結論:どちらか一方ではなく、目的で選びます
公開前チェックは、APIキー、環境分離、DB、認証、バックアップ、監視、引き継ぎなどを横断して「公開前に何を整えるか」を決めるための確認です。
正式な脆弱性診断は、対象・期間・手法を定めて技術的な脆弱性を検査する専門サービスです。AI APP GUARDの手動チェックは、その代替や安全性の保証ではありません。
4つの確認方法を比較
名前が似ていても、見ている範囲と受け取る成果物は異なります。依頼前に「何を判断したいか」を決めると、必要以上の検査や確認漏れを避けやすくなります。
| 比較項目 | 公開前チェック | コードレビュー | 自動スキャン | 正式な脆弱性診断 |
|---|---|---|---|---|
| 主な目的 | 公開・運用・引き継ぎ前の抜けを整理 | ソースコードの品質と安全性を確認 | 既知パターンを機械的に検出 | 定めた範囲を専門的に検査・評価 |
| 主な対象 | 設定、秘密情報、DB、運用、資料 | 実装、設計、変更差分 | コード、依存関係、稼働中URLなど | Web、API、ネットワーク等の契約範囲 |
| 確認方法 | 状況ヒアリングと手動確認 | 人によるコード読解 | SAST・DAST等のツール | 計画したテストと専門家の判断 |
| 成果物 | 優先順位付きの確認結果と対応案 | コード上の指摘と修正案 | ツールが検出した候補一覧 | 検査範囲、結果、評価を含む報告書 |
| 向いている状況 | 何を確認すべきか分からない公開前 | 実装内容を詳しく評価したいとき | 継続的に同じルールで確認したいとき | 契約・審査・高リスク要件があるとき |
| 主な限界 | 正式な脆弱性診断の代替ではない | 設定や実運用を別途確認する必要がある | 誤検知・見逃しを人が評価する必要がある | 対象外の領域や将来の安全までは保証しない |
AI APP GUARDが確認すること・しないこと
確認・支援すること
- 秘密情報と環境変数の管理状態
- 開発環境と本番環境の分離
- DB、個人情報、バックアップと復旧手順
- 認証・権限、ログ、監視、障害対応
- README、構成図、運用・引き継ぎ資料
- 確認結果に基づく実装・運用改善
行わない・保証しないこと
- 無料フォームからのコード自動取得
- 自動脆弱性スキャンや侵入テスト
- すべての脆弱性が存在しないという保証
- 将来の安全性、法令適合、審査通過の保証
- 正式な脆弱性診断報告書の発行
AI APP GUARDの費用
以下はAI APP GUARDが現在表示している料金です。外部の脆弱性診断サービスは対象範囲と手法が異なるため、本記事では根拠を統一できない市場相場を掲載していません。
無料チェック
0円
現状と不安点を受け付け、次に確認することを整理
ライト診断
3万〜5万円
手動確認の結果をレポートとして提示
本番化パック
15万〜30万円
優先リスクに対する実装改善を支援
引き継ぎ整備パック
20万〜50万円
構成・運用資料の整備まで支援
月額保守
月3万〜10万円
運用改善を継続支援
※ 表示価格は目安・税別です。調査対象、対応範囲、アプリの規模、資料量により個別にお見積もりします。有料対応は無料チェック後、必要な場合にだけご提案します。
状況別:どれを選ぶべきか
- AIで作ったアプリを初めて公開する まず公開前チェックで、設定・データ・運用・引き継ぎを横断して優先順位を決めます。
- 特定の実装や変更差分を詳しく見たい 対象コードを定めたコードレビューが向いています。実運用の設定は別に確認します。
- 開発中から同じルールで継続確認したい 自動スキャンをCI等へ組み込み、人が結果を評価・修正する運用を検討します。
- 契約・審査・高い安全要件がある 決済、医療、金融、多量の個人情報、委託元の検査要件などがある場合は、対象分野に対応する専門事業者へ正式な脆弱性診断を相談してください。
確認方法を理解するための一次資料
各手法の範囲は、次の公式資料で確認できます。AI APP GUARD独自の安全基準として引用するのではなく、用語と確認方法を区別するために参照しています。