株式会社リチェルカセキュリティ(本社:東京都千代田区、代表取締役社長:木村 廉)は、AIを活用した脆弱性診断の有効性を自社環境で検証できる「診断内製化ブートキャンプ」の提供を開始しました。 本サービスは、AI診断ツールの販売や研修を目的としたものではありません。実際のシステムや運用環境を対象に、AI診断がどの程度有効なのか、どのような運用が必要なのかを5日間で検証し、導入判断に必要な材料を提供します。 AI診断に関心はあるものの、「本当に脆弱性を見つけられるのか」「運用負荷はどの程度なのか」といった疑問を持つ企業に向けたサービスです。 サービスに関する資料ダウンロード 診断内製化ブートキャンプとは 診断内製化ブートキャンプは、AI診断の導入可否を5日間で検証するための実践プログラムです。 本サービスは、すでに大手事業会社へ提供しています。 ご利用いただいたお客様からは、次のような声をいただいています。 ・「大満足。期待していた以上の内容だった」 ・「インターネット上に散らばりがちなAIの知識を、5日間で体系立てて学べるのがよい」 ・「ツール自体の精度も高く、中身を知るほど作り込まれていると感じた」 本サービスでは、お客様環境を対象に実際の診断を行いながら、 ・AI診断でどのような脆弱性が発見できるのか ・どの程度の運用負荷が発生するのか ・継続運用は現実的か ・導入するとしたらどのような体制が必要か を確認いただけます。 AIが脆弱性候補を出力すること自体が目的ではありません。 実際に発見された内容を検証し、本当に対処すべき脅威なのかを判断し、継続的に活用できる運用イメージまで持ち帰れることを重視しています。 そのため本プログラムでは、脆弱性の検出件数を成功指標としていません。 「AI診断を導入すべきかどうかを判断できる状態になること」 を成功基準としています。 価格は200万円〜(対象システムの規模により変動)、期間は5日間です。 資料ダウンロードのご案内 本サービスの概要や導入ステップ、ブートキャンプの内容についてまとめた資料をご用意しております。 「自社で実装できる可能性があるのか知りたい」という段階でも、お気軽にご覧ください。 資料ダウンロードはこちら 診断の内製化が求められる背景 サイバー攻撃の高度化に伴い、脆弱性診断の重要性は年々高まっています。 一方で、セキュリティ人材の不足は深刻化しており、多くの企業が継続的な診断体制の構築に課題を抱えています。診断のたびに外部ベンダーへ依頼する体制では、診断頻度やコスト、対応スピードの面で限界を感じる企業も増えています。 こうした状況の中、生成AIやAIエージェントの進化によって、脆弱性発見そのものは大きく効率化できる可能性が見え始めています。 2026年にはAnthropicが発表した「Claude Mythos」が、自律的にOSSを解析し、多数の高深刻度脆弱性を発見した事例として大きな注目を集めました。また、一般的な大規模言語モデル(LLM)を利用した脆弱性発見の事例も増加しており、AIが脆弱性発見業務に与える影響は急速に拡大しています。 しかし、実際の診断業務では、脆弱性候補の選別、誤検知の排除、悪用可能性の検証などが必要になります。 AIが脆弱性候補を見つけられることと、その結果を業務として継続的に運用できることは別の課題です。大量の候補から本当に重要な脆弱性だけを抽出し、開発現場で活用可能な形に落とし込むためには、運用設計やトリアージの仕組みが不可欠です。 当社は、この「発見できる」と「業務として回せる」の間にあるギャップこそが、AI時代の診断内製化における最大の課題であると考えています。 モデルに依存しない、独自の脆弱性発見力 AIによる脆弱性発見の成果は、特定のAIモデルやその提供元に依存するものではありません。 当社は、2026年にClaude Mythosが発見して注目を集めた脆弱性と同種のものを、より初期のモデルであるOpenAI o3(2025年4月公開)を用いた検証の時点で、すでに発見していました(詳細はホワイトペーパーで公開)。 さらに、ハーネスの開発過程では実在する製品の脆弱性(当時未公表)も発見しており、ネットワーク機器のCVE-2026-8913、QEMUのCVE-2026-5744はその一例です。モデルの世代や提供元を問わずこうした成果を出せるのは、当社が長年培ってきた脆弱性発見のノウハウを「ハーネス」として体系化しているためです。 「AIに任せるだけ」では越えられない壁 「AIに任せるだけ」の自動診断では、次のような壁に突き当たるという声をよく聞きます。 ・ログイン画面から先に進めない(認証の壁を越えられない) ・探索の幅(網羅性)と深さの