見えないリスクを、
意思決定できる情報へ。
AI と専門家が伴走する、
サイバーリスクガバナンスプラットフォーム。
専任 CISO の採用は難しくても、その機能は外部化できます。現状評価からリスクの可視化、経営層への説明、継続的な改善までを一気通貫で。
社内に CISO を置けない上場・成長企業のセキュリティ意思決定を、AI と専門家が支えます。
※ 自己診断プランは 14 日間無料(カード登録のみ・期間中の解約は無償)。ご相談・資料請求も無料です。
多くの企業が直面する
3 つの壁。
リスクの可視化から、CISO 不在の経営説明、継続的な管理まで——
上場企業から成長企業まで、共通して直面する課題です。
社内に CISO を置けない企業のための、
サイバーリスクガバナンスプラットフォーム。
CISOaaS は、AI と専門家が一体となって、貴社のサイバーリスクの現状把握・可視化・投資判断・改善を支えるプラットフォームです。
リスクの可視化
自社のどこに・どれだけリスクがあるかを定量化し、対策の優先順位まで明確に。経営層にそのまま説明できる根拠にします。
投資最適化
リスクを年間の想定損失額に換算し、対策ごとの投資対効果(ROSI)を算出。限られた予算を「どの対策に・いくら投じるべきか」で示し、経営の投資判断を支えます。
継続的ガバナンス
評価・分析・改善を継続的に回し、リスクの推移と対応状況を可視化。導入して終わりにはしません。
運営は、サイバーセキュリティサービスを専門とする「株式会社セキュアベース」
仕組みを詳しく見る評価・分析・報告まで
AI が自走する。
自己診断なら、人を介さず結果が出ます。
専門家のレビューは、経営説明力を担保したい上位プランの付加価値です。
- 01ASSESS
AI ヒアリング
AI との対話で、セキュリティ対策の実施状況を評価します。
- 02ANALYZE
リスク分析
ACRA 4 フェーズモデルで攻撃チェーンリスクを定量化します。
- 03OPTIMIZE
投資最適化
経済モデルで最適な投資配分と投資対効果を算出します。
- 04PLAN
戦略・ロードマップ
目標成熟度に向けた短期・中期・長期の施策計画を策定します。
- 05REPORT
レポート
経営層向けレポートを自動生成。ここまで人を介さず到達します。
専門家レビュー
AI の評価をセキュリティコンサルタントが検証・承認。経営への説明力を担保します。
自己診断では、評価・分析・レポートをすべて AI が自走し、人を介さず完結します。
専門家レビュー以上のプランでは、確定前にセキュリティコンサルタントが外部 CISO として承認し、経営への説明力を担保します。
評価の終了後は、課題への対応が中心に。
初回の評価で洗い出されたセキュリティ課題は、リスク項目として一覧で管理できます。担当者・期限・対応状況・コメントを記録し、進捗をダッシュボードで可視化。2 回目以降の評価では、前回から状況が変わった項目を中心に短く確認すればよく、ゼロからやり直す必要はありません。経営層向けレポートは、いつでも最新の状態で出力できます。
発生時は CSIRT で対応し、収束後は学びをリスクへ。
万一インシデントが発生した際は、あらかじめ定義した CSIRT 体制のもとで記録・状態管理し、対応タイムラインを残せます。収束後のポストモーテムからは再発防止のためのリスク項目を生成し、次の評価・改善サイクルへ還元します。
手に入るのは、機能ではなく成果。
CISOaaS の導入で、セキュリティは「統制できていない状態」から
「統制し、意思決定できる状態」へ変わります。
現状把握
何が足りないのか分からない
フレームワーク準拠で抜け漏れなく把握できる
リスクの可視化
リスクは担当者の感覚値
攻撃チェーン上で定量化し、損失額は確率分布で示せる
改善優先順位の明確化
どこから着手すべきか不明
投資対効果(ROI)で優先度がランキングされる
経営層への説明
説明できず、予算が通らない
想定最大損失まで添えて、経営層に定量的に説明できる
監査対応
都度、資料を手作業で準備
評価履歴と監査ログで、いつでも証跡を提示できる
継続的な改善
一度きりの評価で形骸化
改善サイクルの進捗を経時で可視化できる
対応フレームワークで、抜け漏れなく評価。
CIS Controls・NIST CSF・ISO 27001 など主要フレームワークに準拠し、成熟度スコアとリスクレベル分布で、現状を定量的に可視化します。
- 総合スコアとグレード:0〜100 のスコアと S/A/B/C/D グレードで、セキュリティ成熟度をひと目で把握できます。
- フレームワーク充足率:CIS Controls の IG1/IG2/IG3、NIST CSF の 6 機能カバレッジなど、規格ごとの達成度を可視化します。
- リスクレベル分布:検出したリスクを Critical / High / Medium / Low の重大度別に集計し、優先度を明確にします。
リスクの全体像が、ひと目で。
バラバラだった評価結果を 1 つのダッシュボードに集約。経営層への報告も、現場の改善も、同じ画面から始められます。
- リスクが一目で分かる:スコア・リスク分布・フレームワーク充足率を 1 画面に集約。今どこが弱いかが直感的に把握できます。
- 経営層と現場が同じ絵を見る:専門用語に頼らない可視化で、経営層・情シス・監査部門が同じ現状認識を共有できます。
