ASCII STARTUPについて

メルマガはこちらから

PAGE
TOP

  1. ASCII STARTUP
  2. 株式会社Leach、IPA(情報処理推進機構)への脆弱性届出が正式受理 ── 責任ある情報開示で日本のセキュリティに貢献
  • はてなブックマーク シェアボタン
  • LinkedIn シェアボタン

株式会社Leach、IPA(情報処理推進機構)への脆弱性届出が正式受理 ── 責任ある情報開示で日本のセキュリティに貢献

PR TIMES

株式会社Leach
脆弱性発見からIPAへの届出・受理証明書の取得まで。AWS全12冠のCEOが自ら検証・報告を行い、Responsible Disclosureを実践した記録




株式会社Leach(本社:東京都港区、代表取締役:冨永 拓也)は、IPA(独立行政法人 情報処理推進機構)の脆弱性届出制度を通じて、あるWebサービスの潜在的な脆弱性を報告し、正式に受理されたことをお知らせします。IPAより「脆弱性関連情報 届出受理証明書」の発行を受け、責任ある情報開示(Responsible Disclosure)の実践事例として本件を公開します。
▶ 詳細記事:IPAに正式受理された脆弱性報告の実録(leach.co.jpブログ)
脆弱性届出制度とは ── 日本のサイバーセキュリティを支える公的報告の仕組み



IPAの脆弱性届出制度は、経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」に基づいて2004年7月に開始された制度です。ソフトウェアやWebサイトに脆弱性を発見した者が、IPAを通じて開発者・運営者に安全に情報を伝達する仕組みです。
届出者は法的なリスクを負うことなく脆弱性情報を報告でき、IPAが受付・調整機関として開発者・運営者に修正を促します。JPCERT/CCと連携して調整が行われ、修正完了後にJVN(Japan Vulnerability Notes)で情報が公開される流れです。
2004年の制度開始以来、累計で数万件の脆弱性情報がIPAに届出されており、日本のサイバーセキュリティの向上に大きく貢献しています。しかし、届出者の多くは個人のセキュリティ研究者であり、法人として正式に脆弱性届出を行い、その活動を公開している企業は多くありません。
Responsible Disclosure(責任ある情報開示)とは



Responsible Disclosureとは、脆弱性を発見した際に、いきなり公開(Full Disclosure)するのではなく、まず開発者・運営者に非公開で報告し、修正の時間を確保した上で公開する手法です。Google、Microsoft、Appleなどグローバルテック企業が推奨するセキュリティのベストプラクティスであり、脆弱性情報が悪意のある攻撃者に利用されるリスクを最小化します。
当社は、IPAの公的な枠組みを利用したResponsible Disclosureを実践しました。
背景・経緯 ── セキュリティの目を持つエンジニアだからこそ気づけた事象



普段から最新のクラウド技術を学ぶ過程で、オンラインのコンテナ演習環境を利用していた当社代表の冨永は、起動ログや動作に違和感を覚えたことをきっかけに調査を開始しました。
冨永は東芝ソフトウェア技術センターでの9年間の研究開発職で、ファームウェア開発、クラウド基盤設計、データ分析、セキュリティ対策に携わっています。AWS認定資格を全冠取得し、クラウドインフラのセキュリティに関する深い知識を持っています。
一般ユーザーには気づきにくい事象でしたが、セキュリティエンジニアの目線で丁寧に検証を重ねた結果、潜在的な脆弱性を特定。悪用されれば影響が及ぶ可能性があると判断し、公的機関への届出に踏み切りました。
IPAへの届出プロセスと受理



脆弱性を発見した後、IPAの届出フォームを通じて以下の情報を提出しました。
- 影響範囲の概要:どのような条件で脆弱性が発生するか
- 再現手順の要点:第三者が検証可能な形での再現手順
- 想定される悪用シナリオ:攻撃者が悪用した場合に起こりうる被害
- 連絡先情報:IPA側からの追加質問に対応するための連絡先

送信後、数日以内に受理確認メールが届き、取扱い番号が付与されて正式な調査・調整フェーズに移行しました。その後数週間で「脆弱性関連情報 届出受理証明書」が発行されています。
※技術的な詳細はサービス運営者およびIPAとの調整プロセスの中で取り扱われるため、本プレスリリースでは非公開としています。
なぜ法人としての脆弱性届出が重要なのか



脆弱性届出は、個人のセキュリティ研究者が行うケースが大半です。法人が組織として脆弱性を発見・報告し、その活動を公開することには、3つの意義があります。
- セキュリティ能力の証明 - 脆弱性を発見するには、対象システムのアーキテクチャ、通信プロトコル、認証メカニズムに関する深い知識が必要です。IPAに受理されるレベルの脆弱性報告を行えることは、当社の技術力の客観的な証明になります。
- 顧客への安心感の提供 - 当社は生成AI顧問サービスで企業のシステム開発・運用を支援しています。セキュリティの観点から自発的に社会貢献する企業であることは、顧客にとっての信頼材料です。
- 業界全体のセキュリティ向上への貢献 - 脆弱性は放置すれば被害拡大のリスクとなります。発見した問題を公的な枠組みで安全に報告する文化を企業レベルで実践することは、日本の情報セキュリティを底上げするうえで欠かせません。

