FUKLab第三者評価レポートの提供
顧客説明や納品前確認に使える、リスク一覧、再現条件、影響度、改善優先度を含む報告書を作成します。
AI開発会社・SIer向け提携
AI開発会社・SIer向け
生成AIセキュリティ評価パートナー
生成AIアプリケーション、RAG、AI Agentを開発・提供する企業向けに、第三者のAIセキュリティ評価を提供します。顧客提案、納品前確認、本番リリース前レビュー、監査・説明資料の作成に、FUKLabの診断・設計レビュー・AI Red Teamを組み込めます。
AI開発案件で増えている確認事項
AI開発案件で、セキュリティ説明が求められる場面が増えています
生成AIアプリケーションの導入が進む一方で、顧客からは「プロンプトインジェクションへの対策はどうなっているか」「社内文書や顧客情報が漏えいしないか」「AI Agentが外部ツールを誤操作しないか」といった確認が求められるようになっています。
受託開発会社やSIerにとって、AIセキュリティ評価を自社内だけで完結させるのは簡単ではありません。FUKLabは、開発会社・SIerの案件に第三者評価として参画し、提案時の安心材料、納品前のリスク確認、改善提案の整理を支援します。
01顧客からAIセキュリティ対策を聞かれる
RAG、AIチャット、AI Agentの提案時に、プロンプトインジェクション、機密情報漏えい、権限境界、外部連携の説明が必要になるケースがあります。
02既存のWeb診断だけではAI特有のリスクを説明しにくい
LLMの応答制御、RAGの検索結果混入、Agentのツール実行など、生成AI固有のリスクを十分に評価できない場合があります。
03納品前に第三者評価レポートがほしい
開発会社自身の確認だけでなく、外部専門家による評価結果を顧客説明や納品資料に含めたい場合に活用できます。
04AI Red TeamやLLM診断の専門人材を社内で抱えにくい
案件ごとに専門人材を確保する負担を抑え、必要な範囲だけ外部パートナーとして組み込めます。
05提案段階でセキュリティ評価を差別化要素にしたい
AIアプリ開発にセキュリティ評価をセットで提案し、本番運用まで見据えた提案にしやすくなります。
06リリース後の改善・再テストまで支援したい
単発診断だけでなく、改善相談、再テスト、ガードレール評価、継続的なレビューまで接続できます。
FUKLabが提供できる価値
御社のAI案件に、第三者のセキュリティ評価を追加できます
FUKLabは、AIアプリケーションの設計、診断、運用改善を対象に、LLMアプリ脆弱性診断、RAGセキュリティ診断、AI Agent / Tool Abuse診断、AI Red Team、AIセキュリティ設計レビューを提供します。開発会社・SIerの案件に合わせて、スポット診断、共同提案、再委託、継続支援など柔軟に対応します。
提案段階からのスコープ整理
対象システム、AI機能、RAG/Agent連携、利用データ、希望納期を確認し、適切な診断範囲と見積もり前提を整理します。
AI特有の攻撃面を評価
Prompt Injection、System Prompt Leakage、RAGの権限境界、Tool Abuse、外部送信、ガードレール回避、再現性・改善優先度などを確認します。
技術部門と顧客説明の両方に対応
開発チーム向けの技術詳細だけでなく、PM、情シス、CISO、経営層向けに説明しやすいサマリーも整理します。
設計段階から本番後まで支援
要件定義・設計レビュー、本番前診断、AI Red Team、運用後の再テスト・継続支援まで、案件フェーズに応じて対応できます。
紹介元・元請企業との関係性を尊重
エンド顧客との関係性を尊重し、案件の進め方、報告会への参加有無、社名表示、契約形態は事前に合意した範囲で対応します。
このような企業との連携を想定しています
AI受託開発会社生成AIチャット、社内LLM、RAG、AI Agent、業務自動化AIを開発している企業。
SIer / システム開発会社大企業向けにAI導入、業務システム連携、クラウド基盤構築、PoC支援を行っている企業。
クラウドインテグレーターAzure OpenAI、Amazon Bedrock、Vertex AI、AWS、Azure、Google Cloud を活用したAI基盤を構築している企業。
AI導入コンサルティング会社DX推進、生成AI導入、AI活用ルール整備、業務改善支援を行っている企業。
Webアプリ診断会社 / セキュリティ会社既存のWeb診断やクラウド診断に加えて、LLM/RAG/Agent領域の評価メニューを補完したい企業。
SaaS / AIプロダクト企業自社AI機能の第三者評価、営業資料としてのセキュリティ説明、顧客監査対応を強化したい企業。
案件に合わせた提携形態に対応します
| 提携形態 | 想定する進め方 |
|---|---|
| 紹介・送客 | AIセキュリティ評価が必要な顧客をご紹介いただき、FUKLabが診断範囲の整理、見積もり、実施、報告を行います。紹介条件や契約形態は個別に調整します。 |
| 共同提案 | 開発会社・SIerの提案に、FUKLabのAIセキュリティ評価を組み込みます。提案段階での診断範囲整理、概算見積、顧客向け説明を支援します。 |
