セキュリティの常識が変わった

AIによるサイバー攻撃は、
中小企業のWebサイトも
標的にする時代になりました。

以前は専門的な知識と時間が必要だったサイバー攻撃が、MythosミュトスのようなAIの登場で、誰でも・短時間で実行できるようになっています。
大企業だけの問題ではありません。
あなたのサイトを守るのは、防衛AI「Custosクストス」です。

無料登録して診断を開始サービスを見る

既にアカウントをお持ちの方はこちらからログイン

なぜ今、対策が必要か

専門知識ゼロでも、AIを使えば
あなたのサイトを攻撃できる

Mythosミュトスとは

2026年4月、攻撃特化型AI「Mythosミュトス」が
27年間誰も気づかなかった脆弱性を、
わずか数時間で発見・悪用した。

専門知識が不要になった

「弱点を見つけて攻撃して」と指示するだけ。AIが偵察・侵入・実行を全自動で行う。

攻撃速度が100倍以上に

熟練ハッカーが数週間かけていた作業を、AIは数時間で完了する。人間の対応速度では追いつかない。

中小企業も標的になった

コストゼロで無制限にスキャンできるため、規模を問わず全サイトが攻撃対象になった。

この現実が意味すること

攻撃する側はAIで武装した。
守る側は、まだ人間のまま。

だから守る側にも、
同じレベルのAIが必要です。

あなたのサイトは大丈夫ですか

今すぐ確認してほしい、
あなたのサイトの4つのリスク

MythosのようなAIが最初に探すのは、よく知られた「ありがちな見落とし」です。
実際に被害を受けたサイトの多くに、次の状態が共通して見られました。

セキュリティ診断を受けたことがない、または1年以上行っていない

既に脆弱性が存在していても、気づく手段がない状態。攻撃者は診断されていないサイトを優先的に狙う。

顧客・会員の個人情報（氏名・メール・購買履歴）をサイトで扱っている

情報漏洩が発生した場合の対応費用は平均3〜5億円。中小企業では事業継続が困難になるケースも。

WordPressや使用プラグインのバージョンを最新に保っていない

古いバージョンの脆弱性はAIが自動で検出する。最も狙われやすい状態のひとつ。

セキュリティ事故が起きたときの対応手順を決めていない

事故発覚から72時間以内の初動が被害規模を左右する。手順がなければ対応が遅れ、被害が拡大する。

1つでも当てはまった方へ

まずURLを入力するだけ。
あなたのサイトのリスクを、今すぐ無料で確認できます。

無料で脆弱性診断を開始する

無料アカウント登録が必要・サイト所有者のみ利用可

なぜ続かないのか

Webサイトのセキュリティ対策が
継続できない4つの理由

「対策しなければ」とわかっている。でも、ほとんどの企業が途中で止まります。
それは意志の問題ではなく、構造的な問題です。Custosはその4つをすべて解決します。

専門知識がない

どのHTTPS設定が危険で、どのCookieフラグが必要か。知識がなければ、何が問題かすら気づけない。

AIが65項目を自動判定。知識ゼロで結果が出る。

毎月続かない

「月1でチェックしよう」と思っても、日常業務が優先になる。「後でやる」が積み重なると手遅れになる。

毎月自動でスキャン。放置ゼロを仕組みで実現。

新しい脅威を追えない

毎週公開される新CVE情報を追い続けることは、専任エンジニアがいなければ不可能に近い。

新脆弱性が公開されたら即アラート。常に最新状態。

見つけても直せない

問題を発見しても、何をどう直すかわからない。エンジニア依頼のコストと時間で対応が遅れる。

優先度付きの修正ガイドを日本語で提供。依頼内容が明確になる。

セキュリティを「知っている」ことと、「守られている」ことは別です。

だから、Custosが必要です。

HOW IT WORKS

診断・発見・修正支援・継続監視。
Custosがすべて担います。

URLを貼り付けるだけで、AIが65項目を自動スキャン。
① URL入力 → ② AI自動スキャン → ③ 日本語レポート → ④ 修正ガイド → ⑤ 継続監視。この5ステップがすべて自動で動きます。

Custosの使い方フロー：URL入力→AI診断→日本語レポート→修正→継続監視

Custosのコアバリュー

セキュリティ対策を、
知識ではなく仕組みにする。

操作はURLを貼るだけ。
あとはCustosクストスが全部やります。

FEATURES

ハッカーより先に、あなたのサイトを
診断して弱点を見つける。

一般的なセキュリティツールが見落とすレベルまで、4つの層からCustosが徹底チェックします。
以下は各カテゴリの代表的な診断項目です。※全65項目

NETWORKネットワーク層

HTTPS / TLS 1.3 設定チェック
SSL証明書の有効期限監視
混在コンテンツ（Mixed Content）検出
HTTPSリダイレクト設定確認
オープンポートスキャン
CDN / WAF 導入状況確認
HSTS（HTTPS強制）設定確認
サードパーティライブラリの脆弱性

