まずは無料相談から お問い合わせ →
強み 診断内容 AI対応 成果物 無料診断 FAQ お問い合わせ
Balcony Security | 脆弱性診断サービス

WHITE HACKER SECURITY

脆弱性を、攻撃者より先に見つける。

OpenAI・Grokのレッドチーム経験者による手動診断。生成AIシステムを含む最新の攻撃手法に基づいた精密な脆弱性診断を、スタートアップならではの機動力とコストパフォーマンスで提供します。

無料相談を申し込む 診断内容サンプルを見る
OWASP準拠
手動診断ファースト
AI/LLM診断対応
初回見積・ヒアリング無料
balcony_scan.sh
$./pentest --target api.client.com
# Initializing vulnerability scan...
[✓]Auth bypass test → PASS
[!]IDOR detected → /api/orders/{id}
[✗]Prompt injection → VULNERABLE
[!]CORS misconfigured → origin:*
[✓]SQL injection → PASS
[✗]Privilege escalation → FOUND
# Generating report...
$
こんな方に選ばれています
生成AI機能を開発・提供している
LLMを組み込んだサービスのプロンプトインジェクションや情報漏洩リスクを専門的に診断します。
スタートアップ・中小企業である
大手セキュリティ企業ほどのコストをかけずに、実力派ハッカーによる手動診断が受けられます。
リリース前・調達前にセキュリティを固めたい
投資家・顧客へのコンプライアンス対応、リリース前の最終確認として実績づくりができます。
Why Balcony

選ばれる理由

スキャナーツールに頼った自動診断では見つからない脆弱性を、実力派ホワイトハッカーが手動で特定します。

01
AIレッドチームの実績
OpenAI・Grokのレッドチームに参画した経験を持つエンジニアが診断を担当。最新のAI攻撃手法を熟知した専門家が、プロンプトインジェクションをはじめとするLLM特有の脆弱性を網羅的に検証します。
Redteam Certified
02
専門家による手動診断
ビジネスロジックの欠陥や複合的な権限昇格など、スキャナーでは検出困難な脆弱性をホワイトハッカーが手動で検証。OWASP標準に準拠した体系的アプローチで網羅性を担保します。
Manual First
03
生成AIシステムへの専門対応
LLMを組み込んだシステムの診断に早期から対応。プロンプトインジェクション・ジェイルブレイク・エージェント逸脱・RAGデータ汚染など、AI固有の攻撃ベクタを包括的に検証します。
AI-Native Security
04
スタートアップの強みを活かした価格設定
少数精鋭チームで管理コスト・間接費用を最小化。浮いたコストをお客様への価格に還元し、高品質な診断をリーズナブルにご提供します。
Lean & Efficient
Services

診断サービス

OWASP WSTG / OWASP Top 10 / OWASP API Security Top 10 / OWASP ASVS に準拠した4カテゴリの包括的な脆弱性診断を提供します。

// 01
Webアプリ診断
Webサイト全体のセキュリティを包括的に検証します
  • 認証・セッション管理(Cookie属性, CSRF, トークン寿命/ローテーション)
  • 認可・権限昇格(ロール別の水平・垂直昇格, IDOR)
  • 入力検証・注入(XSS, SQLi, OS Injection, ファイルアップロード)
  • セキュリティヘッダ(CSP, CORS, HSTS, 情報露出)
  • 業務ロジックの整合性(確定/解除/割付/CSV取込など副作用のある操作)
// 02
API診断
APIエンドポイントの認証・認可・データ保護を検証します
  • 認証/認可(トークン・スコープ・所有者強制)
  • Mass Assignment / BOLA / BFLA
  • ペイロード検証(型・境界・サイズ)
  • エラー情報露出・レート制御
  • SSRF / IMDSv2 / CORS / 監査イベント適正化
// 03
クラウド診断
AWS / GCP / Azure の設定・構成をセキュリティ監査します
  • CISベンチマーク基準の認定スキャン
  • 脆弱性スキャン・機微情報スキャン
  • パッチ適用状況の確認
  • 認証情報探索・ストレージの悪用確認
  • 誤設定されたサービスの悪用リスク評価
// 04
プラットフォーム診断
サーバー・ネットワーク基盤の安全性を確認します
  • ポートスキャン(開放ポート・潜在リスク洗い出し)
  • メールサーバー(不正中継・暗号化設定確認)
  • DNSサーバー(キャッシュポイズニング・なりすまし防止)
  • Webサーバー(既知脆弱性・不要ポート・ソフトウェア構成)
  • FW・FTPサーバーの通信制御・認証設定の妥当性確認
AI
AI Security