| 再委託・外部専門家としての参画 | 元請企業の体制内で、FUKLabがAIセキュリティ評価担当として参画します。社名表示、報告書の扱い、顧客ミーティング参加有無は案件ごとに調整します。 |
| 第三者評価レポート提供 | 納品前、本番リリース前、監査前に、外部専門家による評価レポートを作成します。顧客向け説明資料や改善計画のベースとして活用できます。 |
| 継続アドバイザリー | AI機能を継続的に開発・改修する企業向けに、月次レビュー、設計相談、軽微な再テスト、脅威情報の反映を支援します。 |
| ホワイトラベル・非公開対応 | ホワイトラベル、社名非公開、パートナー企業名義での資料化などは、契約条件、責任範囲、報告書の表記を確認したうえで個別に相談可能とします。 |
契約形態、再販条件、紹介条件、社名表示、報告書の名義、エンド顧客とのコミュニケーション範囲は、案件ごとに事前合意のうえ決定します。
このようなAI開発案件に組み込めます
社内RAG / ナレッジBotの本番前診断
部署別権限、文書分類、引用表示、メタデータ設計、権限外文書参照のリスクを確認します。
顧客向けAIチャットボットの納品前診断
Prompt Injection、機密情報出力、System Prompt Leakage、出力制御、再現性・改善優先度を確認します。
AI Agent / MCP / 外部API連携の安全性評価
Agentが実行できる操作、承認フロー、外部送信、権限逸脱、Tool Abuseのリスクを確認します。
Azure OpenAI / Amazon Bedrock を使ったAI基盤の設計レビュー
データフロー、認証・認可、ネットワーク、ガードレール、運用設計の観点でレビューします。
AI導入前のリスク評価・社内説明資料作成
利用目的、入力データ、外部送信、利用規程、委託先、説明責任を整理し、社内合意形成を支援します。
AI Red Teamによる高リスク案件の横断評価
RAG、Agent、外部API、業務フロー、承認プロセスを横断し、複合的な攻撃シナリオを評価します。
既存Web診断へのAI観点の追加
通常のWebアプリ診断に加えて、LLM機能、RAG、AI Agent固有の攻撃面を確認します。
診断後の改善・再テスト・継続支援
指摘事項の修正方針、優先度整理、再テスト、月次レビュー、追加機能の簡易確認を支援します。
提携先の案件に合わせて、必要なサービスを選択できます
| サービス | 概要 | 向いている場面 |
|---|---|---|
| Prompt Injection Quick Scan | PoC中や本番前のAIアプリに対して、代表的な攻撃パターンの成立可否を短期間で確認します。 | 初期確認、顧客提案前、簡易リスク確認 |
| LLMアプリ脆弱性診断 | AIチャット、社内LLM、LLM API連携機能に対して、Prompt Injection、機密情報出力、出力制御、再現性・改善優先度を確認します。 | 納品前、本番リリース前、顧客向け第三者評価 |
| RAGセキュリティ診断 | 社内文書検索、ナレッジBot、RAG構成に対して、権限外文書参照、引用漏えい、メタデータ設計を確認します。 | 社内RAG本番化前、文書範囲拡大時、権限設計変更時 |
| AI Agent / Tool Abuse診断 | AI Agent、MCP、外部API、SaaS連携に対して、ツール実行、権限逸脱、承認回避、外部送信を確認します。 | Agent本番前、外部API連携追加時、業務操作自動化前 |
| AI Red Team | AIシステム、業務プロセス、データ連携、運用設計を横断し、攻撃者視点で複合的なリスクを評価します。 | 高リスク案件、重要顧客向けAI、監査前、経営説明前 |
| AIセキュリティ設計レビュー | 開発前・設計中のAIアプリに対して、アーキテクチャ、データフロー、権限、運用ルール、ガードレール設計を確認します。 | 要件定義中、設計中、開発初期 |
| AI導入リスク評価・ガバナンス | 生成AI導入時の利用目的、データ、委託先、規程、運用、説明責任を整理します。 | 社内導入前、利用ルール策定時、CISO・情シス・法務向け説明 |
| AI Guardrails評価 | 入力/出力制御、ポリシー、誤検知、見逃しを評価します。 | 運用中AIサービス、ガードレール導入後、改善サイクル構築時 |
| 継続AIセキュリティ支援 | 月次レビュー、追加診断、再テスト、脅威情報アップデート、設計相談を継続的に支援します。 | 継続開発、単発診断後の改善、AI機能の頻繁な更新 |
提携相談から案件対応までの流れ
提携相談
まずは、貴社の事業内容、AI開発案件の種類、想定している顧客層、提携形態の希望を確認します。
対象案件・スコープ整理
対象となるAIアプリ、RAG、Agent、外部連携、利用データ、環境、納期、報告書の用途を確認します。
契約形態・役割分担の確認
紹介、共同提案、再委託、第三者評価、ホワイトラベルなど、案件に合わせて役割分担、顧客対応範囲、報告書名義を確認します。