APPLICATIONアプリケーション層

Content-Security-Policy (CSP) 診断
X-Frame-Options（クリックジャッキング）
X-Content-Type-Options
Cookie属性（Secure / HttpOnly / SameSite）
XSS・CSRF対策の確認
ディレクトリ・バックアップファイル露出
エラーメッセージによる情報漏洩
Subresource Integrity (SRI) 確認

AUTHENTICATION認証・認可

管理画面・ログインページの露出確認
デフォルト認証情報チェック
ブルートフォース攻撃対策確認
レート制限の実装確認
パスワードポリシーの適切さ
セッション管理の安全性
CAPTCHA・ボット対策
多要素認証（MFA）の推奨

MONITORING情報漏洩・継続監視

SPF / DKIM / DMARC 認証設定
HaveIBeenPwned 情報漏洩監視
NVD連携 CVE新着脆弱性通知
APIキー・秘密鍵の露出検知
月次診断レポート自動生成
ブラックリスト・評判チェック
ドメイン有効期限監視
サイト改ざん検知

Custosの仕組み

忙しい経営者でも、対策が止まらない仕組み。

AI自動スキャン

65項目を人間の手を借りずに自動実行。スキャンボタンを押すだけで完了します。設定や知識は不要。

日本語レポート

「危険度レベル（Lv.1〜5）」の5段階で整理。役員や取引先への説明にそのまま使えます。

リアルタイムアラート

新しい脆弱性（CVE）が公開されると即メール通知。あなたが気づく前にCustosが検知します。

毎月の継続監視

月次で自動再スキャン。前月との差分も確認できるため、改善が進んでいるかを数字で把握できます。

診断して終わり・レポートを見て終わり、ではない。

月次スキャンと、24時間365日の監視。
Custosの防衛は、止まりません。

SERVICES & PRICING

2つのプランと料金：
初回無料のURL診断 / 月次継続監視

まず¥0で現状を把握。修正が必要なら詳細診断（¥6,980）で修正コードまで取得。
そして月額¥12,800の継続監視で守り続ける。知識ゼロの経営者でも、このステップで始められます。

スポット診断Webセキュリティ診断

「今すぐリスクを把握したい」方へ。1ドメイン初回無料で65項目スキャン＋日本語レポートを提供。まず現状を知ることが、すべての対策の第一歩です。

65項目のAI自動スキャン
危険度レベル（Lv.1〜5）の5段階判定
経営者向け日本語レポート（優先度つき）
詳細診断は¥6,980で修正コード例まで提供

¥0初回無料 / 1ドメイン1回

無料診断を開始

継続監視セキュリティ見守りサービス

3ヶ月後のサイトの状態は、
今日の選択で決まります。

攻撃者は今この瞬間も、あなたのサイトを探し続けています。
どの選択をするかで、3ヶ月後の現実はまったく変わります。

01　何もしない

攻撃されるまで気づけない

今の状態が続く。1年後も同じリスクを抱えたまま、何かが起きるまで気づけない。被害が出てからでは手遅れ。

02　自力で頑張る

2〜3ヶ月で止まる

セキュリティの知識習得に時間がかかり、毎月の継続が難しくなる。業務が忙しくなれば止まる。

03　Custosを使う唯一の正解

今すぐ、
ずっと守られる

今すぐリスクを把握し、毎月AIが自動で守り続ける。専門知識もエンジニアも不要。

初回¥0で65項目スキャン — 今すぐ始められる
AIが3分でリスクを洗い出す
日本語レポートで経営層にも報告できる
毎月自動スキャンで対策が止まらない
新しいCVEもリアルタイムで検知・通知

