSS診断基盤とAIを活用し、危険箇所の候補を広く抽出します。抽出結果はそのまま納品せず、人間SEが誤検知、影響度、優先度を確認し、経営者向け要約と技術担当者向け改善メモに整理します。
OSS診断基盤を使うことでブラックボックス感を抑えながら、ニリアコットの運用設計、日本語レポート、許可範囲管理を組み合わせて提供します。
OSSライセンスに関する表示
ClearWing等のOSS診断基盤を利用する場合は、各OSSのライセンス条件に従い、必要な著作権表示、ライセンス表示、出典表示を提供資料またはレポート内で明記します。OSS名、採用範囲、ライセンス条件は実運用時に確認し、OSS診断結果を完全性の保証として扱いません。
安全運用ルール
- 許可のない第三者サイト、第三者IPへの診断は行いません。
- 顧客が所有または管理し、書面またはメールで許可された対象だけを点検します。
- 外部点検は原則として非破壊の確認に限定します。
- PoC実行、侵入試行、認証突破試行は標準サービスに含めません。
- 内部点検は顧客から提供された権限の範囲内で確認します。
- 不要な個人情報や秘密情報は取得しません。
- 修正作業は顧客承認、バックアップ、影響範囲確認、切り戻し手順確認後に実施します。
ローカルLLM・閉域実行について
ローカルLLM利用は、標準サービスでは原則として提供しません。診断品質がハードウェア、特にメモリ容量に強く依存し、中小企業向けの月次点検サービスとして標準化しにくいためです。
外部AI利用を禁止している、閉域環境での診断が必須である、専用ハードウェア調達を含めて設計する必要がある場合は、標準プランではなく、個別構築またはAI特命室本体の導入案件として扱います。
成果物
月次レポート
経営者向け要約、緊急・注意・情報の一覧、技術詳細、対象範囲、未確認範囲、前回差分、対応済み / 未対応、次にやるべき3項目をまとめます。
技術担当者向け修正メモ
何が問題か、影響、推奨対応、確認コマンドまたは確認画面、注意点、切り戻し観点を整理します。
経営者向け要約
今月の危険度、すぐ判断が必要な項目、放置した場合のリスク、必要な予算や作業時間の目安、次回までの推奨アクションを示します。
サービス提供フロー
- 初回相談
- 対象範囲の確認
- 許可書またはメールでの実施合意
- 初期費用の見積と合意
- 初回点検
- 人間SE確認
- 初回レポート提出
- 修正要否の相談
- 月次点検へ移行
- 必要に応じて修正代行、深掘り診断、PoC検証を追加
AI特命室本体への導線
月次点検だけでなく、点検、報告、改善管理を社内で継続したい場合は、AI特命室本体への移行も提案できます。セキュリティ点検を内製化したいお客様には、AIエージェント導入と運用移管を含めて設計します。
利用条件・免責・点検許可
- 点検対象は、顧客が所有または管理し、事前に許可されたドメイン、IP、サーバー、コード保管場所、クラウド環境に限定します。
- 点検開始前に、対象範囲、実施時間帯、提供権限、連絡先、停止条件を確認します。
- 標準サービスは非破壊の確認を前提とし、PoC実行、侵入試行、認証突破試行、負荷の高い検証は含みません。
- 診断結果は、確認時点の情報に基づくリスク候補と改善提案です。将来の侵害防止、完全性、網羅性を保証するものではありません。
- 修正作業は自動実行せず、内容確認、顧客承認、バックアップ、影響範囲確認、切り戻し手順確認後に別途実施します。
- 外部AIを利用してコードや設定を確認する場合は、取り扱い方針を事前に説明し、必要な同意を得た範囲で実施します。
- PoC検証やペネトレーションテストを行う場合は、標準サービスとは別に、追加許可書と個別契約を用意します。
まずは対象範囲の確認から
Webサイト、サーバー、コード、Nextcloud、DNS / メールなど、どこまで点検すべきか分からない段階でも相談できます。対象範囲を整理したうえで、ライト、スタンダード、プロ、または個別見積のどれが適切か提案します。