Leach 生成AI顧問のセキュリティ支援



システム開発・運用において「セキュリティ」と「最新技術の活用」は車の両輪です。Leach生成AI顧問では、月額5万円からの顧問契約で、以下のサービスを提供しています。
- 生成AIをはじめとする最先端技術の導入支援
- システムアーキテクチャのセキュリティレビュー
- クラウドインフラ(AWS / GCP / Azure / Cloudflare)のセキュリティ設定最適化
- 脆弱性対応のアドバイザリ
- 緊急時のセキュリティインシデント対応支援

AWS全12冠を持つCEOが直接サポートし、クラウドセキュリティに関する実務経験と最新の知見を提供します。
▶ 詳細:https://leach.co.jp/ja/ai-advisoservices/advisor
よくある質問(FAQ)



Q. 発見された脆弱性の詳細は公開されますか?
A. IPAと開発者・運営者の調整プロセスに委ねられます。修正完了後にJVN(Japan Vulnerability Notes)で情報が公開される場合があります。当社から独自に技術的詳細を公開することは、Responsible Disclosureの原則に基づき控えています。
Q. セキュリティ診断サービスは提供していますか?
A. 生成AI顧問サービスの中で、システムアーキテクチャのセキュリティレビューやクラウドインフラのセキュリティ設定最適化を提供しています。
Q. AWS認定資格全12冠とは?
A. AWSが提供する認定資格を全て取得していることを意味します。Cloud Practitioner、Solutions Architect(Associate / Professional)、Developer、SysOps Administrator、DevOps Engineer、Database、Advanced Networking、Data Analytics、Machine Learning、Security、SAP on AWSの12区分です。
Q. なぜ株式会社Leachが脆弱性を発見できたのですか?
A. 代表の冨永拓也は、東芝ソフトウェア技術センターで9年間の研究開発経験を持ち、HDDファームウェア(低レイヤー)からAWSデータ分析基盤・Webアプリケーション(上レイヤー)まで幅広く担当しました。2022年に社内セキュリティコンテスト(CTF形式)で68名中5位(スコア3511 / 3551)を獲得し、SecBok2016ベースの判定でCISOロール最高レベル5を認定されています。さらにAWS認定資格全12冠を東芝社内で初めて取得し、クラウドインフラとセキュリティに関する深い知見を有しています。こうした多層的な技術バックグラウンドが、一般ユーザーでは気づきにくい脆弱性の発見につながりました。
Q. 脆弱性届出制度の利用を考えている企業へのアドバイスはありますか?
A. IPAの脆弱性関連情報届出制度は、優れた公的仕組みですが、届出には技術的な補足、再現手順の記述、影響範囲の分析が必要です。調整期間は最低でも数週間から数ヶ月を要し、JPCERT/CCとの連携の中でCVSSスコアの算出やCVE番号の割り当てを進めるケースもあります。自社サービスの脆弱性を発見した場合や、他社サービスの脆弱性を取り扱う際には、Leach生成AI顧問サービスで届出フォーマットの記載方法・コミュニケーション戦略・公表タイミングなどについて助言が可能です。
Q. 今回の届出は誰に対して行われたものですか?
A. 対象となったWebサービスの名称・運営主体・脆弱性の技術的詳細は、Responsible Disclosureの原則に基づき非公開としています。IPA・運営主体との調整結果がJVNで公開される際には、そこでリファレンス・取扱用の名前が当社にも付与される場合があります。
株式会社Leachの技術的強みと実績
会社概要

株式会社Leach(リーチ)は、2024年11月に設立された生成AI専業のスタートアップです。AWS認定資格全12冠を国内最短級(約1ヶ月)で取得したCEOの冨永拓也が率いる技術者集団で、累計40社以上(個人含む)のAI支援実績を有します。大企業からスタートアップまで、製造業・物流・建設・小売・金融・人材・食品・産廃など幅広い業種で「現場の業務をAIで自動化」する導入支援を行ってきました。
2026年3月には、米Y Combinator(YC)公認の国際ハッカソン「c0mpiled-7: San Fransokyo」(主催:Transpose Platform)において、当日結成の国際チームで技術賞「The Biggest Engineering Lift」を受賞。その2週間後にはDigital Garage共催、205名が参加したBuilders Weekend 2026 TokyoでもVoiceOS賞を受賞し、連続して国際的な評価を得ています。2025年には日本ソフトウェア科学会(JSSST)第42回大会の併設チュートリアルに講師として招聘され、生成AIエージェントの最前線を学術界にも発信しました。
代表の冨永は、国立奈良先端科学技術大学院大学(NAIST)修士課程修了。学生時代にDICOMO2014最優秀プレゼンテーション賞(293件中1位)と優秀論文賞、DPSWS2014優秀ポスター賞をトリプル受賞。東芝ソフトウェア技術センターで9年間、GoogleやMcKinseyとの共同プロジェクトにも従事しました。東京大学共同開発の「東芝版AI技術者教育プログラム」では23名中第2位に入賞するなど、AIに関する純粋な技術力においても評価されています。特許7086873の発明者でもあり、研究・開発・セキュリティの3領域を全てカバーできる点がLeachの技術的強みです。
自社AIサービスと業種特化AIシステム