初回¥01ドメイン1回 / 詳細診断は¥6,980

今すぐ無料診断を開始

セキュリティ事故が起きてからでは、遅い。

まず1回、無料診断で「今の状態」を知るだけでいい。

無料で脆弱性診断を開始

CASE STUDIES

Custosが検知した脆弱性を
放置していたら、何が起きていたか

3社の実例。リスクは「見えていなかった」だけで、すでに存在していました。
※ 実際の脅威パターンをもとにした想定シナリオです。企業名・数値はすべて仮のものです。

EC・小売業

顧客情報1.8万件の漏洩を事前に防止

状況

TLS設定の不備と古いWordPressプラグインが放置されていた状態。社内にエンジニアがおらず、サイトの状態を誰も把握していなかった。

対応

Custos初回スキャンで「TLS設定の不備（Lv.5／緊急）」と「古いプラグインの既知脆弱性（Lv.4／危険）」を検出。修正ガイドをもとに1週間で対処完了。

推定被害2,800万円を回避

士業・専門家

なりすましメールによる偽請求書送付を阻止

状況

DMARCが未設定でメールドメインのなりすましが可能な状態。顧問先50社への偽請求書送付リスクが存在していた。

対応

継続監視のDMARCチェックで未設定を検知。SPF/DKIM/DMARCを1日で設定。同月に業界全体でなりすまし攻撃が多発していた。

信頼損失・顧問契約解約リスクを回避

製造業

VPN脆弱性を特定、ランサムウェア侵入を阻止

状況

VPNに既知の脆弱性（CVE）が存在していたが社内では把握できていなかった。外部エンジニアへの依頼も後回しになっていた。

対応

CVEアラートで該当脆弱性を即時検知。修正ガイドをエンジニアに共有し、翌営業日にパッチ適用完了。同脆弱性を狙った攻撃が業界で多発。

推定1.2億円の生産停止損失を回避

「セキュリティの専門家を雇う余裕はないが、リスクは放置できない。月に1度レポートが届いて、問題があれば通知してくれるというシンプルさが、忙しい経営者には一番助かります。初回の診断で、まさか自社のサイトにこれだけの問題があるとは思いませんでした。」

— 従業員25名 EC事業者代表取締役（※氏名・社名は非公開）

FAQ

よくある質問

導入前によく聞かれる質問をまとめました。ここにない疑問はお問い合わせください。

サービス・診断内容

A.URLを入力するだけでAIが65項目を約3分で自動チェックし、日本語レポートを即時生成します。1ドメインにつき初回、クレジットカード登録なしで無料でご利用いただけます。

A.ネットワーク層（HTTPS/TLS設定・オープンポートなど）、アプリケーション層（CSP・XSS対策など）、情報漏洩層（メール認証・HaveIBeenPwned連携など）、インフラ層（CVE・CMS更新状況など）の4カテゴリをカバーしています。

A.診断したいWebサイトのURL（例：https://example.com）だけで十分です。ソースコード・FTPアクセス・サーバーへのログイン情報は不要です。メールアドレスを登録してレポートを受け取るだけです。

A.ありません。すべて読み取り専用の外部スキャンです。サイトの表示速度・機能・データに一切影響を与えません。通常の利用者と同様にサイトにアクセスして確認するため、サーバー負荷もほぼ発生しません。

A.診断できるのは、ご自身が所有・運営するWebサイト、または所有者から許可を得たサイトに限ります。その条件を満たしていれば、WordPress・EC-CUBE・独自開発サイトなど種類を問いません。社内のみのイントラネットサイトや、ログインしないとアクセスできないページは対応外です。

A.はい。ただし「Shopifyを使っているから安全」「Amazonや楽天に出品しているから大丈夫」という認識は危険です。プラットフォームが守るのはサービス本体のみ。あなたが管理するカスタムドメインの設定ミス・メール認証の不備・外部アプリ連携の脆弱性は、すべてあなた自身の責任範囲です。実際、個人事業主や中小ECの設定ミスを突いた顧客情報・口座情報の漏洩事故は増加しています。Custosは「プラットフォームの外側にある本当のリスク」を可視化します。

A.可能性はゼロではありません。ただし各診断項目は業界標準（OWASP・CVEデータベース等）に基づいており、危険度レベルと根拠も明示されます。気になる項目は詳細診断で精査することをお勧めします。

料金・契約

A.無料診断はリスクの検出と優先度レポートを提供。詳細診断では修正コード例・具体的な対処手順・より深い解説が追加され、エンジニアへの依頼書としてそのまま使えます。再診断のみ（¥2,980）では同じ診断内容を再実行できます。

A.はい。月単位での解約が可能で、年契約の縛りはありません。解約は管理画面から即時手続きができ、解約月末まで利用可能です。

A.クレジットカード（Visa・Mastercard・JCB・AMEX）でのお支払いに対応しています。領収書はマイページから即時ダウンロード可能。インボイス対応の請求書PDF発行も無料で対応しています。

