AppSecチームのために構築 · 監査にマッピング

AI時代の開発者セキュリティプラットフォーム

AI時代のセキュアコーディングとコンプライアンス証跡 — OWASP LLM、Agentic AI、Secure AI-Assisted DevelopmentをEU AI Act・ISO 42001・NIST AI RMFにマッピング。Web/API/Mobile Top 10はPCI DSSおよびISO 27001に連携。

0
脆弱性クラス
0
コードレビュー
0
攻撃シナリオ
0
エンジニアリングスタック
PCI DSS 4.0·ISO 27001·OWASP Top 10·EU CRA·EU AI Act·ISO 42001·NIST AI RMF
仕組みを見る
エビデンス出力済
PCI 6.2.4 · CWE-89 · 署名付き PDF
users.controller.tsフェーズ 1 — 検出
12async getUser(req) {
13  const q = `SELECT * FROM users WHERE id = ${req.params.id}`;
14  return db.query(q);
15}
スキャン中 · A03:2021 検出 — InjectionCWE-89OWASP A03:2021PCI 6.5.1ISO 27001 A.8.28EU AI Act Art. 15
仕組み

1つのチャレンジに2フェーズ。

フェーズ1:本番コード内の脆弱なブロックを見つける。フェーズ2:4つのもっともらしい候補の中から正しい修正を選ぶ —「明らかな1つの答え」ではありません。

フェーズ1 — 検出
フェーズ1 — 本番コード内の脆弱なブロックを見つける

1500+のコードレビューが310+の脆弱性クラスにわたって — それぞれがチームが出荷する言語の本番環境に近いスニペットです。5つの候補ブロック、実際の欠陥は1つ。

フェーズ2 — 修正
フェーズ2 — 4つの候補の中から正しい修正を選ぶ

賢いディストラクター — それぞれの誤った修正は実際のAppSecの誤り(エスケープのみ、正規表現バリデーション、バインディングなしのORM)であり、なぜそれが失敗するかの解説付きです。開発者は修正と緩和の違いを学びます。

ガイド付き攻撃ウォークスルー

偵察から悪用、修正まで — 1ステップずつ。

114のシナリオ。1537のインタラクティブなステップ。それぞれがエンジニアをシミュレートされたブラウザー、ターミナル、傍受プロキシに引き込みます — 偵察を実行し、悪用を成立させ、そしてコードでギャップを塞ぎます。1つの攻撃クラスにつき、1つの短く集中したセッションです。

LoveNestのアカウント列挙シナリオ — 10ステップ、14分
114
シナリオ
1537
インタラクティブなステップ
~17m
平均ウォークスルー時間
あなたのスタックで書かれています

汎用的な擬似コードではなく、あなたのイディオムで。

各エンジニアは初回訪問時に自分のスタックを選びます。その後、すべてのチャレンジは彼らが実際に出荷する言語とフレームワークで読み込まれます — Pythonのf文字列、Goのfmt.Sprintf、C#の文字列補間、JavaのPreparedStatement — 本番の何にもマッピングされない簡略化された擬似コードではありません。

バックエンド
  • JavaScript
  • TypeScript
  • C#
  • Java
  • Python
  • Go
  • PHP
フロントエンド
  • React TS · JS
  • Vue TS · JS
  • Angular TS · JS
モバイル
  • Swift
  • Kotlin
バックエンド、フロントエンド、モバイルにわたる15の言語・フレームワーク・ターゲット — 各チャレンジは選んだスタックのイディオマティックなコードでレンダリングされます。
お客様の成果

エンタープライズチームは再発する指摘を削減し、セキュアコーディングを標準化しました。

銀行・FinTech・保険会社の匿名化されたお客様成果。承認をいただいたうえで実名でのリファレンスコールも可能です。

エンタープライズプラットフォーム

エンタープライズのセキュリティチームがすでに業務を行っている方法に合わせて構築されています。

JITプロビジョニング付きSAML 2.0、SCIM 2.0ライフサイクル同期、あらゆるLMS向けのSCORM 1.2/2004、そしてロールベース委任を備えたマルチテナント管理プレーン。後付けのものは何もありません — すべて初日からライブで利用できます。