Leachは顧問サービスに加え、自社開発のAIツールも提供しています。
- Saturn(サターン) - CORECの受注データからfreeeの請求書を全自動作成するスプレッドシートUIのAI転記ツール。1日8時間の転記作業を10分に短縮。月額3万円から利用でき、AIが品目名の表記ゆれも自動マッチング。
- 突合.com(トツゴウ) - 請求書×納品書など2つのPDFを投入するだけでAIが自動マッチングを1次チェック。人間はビーム表示を見てEnterキー連打するだけで突合が完了。2時間×2名の作業が30分×1名に短縮され、数百ページ規模のPDF突合にも対応。

さらに業種特化型のAI業務システム(OSシリーズ,β版)も展開しています。

今後の展望とメディアお問い合わせ



Leachの生成AI顧問サービスは、月額5万円から利用できる企業向けAI顧問契約です。Slackで即時対応を基本とし、生成AI・Web・インフラを一気通貫でサポートします。
こんな課題を持つ企業の相談相手として機能します:
- 「AIを入れたいが何から始めればよいかわからない
- 「開発会社の見積もりが適正か判定できない
- 「手作業が多くて現場が疲弊している

外部ベンダーの「門番」として高すぎる見積もりや不要な機能を見抜いてコスト削減する役割も果たし、3百万強の見積もりを実質約100万円まで圧縮した事例もあります。
支援領域は、生成AI導入のロードマップ設計、LLM(大規模言語モデル)の選定(Claude / GPT / Geminiなど)、RAG(検索拡張生成)やAIエージェントの構築支援、MCP(Model Context Protocol)連携の設計、プロンプトエンジニアリング、AIフロー自動化、攻撃面分析・ガバナンス・セキュリティレビューまで幅広い領域をカバーします。AWSだけでなくGoogle Cloud、Microsoft Azure、Cloudflareなど主要クラウドのセキュリティ設定最適化にも対応可能です。
実際の導入事例としては、方形具トップメーカーの株式会社リキマン様では荷札作成工数90%削減、ロボットカバー・ジャバラの専門メーカー様、建設金具リースの専門企業様、大型イベント運営企業様、AIエンターテインメント企業様、ミナトHDグループ(東証スタンダード上場)様東京都立産業技術大学院大学の公認ベンチャー様など、小中従業員企業から上場企業まで幅広い支援実績があります。
本リリースで言及したキーワード(脆弱性、Responsible Disclosure、IPA、JPCERT/CC、JVN、クラウドセキュリティ、AWS全12冠、生成AI顧問、AIエージェント、LLM、RAG、MCP、プロンプトエンジニアリング、CTF、CISOロール、バックオフィス自動化、RPA代替、業種特化AI、生成AIスタートアップ、AI導入支援、技術顧問、セキュリティレビュー、CVSS、CVEなど)は、当社がサービスの中で日常的に取り扱う分野です。大型言語モデル(LLM)を利用したアプリケーション開発においては、当初からセキュリティを組み込む「Security by Design」の考え方が重要であり、当社はこの考えを漏れなく顧問先企業へ導入しています。
また、生成AIの安全利用に向けた社内ガイドライン策定や、AWS / Google Cloud / Azure / Cloudflareをはじめとするクラウド環境のセキュリティ設定見直し、ネットワーク分離・IAM設計・経路分析・監査ログの保存設定SBOMに基づく依存ライブラリの脆弱性管理など、当社顧問は実務に即したセキュリティ改善提案を行います。生成AI活用による業務効率化とセキュリティは対立するものではなく、両立させてこそ企業の競争力につながると考えています。
株式会社Leachは、今回の脆弱性届出を続け、生成AIの問題と見なされる「プロンプトインジェクション」やLLMをクラウドサービスでより安全に利用するためのベストプラクティスの研究・発信も積極的に行ってまいります。AIエージェントが自動で命令を実行する時代では、企業のガバナンス・セキュリティ対応がこれまで以上に重要となります。Leachは、「生成AIを、まるごと届ける。」をミッションに、導入プレーヤーとしても、技術的誠実さを示す企業としても、両方の立場から日本の生成AI活用をリードしてまいります。
お問い合わせ
以下のご相談・お問い合わせを受け付けています:
- 生成AI顧問サービスの申込み
- 自社AIサービス「Saturn」「突合.com」の導入相談
- 業種特化AIシステム(FactoryOS / FestOS / BuildOS / RecruitOS / LogiOS / WasteOS / LeachOS)の試用相談
- 本プレスリリースに関するメディア取材・ご質問

当社Webサイト(https://leach.co.jp/)のお問い合わせフォームより受け付けています。脆弱性届出の詳細経緯については、当社ブログ「IPAに正式受理された脆弱性報告の実録」https://leach.co.jp/ja/news/ipa-accepted)にて公開しています。

本記事はアフィリエイトプログラムによる収益を得ている場合があります