まもなく公開APIコンソールと開発者向けドキュメントを準備中です。ドキュメントを見る
SShogun
APIキーを取得
asa — API Security Audit

セキュリティ専任者がいなくても、大手企業に提出できる API 診断を。

大手企業の顧客に提出できる API 診断報告書と、開発者がそのまま直せる修正案を、リリース前に

AI による自動診断の結果を ZKSC の専門家がすべて確認し、取引先への提出や監査対応にそのまま使える日本語の診断報告書と、修正箇所をファイル名・行番号まで特定した修正案を、リリース前にお届けします。

無料で相談するサービス内容を見る
  • OWASP API Top 10 準拠
  • 5〜10 営業日で納品
  • 提出用の日本語診断報告書
  • ZKSC reviewed(専門家が全件確認)

正式サービス名:ZKSC API Managed Security / 運営:ZKSC 株式会社

api-security-report.pdf
High他のテナントの注文情報を取得できる(BOLA)

src/api/orders.ts:142

修正案:注文の所有者がログイン中のテナントと一致するか検証する

MediumWebhook の署名検証が未実装

src/webhooks/payment.ts:57

修正案:HMAC による署名検証を追加する

Lowログイン API にレート制限がない

src/middleware/rate-limit.ts:12

修正案:IP とアカウントごとの試行回数制限を導入する

ZKSC reviewed — 専門家による確認済み

こんな課題、ありませんか。

大手企業の顧客や監査から第三者による API 診断報告書を求められたが、社内に対応できる人がいない

従来の脆弱性診断会社は費用が高く納期も長いため、頻繁なリリースに追いつかない

自動スキャンツールは導入したものの、検出結果を読み解いて修正までつなげられる人がいない

権限管理やテナント分離、決済、Webhook といった業務ロジックの欠陥による事故が不安

ソースコードや認証情報を外部に預けるための社内審査や調整が負担になっている

リリース前に、守る。

顧客に提出できる報告書

監査やセキュリティチェックシートへの回答にそのまま使える、提出用の日本語診断報告書をお渡しします。

開発者がそのまま直せる

修正箇所のファイル名・行番号、再現手順、修正方針、チケットにそのまま貼れる文面まで、修正に必要な情報をまとめて納品します。

リリース判断に使える

すべての検出結果に優先度を付け、いま修正するか、リスクとして許容するかをリリース前に判断できるようにします。

事故につながる領域を重点診断

認証・認可の不備、テナント間のデータ分離、決済処理、Webhook など、実際の事故につながりやすい領域を重点的に診断します。

リリース後も継続して守る

リリース後 3ヶ月間の変更監視と再診断で、リリース後に入った変更による新たなリスクまで確認します。

安心して任せられる体制

NDA・DPA・Rules of Engagement の締結に加え、AI の利用範囲も事前に説明します。導入時の社内審査に必要な書類をそろえています。

サービスの流れ

01

範囲確認・契約

NDA(秘密保持契約)と Rules of Engagement(診断の実施条件)を締結し、スキャンを行わない条件まで事前に合意します。

02

API 情報のご提供

OpenAPI 定義、検証環境、権限ごとのテストアカウント、認証方式の情報をお預かりします。

03

AI 診断 + 専門家レビュー

AI による自動診断の結果を ZKSC の専門家が確認し、誤検知を取り除いたうえで優先度を付けます。

04

報告書の納品 + 再診断

提出用の報告書と開発者向けの修正案を納品し、修正後の再診断を 1 回実施します。

納品物脆弱性の一覧(深刻度・確信度・影響範囲)、再現手順と該当箇所(ファイル名・行番号)、修正案、チケット用の文面、提出用の日本語報告書、診断作業の記録(監査証跡)

単発の診断から、継続的な監視まで。

単発

Release Scan

リリース前の API を全体的に診断し、報告書を納品します。修正後の再診断を 1 回含みます。

お問い合わせ
3ヶ月

Launch Guard

リリース前後の API の変更を監視し、週ごとに状況をまとめて報告します。

お問い合わせ
おすすめ継続

Business Monitor

主要な API を継続的に監視し、月次の報告書をお届けします。

お問い合わせ

最安のスキャンツールでは、ありません。

Burp や ZAP、Snyk といったスキャンツールの置き換えを目指すものではありません。ツールだけでは埋まらない、運用・専門家によるレビュー・日本語での報告・顧客への提出までを引き受ける、中間価格帯のマネージドセキュリティです。

ZKSC reviewed

自動診断の結果は ZKSC の専門家が 1 件ずつ確認します。誤検知を取り除き、優先度を付けてからお届けします。

業務ロジックの欠陥に強い

権限の不備(BOLA・IDOR)、テナント分離、決済、Webhook など、自動スキャンでは見つけにくい欠陥を重点的に診断します。

日本語で完結

報告書も修正のやり取りもすべて日本語です。社内の稟議や顧客への提出にそのまま使え、修正が終わるまでサポートします。

リリース前 + 3ヶ月

1 年を通じた常時監視ではなく、リスクがもっとも高いリリース前後の期間に集中して診断と監視を行います。

よくある質問

ソースコードや認証情報はどのように扱われますか?

認証情報の管理ポリシーに基づいて取り扱い、データの保管期間と削除条件は契約時に取り決めます。第三者への再委託は行いません。

本番環境への影響はありませんか?

データの書き換えや削除を伴わない、非破壊の診断のみを行います。スキャンを行わない条件を事前に合意し、実施内容はすべて記録に残します。

契約や法務面はどのように進みますか?

NDA・DPA・Rules of Engagement を締結し、AI をどの範囲で利用するかも契約前にご説明します。

どのような業種が対象ですか?

B2B SaaS、フィンテック、Web3、HR、医療、不動産テックなど、API を提供している事業者を想定しています。

まずは 1 回、リリース前の診断から。

5〜10 営業日で、取引先にそのまま提出できる日本語の診断報告書をお届けします。

無料で相談する

正式サービス名:ZKSC API Managed Security / 運営:ZKSC 株式会社