Strategic Technical Layered Unified Resolver Logo
STLUR
Continuous Security as a Service

あなたの会社のセキュリティ担当を、 STLURが毎月引き受けます。

外部から見える脅威を、毎月自動で診断・評価・報告。 採用も内製も必要なく、「守れている状態」を継続的に証明できます。

STLURは、SOC 2 / ISO 27001 / OWASP に整合したスキャンを月次で実施し、 エンジニアにも、経営層にも、監査にも届く形でリスクを可視化します。

あなたのサイトを無料でチェック

https://
セキュリティ運用を任せるアカウントを作成する
The Cost of Inaction

「気づいた時には遅い」を、 何度も世界は経験しています。

セキュリティの優先順位を後回しにした企業に、何が起きたか。 どれも憶測ではなく、実際に発生した事実です。

実際に起きた被害事例

Code Spaces2014

事業継続

12時間で停止

12時間で会社が消滅した

AWSのルートアカウントにMFAが未設定だったため、フィッシングで盗んだ認証情報だけでクラウド管理画面へ侵入された。身代金要求が拒否されると、本番データ・バックアップ・スナップショットの全てが即座に削除された。復旧手段が完全に失われた状態に追い込まれた同社は、当日中に廃業を宣言。「とりあえず」省略したMFAの設定が、会社そのものを消滅させた。

事業継続

12時間で停止

原因

クラウド管理画面のMFA未設定

Yahoo! (US)2013–2014

影響アカウント

30億件

脆弱な暗号化が、約400億円の評価減を招いた

2013〜2014年の侵入を2016年まで公表しなかったことが致命的だった。パスワードは解読容易なMD5ハッシュで保存されており、攻撃者は流出したDBを使い継続的にアクセスし続けた。最終的に全登録ユーザー30億件が対象となり、Verizonへの売却交渉では「インシデント隠蔽」を理由に買収額が約3.5億ドル引き下げられた。「知っていたのに公表しなかった」という事実が企業価値を直接毀損した。

影響アカウント

30億件

原因

旧式ハッシュ(MD5)の継続利用と検知遅延

British Airways2018

影響範囲

顧客 約50万人

わずか22行のコードが、世界的ブランドを揺らした

攻撃グループMagecartが決済ページで読み込む外部JavaScriptに22行のスキマーコードを注入。入力された氏名・カード番号・CVVが送信ボタンを押した瞬間に攻撃者のサーバーへ転送される状態が約2週間続いた。約50万人の情報が流出してGDPRが発動し、当初の制裁金案は約250億円に上った。「自社コードではなく外部スクリプトが汚染された」第三者サプライチェーンリスクの典型例。

影響範囲

顧客 約50万人

原因

決済ページへの不正JavaScript注入(Magecart)

Equifax2017

流出個人情報

1.5億人分

パッチ未適用が1.5億人の個人情報流出を招いた

CVE-2017-5638のパッチが公開されてから2ヶ月間、Equifaxは適用を先送りし続けた。攻撃者はその脆弱性を突いて侵入し、発覚まで76日間内部に潜伏しながらデータを持ち出した。社会保障番号・生年月日・住所を含む1.5億人分の個人情報が流出し、和解金・制裁・訴訟費用の合計は約800億円に達した。「パッチを当てるだけで防げた」という事実がCEO・CISOの辞任と議会召喚に発展した。

流出個人情報

1.5億人分

原因

既知脆弱性(CVE-2017-5638)へのパッチ未適用

Target2013

流出カード情報

4000万枚

空調業者経由で4000万枚のカード情報が漏洩

空調設備業者のVPN認証情報を使って内部ネットワークへ侵入された。本来ベンダー用セグメントと業務システムは分離されているべきだったが、POSシステムと同一ネットワーク上に存在していた。マルウェアが全国4,000店舗以上のPOS端末に展開され、クリスマス商戦中に4,000万枚のカード情報が流出。「外部委託先のアクセス権をネットワークレベルで制限する」という基本原則の不備が直接原因だった。