生成AI時代の
新たな脅威

LLMを組み込んだシステムには、従来の診断では対応できない攻撃ベクタが存在します。Balconyは業界最前線のAIセキュリティ専門家が対応します。

プロンプトインジェクション
Direct / Indirect インジェクションによる命令乗っ取り、システムプロンプト漏洩、ガードレール回避を検証します。
エージェント逸脱・権限昇格
AIエージェントが外部ツールやAPIを通じて意図しない操作を行う「Agentic Attack」シナリオを網羅的に検証します。
RAG・ベクトルDB汚染
RAGシステムへのデータポイズニング、埋め込み操作、ナレッジベース改ざんのリスクを評価します。
// AI Vulnerability Assessment
attack_vector: "prompt_injection"
target: "LLM-integrated API"
severity: CRITICAL
payload: "Ignore previous instructions..."
result: SYSTEM_PROMPT_LEAKED
remediation: {
priority: P0,
fix: "Input sanitization + guardrails"
}
// OWASP LLM Top 10 compliant
LLM01 Prompt Injection LLM02 Insecure Output LLM06 Sensitive Disclosure
Deliverables

想定成果物

診断の透明性を最大化するため、発見の都度ご報告し、是正対応が完了するまで一貫してサポートします。

中間レポート
診断中に発見した主要所見を速報として共有。早期是正が望ましい事項は診断完了を待たず即時お伝えします。
最終報告書
診断結果のサマリーと技術詳細(再現手順・影響・修正方針)をまとめた報告書を提出します。
無償再確認
是正後の同一スコープ再診断を、診断完了から3ヶ月以内であれば無償で実施します。
Free Assessment

見積時に
無料診断

お見積りのヒアリング時に、対象システムの一部を実際に診断。脆弱性が見つかった場合はその場で情報をお伝えします。

契約前に診断品質を確認
見積りの段階で実際に手を動かして診断。技術力を見てから発注を判断できます。
自社のリスクを具体的に把握
発見された脆弱性の深刻度や影響範囲を共有。「実際にどんなリスクがあるのか」を肌感覚で理解できます。
セキュリティ対策の検討材料に
見つかった事実をもとに、対策の必要性や優先度を社内で具体的に議論できます。
認証バイパス
CRITICAL
APIトークンの検証に不備があり、未認証の状態で保護されたエンドポイントにアクセスできることを確認しました。
API認証OWASP A07
プロンプトインジェクション
CRITICAL
LLM機能への入力操作により、システムプロンプトの内容が外部に漏洩する経路を発見しました。
AI/LLM情報漏洩LLM01
IDOR(安全でない直接オブジェクト参照)
HIGH
/api/orders/{id} のパラメータ操作により、他ユーザーの注文情報を参照できる状態です。
API認可OWASP A01
CORS設定不備
MEDIUM
Access-Control-Allow-Origin がワイルドカード設定になっており、意図しないオリジンからのリクエストが許可されています。
設定CORS
* 見積り時の診断で実際に検出された所見のイメージです
FAQ

よくある質問

診断期間はどのくらいかかりますか?
診断対象の規模や複雑さにより異なりますが、概ね1か月〜2か月程度が目安です。まずはヒアリングの上、スコープに合わせた見積をご提示します。
本番環境での診断はできますか?
本番環境・ステージング環境どちらでも対応可能です。本番環境での診断は業務影響を最小化するスケジュール調整を行い、破壊的な操作は原則行いません。詳細はヒアリング時にご確認ください。
診断結果はどのような形式で受け取れますか?
発見した脆弱性ごとに、深刻度・再現手順・影響範囲・修正方針を記載した最終報告書をご提出します。また、診断期間中に発見した重大な脆弱性は中間レポートとして都度即時共有します。
費用の目安はどのくらいですか?
診断対象の規模・スコープによって大きく異なるため、まずは無料ヒアリングの上でお見積りをご提示しています。初回相談・見積は費用が発生しません。また、見積り時に無料で一部診断を実施します。
Contact

まずは
無料相談

診断範囲・スコープのヒアリングから見積まで無料で対応します。お気軽にご連絡ください。

初回ヒアリング・見積は無料
見積時に対象システムの一部を無料で診断
診断スコープのカスタマイズに対応
3ヶ月以内の是正再確認は無償対応
発見した脆弱性は都度即時報告
中間レポートによる早期是正支援
Website
https://www.balcony.co.jp/