概算見積・提案支援
必要に応じて、顧客提案に使える診断範囲、期間、成果物、概算費用を整理します。
診断・レビュー実施
合意した範囲に基づき、設計レビュー、LLM診断、RAG診断、Agent診断、AI Red Teamなどを実施します。
報告・改善提案
技術詳細、影響度、改善優先度、経営向けサマリーを整理し、必要に応じて報告会や顧客説明を支援します。
再テスト・継続支援
修正後の再テスト、追加機能のレビュー、月次相談、ガードレール評価など継続的な支援に接続できます。
顧客説明や納品前確認に使える成果物を提供します
診断・評価報告書対象範囲、確認観点、検出事項、再現条件、影響度、改善方針を整理します。
経営・情シス向けサマリー技術詳細だけでなく、業務影響、顧客影響、対応優先度を短く整理します。
改善Backlog開発チームが対応しやすいように、指摘事項を優先度、修正方針、実装難易度の観点で整理します。
テストケース・確認観点一覧実施した確認観点、未実施範囲、再テスト対象を明確にします。
報告会・説明支援必要に応じて、パートナー企業またはエンド顧客向けに報告会を実施します。
再テスト結果修正後の確認結果を整理し、対応済み・継続対応・残リスクを明確にします。
秘密情報・顧客情報の取り扱い
提携案件では、エンド顧客のシステム情報、設計資料、プロンプト、認証情報、社内文書など、機微な情報を扱う可能性があります。FUKLabでは、診断に必要な情報の範囲を事前に確認し、秘密情報の取り扱い、AI利用方針、報告書の共有範囲を明確にしたうえで対応します。
- NDA締結後の情報共有に対応可能
- 診断に必要な情報を最小限に整理
- 報告書の共有範囲を事前に確認
- 原則として、顧客の秘密情報や診断データを外部生成AIに入力しない
- 報告書の名義、社名表示、エンド顧客への説明範囲は事前に合意
- 紹介元・元請企業との関係性を尊重
対象外・個別相談となる範囲
以下は通常の提携・診断範囲には含まれません。必要に応じて個別にご相談ください。
- 法的意見書の作成
- 規制適合性の保証
- AIモデルそのものの安全性保証
- 24時間365日の監視・SOC運用
- 物理侵入、ソーシャルエンジニアリング、マルウェア投入
- 本番環境での破壊的な検証
- 大規模なソースコード全量レビュー
- クラウド環境全体の設定診断
- インシデント調査・フォレンジック
- エンド顧客への直接営業は、紹介元・元請企業との合意なく行いません。
よくある質問
Q1. 提案段階から相談できますか?
はい。対象となるAI機能、RAG/Agent連携、想定スケジュール、顧客が懸念している点を伺い、提案に含めやすい診断範囲や概算費用を整理します。
Q2. エンド顧客との打ち合わせに同席できますか?
可能です。元請企業・紹介元企業との役割分担を事前に確認したうえで、技術説明、診断範囲の説明、報告会などに参加できます。
Q3. 社名を出さずに対応できますか?
社名表示、報告書名義、ホワイトラベル対応は個別に相談可能です。責任範囲、報告書の扱い、顧客への説明方法を事前に確認します。
Q4. 紹介元の顧客に直接営業されることはありませんか?
紹介元・元請企業との関係性を尊重し、合意なくエンド顧客へ直接営業することはありません。連絡範囲やコミュニケーション方法は事前に取り決めます。
Q5. Webアプリ診断会社でも提携できますか?
可能です。既存のWebアプリ診断に加えて、LLMアプリ、RAG、AI Agent固有の観点を補完する形で連携できます。
Q6. ソースコードがなくても診断できますか?
可能な範囲で対応できます。画面、API、テストアカウント、設計情報、RAG対象範囲、外部連携情報などから評価可能です。ソースコードレビューが必要な場合は別途範囲を整理します。
Q7. 本番環境でも診断できますか?
本番環境での確認は、影響範囲、禁止事項、検証時間帯、テストアカウント、影響確認体制を事前に確認したうえで、可能な範囲に限定して実施します。破壊的な検証は原則として行いません。
Q8. 短納期の案件にも対応できますか?
対象範囲を限定した Prompt Injection Quick Scan や設計レビューであれば、短期間で対応できる場合があります。詳細診断やAI Red Teamは、対象規模に応じて期間を調整します。
Q9. 継続的なパートナー契約はできますか?
可能です。月次相談、提案支援、再テスト、軽微なレビュー、脅威情報アップデートなどを含む継続AIセキュリティ支援として相談できます。
Q10. 料金や契約形態はどうなりますか?
対象システム、診断範囲、成果物、報告会の有無、契約形態によって変動します。紹介、共同提案、再委託、第三者評価など、案件ごとに条件を整理して見積もりします。
AI開発案件に、第三者のセキュリティ評価を組み込みませんか
顧客提案前、本番リリース前、納品前、AI機能の追加時など、対象範囲がまだ固まっていない段階でも相談可能です。まずは、想定している案件、AI機能の概要、希望する提携形態をお聞かせください。
お問い合わせフォームの「ご相談内容の種類」では「AI開発会社・SIer向け提携相談」を選択してください。