流出カード情報

4000万枚

原因

サードパーティベンダーのネットワーク分離不備

SolarWinds2020

影響組織数

18,000以上

ソフトウェア更新を通じた史上最大規模の供給網攻撃

攻撃者はSolarWindsのビルドシステムへ侵入し、正規の監視ソフト更新に悪意あるコード(SUNBURST)を密かに注入した。18,000以上の組織が署名済みの正規ファイルとして受け取り、米財務省・国務省を含む政府機関やFortune 500企業が感染。侵入から検知まで約9ヶ月間誰も気づかなかった。信頼できるベンダーの正規更新ファイルそのものが攻撃経路になったサプライチェーン攻撃の代名詞。

影響組織数

18,000以上

原因

ビルドシステムへの不正侵入と悪意あるコード注入

Change Healthcare2024

最終損失額

約 4,600億円超

MFA未設定の1アカウントが、全米の医療インフラを数週間停止させた

医療決済大手のシステムへアクセスする社内アカウントにMFAが設定されていなかった。攻撃者はパスワード1つを盗むだけでシステム中枢へ侵入し、ランサムウェアを展開。全米の薬局・病院で処方箋発行や保険請求が数週間にわたって停止し、医療インフラが機能不全に陥った。親会社の最終損失は約4,600億円超に上り、「数分で完了するMFA設定」の省略が招いた代償の大きさを業界全体に刻み込んだ。

最終損失額

約 4,600億円超

原因

重要アカウントへのMFA未設定

CrowdStrike2024

影響台数

約 850万台

セキュリティ企業自身の更新ファイル1つが、世界規模のIT障害を引き起こした

欠陥アップデートが世界中のWindows PC約850万台を一斉に起動不能にした。航空・銀行・病院・放送局が同時停止し、フォーチュン500企業だけで総損害は54億ドルを超えた。ハッキングではなく、内部の「本番配信前検証の省略」が引き金だった。セキュリティ企業自身が史上最大のIT障害を引き起こした事実は、業界全体への警鐘となった。

影響台数

約 850万台

原因

テスト不足のまま本番配信したアップデート

Bybit2025

流出額

約 2,100億円超

マルチシグの「鍵」そのものが奪われ、暗号資産史上最大の2,100億円が流出

フィッシングで管理者のアクセス環境を掌握し、複数人承認が必要なマルチシグウォレットの管理権限を奪取。多重署名の仕組みそのものは機能していたが、鍵を管理する人間側の環境が脆弱だった。イーサリアムを中心に約14億ドルが流出し、暗号資産の単一事件として史上最大の被害となった。「仕組みが堅牢でも運用側に穴があれば無意味」という現実を突きつけた。

流出額

約 2,100億円超

原因

フィッシングによるマルチシグ管理権限の奪取

Coverage Architecture

見落とされた1つの設定ミスが、システム全体を崩壊させる。

攻撃者は、誰も監視していないサブドメインやAPIの不要なエンドポイント、クラウドの設定ミスを狙います。 STLURは毎月、ハッカーと同じ視点で4つのレイヤーから脆弱性を洗い出します。

STLUR

Public Surface

公開されている全てを、攻撃者の視点で

ドメイン・DNS・SSL/TLS証明書・公開ポート・HTTPヘッダーからの情報露出を毎月評価。外部から「最初に見える領域」を攻撃者と同じ視点で網羅的にスキャンします。

Configuration

設定の歪みは、最も見落とされる脆弱性

セキュリティヘッダーの不備・TLSの設定ミス・クラウドストレージの公開・依存ライブラリの脆弱バージョンを検出。設定の歪みは最も悪用されやすいにもかかわらず、最も放置されやすい領域です。

API & Endpoints

通信経路に潜む、隠れた入口

文書化されていないエンドポイントの露出・レスポンスの過剰な情報開示・入力検証の不備を検出。APIは現代のシステムで最も攻撃対象面が広い領域のひとつです。

Authenticated

ログインの先にある、本当の影響範囲

ログイン後の管理機能・ユーザー権限の昇格経路・認証状態を前提とした機能への不正アクセス経路を診断。Enterpriseプランで、所有権確認のうえDASTを実施します。