SAML 2.0 / OIDC
JITプロビジョニング付きSSO
Okta、Azure AD、Google Workspace、OneLogin、または任意のSAML 2.0 / OIDC IdP。初回ログイン時のJITユーザー作成 — 手動オンボーディング手順はありません。
SCIM 2.0
ユーザーライフサイクル同期
IdPからの自動ユーザープロビジョニングおよびデプロビジョニング — 退職者によるゴーストアカウントはありません。
SCORM 1.2 / 2004
LMS内で実行
Moodle、Cornerstone、SAP SuccessFactors、Docebo、または任意のSCORM準拠のLMSから起動します。完了とブックマークの同期は標準ランタイムを通じて戻されます。
PLATFORM → COMPANY → ORG → TEAM
マルチテナント階層
会社、事業部、スクワッドにわたってデータと管理スコープを分離 — 階層ごとのロールベース委任付き。
IMMUTABLE TRAIL
監査ログ
すべてのログイン、課題、完了、管理操作が、アクター、ロール、IP、メタデータとともに記録されます — QSA、SOC 2、ISO監査のためにクエリ可能でエクスポート可能です。
ASSIGNMENTS & ANALYTICS
期限、チーム、スキルギャップ
トピック、フレームワーク、または攻撃シナリオ別に — ユーザー、チーム、または組織全体に割り当てます。1つの管理ダッシュボードから完了状況、スコア、チーム別のギャップを追跡できます。
コンプライアンス・マッピング

すべての課題が、報告対象のフレームワークにマッピングされています。

PCI DSS 4.0.1
§6.2.2 セキュアコーディング・トレーニング
要件別の証跡:§6.2.2の開発者トレーニングをOWASPカテゴリーとCWEクラスターにマッピング — スプレッドシートの考古学なしにQSAレビューに対応できます。
ISO 27001:2022
附属書A.8.28 セキュアコーディング
A.8.28セキュアコーディング・コントロールの証跡とA.6.3意識向上トレーニングを、チーム別の完了状況およびトピック別のCWEカバレッジに紐付けます。
EU CRA Annex I
セキュア・バイ・デザイン要件
デジタル要素を含む製品に対する本質的なサイバーセキュリティ要件 — チーム別カバレッジを附属書I(1)および(2)に対して追跡。
OWASP TOP 10
Web · API · モバイル · クライアント · LLM · Agentic · AI Dev
すべてのチャレンジが9つのフレームワークにわたってOWASPカテゴリーにタグ付け — Web、API、モバイル、クライアント、Cloud-Native、CI/CD、LLM、Agentic AI、AI-Dev-Tools — それぞれの基礎となるCWEも付与。
EU AI法
第9-15条
高リスクAIシステム要件 — 第15条サイバーセキュリティ、第12条ログ、第14条ヒューマンオーバーサイトの開発者ごとのエビデンス。
ISO/IEC 42001:2023
Annex A AI統制
AI管理システムエビデンス — A.6.2.6影響評価、A.8.2 V&V、A.8.4監視を開発者研修にマッピング。
NIST AI RMF 1.0
Govern · Map · Measure · Manage
連邦AIリスクベースライン — MEASURE-2.7セキュリティ、MAP-1.1システムコンテキスト、MANAGE-2.4リスク対応の開発者ごとエビデンス。

すべてのチャレンジは、それが満たすフレームワークに事前タグ付けされています — 監査時は火事場対応ではなく、クエリ実行になります。

御社の監査サイクルに
どう適合するかをご覧ください。

当社チームと30分。管理ダッシュボード、PCI / ISO / OWASPマッピング、SSOとSCIMがIdP向けにどう機能するかをご案内します。