A.されません。無料スキャン後に自動課金は発生しません。詳細診断・継続監視はそれぞれ別途お申し込みが必要です。

A.現在は1契約につき1ドメインが基本です。複数ドメインをご希望の場合は、ドメイン数に応じた複数契約、または法人向けプランについてお問い合わせください。

技術・セキュリティ

A.HTTPSは通信の暗号化であり、安全性の一部にすぎません。TLSのバージョンや暗号方式が古い場合は危険であり、CMSの脆弱性・認証設定ミス・SQLインジェクション対策などはHTTPSとは無関係に存在します。

A.重複しません。ウイルス対策は社内PCや内部ネットワークの脅威を検知しますが、CustosはWebサイトを外部から見た脆弱性（設定ミス・古いCMS・証明書の問題など）を診断します。どちらも必要な対策です。

A.はい。WordPressは世界シェア40%超のCMSであるため攻撃者の標的になりやすく、プラグインの脆弱性が毎月多数報告されています。Custosはプラグインのバージョンや既知CVEを自動チェックします。

A.CVE（Common Vulnerabilities and Exposures）は世界共通の脆弱性識別番号です。米国NISTのデータベースと連携し、お客様のサイトで使用しているソフトウェアに新しい脆弱性が登録されると即時メール通知します。

A.主に①顧客情報・カード情報の漏洩による損害賠償・行政指導、②改ざんによる信頼失墜とSEO評価の急落、③ランサムウェアによる業務停止の3つです。中小企業の場合、事後対応費用が数百万〜数千万円に上るケースもあります。

A.AIの登場で攻撃の自動化・大量化が進んだためです。以前は「小さな会社は狙われない」という認識もありましたが、現在は脆弱なサイトを自動でスキャンして攻撃するボットが常時稼働しており、規模に関係なく被害が発生しています。

導入・レポート活用

A.はい。レポートはすべて日本語で「危険度Lv.5（緊急）」のように優先度つきで表示されます。エンジニアが不在でも何を誰に依頼すべきかが明確になります。

A.独立した第三者視点の診断は必要です。制作会社の「対応済み」は開発時点の判断であり、その後に公開された脆弱性（CVE）やサーバー設定変更は含まれません。Custosは常に最新の脅威情報と照合します。

A.はい。定期的なWebサイト脆弱性診断の実施は、プライバシーマーク・ISO27001・SOC2など多くのセキュリティ認証の審査要件に対応します。診断実施記録とレポートをそのまま証跡として提出できます。

A.はい。レポートはPDF出力に対応しており、経営会議・取引先へのセキュリティ報告・監査対応などにそのままご活用いただけます。

A.修正ガイドに沿って自社エンジニアまたは外注先に依頼できます。Custosは「何を・どの順番で修正すべきか」を明確にするので、エンジニアへの依頼がスムーズになります。修正作業の代行をご希望の場合はお気軽にお問い合わせください。

A.はい。管理画面でスキャン履歴を一覧表示でき、前回との差分（改善・新規リスク）も確認できます。月次継続監視では前月比の改善状況をレポートで自動まとめします。

安心・信頼性

A.違反しません。Custosは外部から公開されている情報・レスポンスヘッダー・証明書情報のみを読み取る「パッシブスキャン」を基本とし、認証突破や改ざんは一切行いません。通常のブラウザアクセスと同等の操作のみです。

A.診断データはすべて国内のサーバーに保存され、通信はTLS 1.3で暗号化されています。第三者への提供・販売は行いません。お客様のデータは契約終了から180日後に完全削除されます。

A.個人情報保護法の安全管理措置（20条）および経済産業省「サイバーセキュリティ経営ガイドライン」では、Webサイトの定期的な脆弱性診断が推奨されています。Custosの診断はこれらへの対応実績として記録できます。

A.Custosは国内の中小・中堅企業を中心にサービスを提供しています。OWASPトップ10・NISTフレームワーク・IPA発行の「中小企業の情報セキュリティ対策ガイドライン」に準拠した診断基準を採用しています。

✦ ここにない疑問は、お気軽にお問い合わせください。

お問い合わせ

今すぐ始める

Mythosミュトスが攻撃する前に
Custosクストスを配備する

URLを入力するだけ。3分でリスクがわかります。
まずは無料診断からお試しください。

不安がゼロになってからでは、たぶん動けません。
今の状態を知ることが、すべての始まりです。

無料で脆弱性診断を開始継続監視を始める

AIによるサイバー攻撃は、中小企業のWebサイトも標的にする時代になりました。

専門知識ゼロでも、AIを使えばあなたのサイトを攻撃できる

今すぐ確認してほしい、あなたのサイトの4つのリスク

Webサイトのセキュリティ対策が継続できない4つの理由