Cloud Infrastructure

クラウド基盤の設定ミスを、攻撃者より先に

AWS・GCP・Azure・Cloudflare の IAM ポリシー・ストレージ公開設定・ファイアウォールルール・暗号化設定を自動監査。Enterpriseプランでクラウド構成の脆弱性を毎月検出します。

Enterprise DAST Architecture

セキュアに設計された、 認証後領域の深層監査。

ログインの先にあるシステム深部の脆弱性を、安全かつ網羅的に診断します。 専用のブラウザ拡張機能を通じたセッションの安全な受け渡しと、隔離されたスキャン環境により、本番環境への影響と情報漏洩リスクを完全に排除します。

STL 01

拡張機能によるセキュアな連携

STLUR Chrome拡張機能を使用し、ローカル環境から安全に認証情報やセッショントークンを同期。平文のパスワードをサーバーに保存する必要はありません。

STL 02

暗号化されたセッション管理

受け取ったセッション情報は強力に暗号化され、Vault内で厳重に管理されます。診断時のみメモリ上に展開され、安全にアクセスを維持します。

STL 03

状態を認識する動的スキャン

単なるクローラーではなく、アプリケーションの状態変化を認識。複雑な画面遷移やAPIコールを伴う認証後の処理を、深く正確に追跡します。

STL 04

完全隔離された監査環境

スキャンは顧客ごとに独立した使い捨てのマイクロVM上で実行。データ境界が物理的に分離されており、監査データが他の環境へ漏れることはありません。

Reports for Decision-Making

プロフェッショナルグレードの 包括的セキュリティレポート

エンタープライズ環境に求められる詳細性と正確性を兼ね備えた月次評価書。 技術的詳細から戦略的洞察まで、組織のセキュリティ強化に必要な全情報を統合。

For Engineer

精密な技術仕様と実装ガイドライン

ASSESSMENT OVERVIEW

CVSS準拠の脆弱性分析、詳細な再現プロセス、実装レベルの修正指針を統合した包括的技術文書。開発チームの迅速な対応を支援するために設計された高精度な脅威評価レポート。

VULNERABILITY ANALYSIS

CVE-2024-1337

Cross-Site Scripting (XSS)

CVSS: 8.1 (High) | Vector: AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

# Proof of Concept
$ curl -X POST \/api/search \
-H "Content-Type: application/json" \
-d '{"q":"<script>alert(document.cookie)</script>"}'
# Response: 200 OK (Script executed)

Impact Assessment

• Session hijacking via cookie theft

• Administrative privilege escalation

• Data exfiltration through DOM manipulation

• Cross-origin request forgery (CSRF)

Affected Components

/api/search (POST)

/dashboard/results.php

SearchController::process()

REMEDIATION STRATEGY

Immediate Fix (Priority 1)

// PHP Implementation
$input = filter_input(INPUT_POST, 'q',
FILTER_SANITIZE_SPECIAL_CHARS);
echo htmlspecialchars($input, ENT_QUOTES, 'UTF-8');

Long-term Security Measures

1. Content Security Policy (CSP) implementation

2. Input validation whitelist approach

3. Output encoding for all user data

4. Regular security code review process

TESTING & VERIFICATION PROTOCOL

Pre-Deployment

• Static code analysis

• Unit test coverage

• Security scan validation

Post-Deployment

• Penetration test execution

• Regression testing

• Performance impact check

Ongoing Monitoring

• WAF rule deployment

• Log monitoring setup

• Quarterly re-assessment

Threat Update Engine

新しい攻撃手法に、 毎月、STLURが追従し続ける。

セキュリティの脅威は毎月変わります。 STLURのセキュリティチームが新しい脆弱性・攻撃手法・CVEを継続的に取り込み、スキャンエンジンに反映し続けるため、診断基準が陳腐化しません。

毎月の診断は、いつでも最新版のエンジンで実行されます。

Engine Updates

継続的に更新中

    Engine continuously synced

    世界規模のスキャン実行基盤

    毎月、専任エンジニア不要でSTLURが診断・レポート生成・配信をすべて代行します。スキャンは世界各地のデータセンターから実行されます。

    Global
    24都市
    24/7
    ゼロタッチガバナンス

    Ref · STLUR-SOC2

    Monthly Security Evidence

    SOC 2
    • 外部診断の実施記録
    • 重大指摘の優先度評価
    • 是正完了状況の追跡
    MonthlyContinuously Reviewed

    Ref · STLUR-ISO

    Gap Analysis Report

    ISO 27001
    • 情報セキュリティ管理策の適合確認
    • リスクアセスメント結果の記録
    • 是正処置の実施状況
    QuarterlyAudit Ready

    Ref · STLUR-OWASP

    Scan Evidence

    OWASP
    • OWASP Top 10 適合スキャン
    • API・認証後領域の深層診断
    • CVSSスコアと修正優先度
    MonthlyEngine Updated
    Governance & Evidence

    毎月更新される第三者診断記録が、 信頼の唯一の根拠になる。

    インシデントが起きたとき、最も重く問われるのは「事前にどう備えていたか」です。 STLURの月次レポートは、そのまま統制活動の証跡として機能し、 社内・取引先・監査の説明責任を肩代わりします。

    • SOC 2 / ISO 27001 の補助証跡

      月次の外部診断記録、実施範囲、是正状況を、監査担当が引用しやすい形で残します。

    • 取引先審査・ベンダー評価への対応

      取引先のセキュリティ審査・ベンダー評価に対し、第三者による月次診断の実施記録をそのまま提出できます。

    • M&A・IPOにおけるサイバー DD

      デューデリジェンスにおける「Webセキュリティ未管理」のリスクを排除し、企業価値の毀損を防ぎます。

    プランを選ぶ

    サイト停止、信用低下、見えない脆弱性リスクを先回りで把握し、何から直すべきかまで迷わないための料金プランです。 事業規模と必要な安心の深さに合わせて選べます。

    2ヶ月分お得

    Starter

    設定ミスや露出の検出、DNS監査(SPF/DKIM/DMARC/DNSSEC)、TLS証明書確認、稼働監視、Core Web Vitals診断を毎月自動で実行し、監査レポートとして届けます。専任エンジニア不要。

    $399/月

    年額 3,990 で請求

    • 死活・応答速度の継続監視
    • ベースライン脆弱性・設定ミス検出スキャン
    • 露出エンドポイント検出
    • DNSセキュリティ監査(SPF / DKIM / DMARC / DNSSEC)
    • TLS証明書透明性確認
    • Core Web Vitals・SEO・アクセシビリティ診断
    • セキュリティベースライン監査報告書(月次)

    初月無料

    Professional

    セキュリティスキャンエンジンによる既知脆弱性・CVE・設定不備の継続検出に加え、最新の脆弱性トレンドへ追従した検査を毎月反映します。公開エンドポイントの情報露出やヘッダー設定まで監査し、外部攻撃面のリスクを可視化します。

    $1,200/月

    年額 12,000 で請求

    • Starter の全機能
    • 既知脆弱性・CVE・設定不備スキャン
    • 公開エンドポイント・情報露出の検出
    • セキュリティヘッダー・設定診断
    • 最新脆弱性トレンドに追従した継続スキャン
    • 外部脆弱性診断報告書(月次・是正優先度付き)

    初月無料

    Enterprise

    動的セキュリティテスト(DAST)で認証後領域・管理画面・APIまで完全診断。AWS / GCP / Azure / Cloudflare のクラウドインフラ構成・脆弱性も自動監査し、説明責任に耐える監査体制と毎月の証跡を生成します。

    $3,500/月

    年額 35,000 で請求

    対象範囲、認証設定、支援内容に応じて個別見積となります。

    • Professional の全機能
    • 動的アプリケーションセキュリティテスト(DAST)
    • 認証後領域・管理画面の完全診断
    • API セキュリティテスト
    • クラウドインフラセキュリティ監査(AWS / GCP / Azure / Cloudflare)
    • 最新脆弱性・新規攻撃手法に追従した高度診断
    • ガバナンス監査レポート(経営報告・監査証跡付き)

    ビジネスの未来を守る準備はできましたか?

    今すぐ世界基準のガバナンスを手に入れましょう。複雑な設定は一切不要です。

    無料で始める

    ✓ 24時間365日の監視