- 投資判断の根拠がそろう:想定損失額(FAIR の確率分布)・推奨投資額・対策別の投資対効果まで、意思決定に必要な数字が一箇所に集まります。
- システム停止30%
- 情報漏えい25%
- マルウェア感染20%
- 内部不正15%
- その他10%
- アクセス制御の不備¥320万
- 認証管理の遅れ¥260万
- メールセキュリティ¥180万
- バックアップ体制¥130万
- 従業員の意識向上¥97万
アクセス制御の見直し
認証基盤・メール対策の強化
監視体制の高度化
損失額と投資対効果で、投資を決める。
リスクを年間の想定損失額(FAIR の確率分布)に換算し、対策ごとの投資対効果(ROSI)まで算出。限られた予算を「どの対策に・いくら」で示します。
- 想定損失額を確率分布(95% 信頼区間・最悪値)で提示
- 対策別の投資対効果(ROSI)でランキング
- 推奨投資上限まで、意思決定の数字が一箇所に
| 対策 | ROSI |
|---|---|
| EDR 導入 | +340% |
| MFA 全社展開 | +220% |
| SIEM 構築 | +180% |
そのまま取締役会へ。
評価結果と経済分析を、経営会議・取締役会で使える PDF レポートに自動でまとめます。報告資料を作る時間そのものをなくします。
- スコアサマリー(フレームワーク別の充足度)
- 経済分析(想定損失額・最適投資額・投資対効果)
- 投資優先度(対策別 ROSI ランキング)
- セキュリティ戦略・ロードマップ(目標成熟度・短期/中期/長期の施策)
- リスク項目と対応状況の一覧
評価報告書
※ 画面はイメージです。表示している数値はサンプルであり、実際の値はご利用状況に応じて算出されます。
この数字の根拠を見るなぜ、単発で終わっていたセキュリティ評価が、
継続的なガバナンスに変わるのか。
答えは、評価のコア(評価・分析・レポート)を AI が自走するからです。
人月で費用が積み上がる従来モデルと違い、月額定額にて継続的に評価を回せます。
自動化しても、評価の客観性は妥協しません。
CISOaaS の評価は、独自手法 ACRA(MITRE ATT&CK 準拠)、損失額を確率分布で示す FAIR モデル、情報セキュリティ経済学の Gordon-Loeb モデルに基づきます。
人手を減らしても、評価の客観性と説明可能性は損ないません。
※ 従来型アセスメントや専任 CISO 採用のコスト感は一般的な市場相場に基づく当社調べであり、特定企業の価格を示すものではありません。各プランの公開価格は料金セクションをご覧ください。
価格はすべて公開。
AI が自動で完結する「自己診断」から、専門家の承認と四半期レビュー、
専任の外部 CISO 伴走、グループ横断のエンタープライズまで。
必要な体制に応じて選べます。価格は公開・明朗です。
自己診断
スモールスタート・中小向け
自分でできる、安さと速さで現状を可視化。
専門家レビュー
中堅・上場準備企業向け
専門家のお墨付きで、経営に説明できる。
専任CISO
上場・大企業(単一企業)向け
専任の外部 CISO が、継続的に伴走。
エンタープライズ
グループ経営・規制業種向け
グループ横断と、規制対応を個別設計で。
プラン別の機能比較
プラン間で何が増えるのか、機能ごとに対応の有無を一覧できます。
| プラン別の機能比較 | 自己診断 | 推奨専門家レビュー | 専任CISO | エンタープライズ |
|---|---|---|---|---|
| リスクアセスメント | 対応 | 対応 | 対応 | 対応 |
| CIS Controls 対応レベル | IG1 | IG2 | IG3 | IG3 + カスタム |
| SCS 評価制度 対応レベル | ★3 | ★4 | ★4 | ★4 + カスタム |
| フレームワーク選択支援 | 対応 | 対応 | 対応 | 対応 |
| AI ヒアリング | 対応 | 対応 | 対応 | 対応 |
| ACRA リスク分析 | 対応 | 対応 | 対応 | 対応 |
| AI 戦略・ロードマップ自動立案 | 未対応 | 対応 | 対応 | 対応 |
| リスクコントロール管理 | 対応 | 対応 | 対応 | 対応 |
| 経済分析 (Gordon-Loeb / FAIR / ALE / ROSI) | 対応 | 対応 | 対応 | 対応 |
| セキュリティ施策管理 | 対応 | 対応 | 対応 | 対応 |
| インシデント管理・CSIRT 体制 | 対応 | 対応 | 対応 | 対応 |
| インシデントの AI 支援(自動分類・ポストモーテム/再発防止リスク生成) | 未対応 | 対応 | 対応 | 対応 |
| CISO アドバイザー | 対応 | 対応 | 対応 | 対応 |
| セキュリティダッシュボード | 対応 | 対応 | 対応 | 対応 |
| 業界平均比較(ベンチマーク) | 未対応 | 対応 | 対応 | 対応 |
| PDF レポート生成 | 対応 | 対応 | 対応 | 対応 |
| 監査ログ閲覧 | 対応 | 対応 | 対応 | 対応 |
| 監査ログの改ざん検知(ハッシュチェーン) | 対応 | 対応 | 対応 | 対応 |
- 対応リスクアセスメント
- IG2IG2CIS Controls 対応レベル
- ★4★4SCS 評価制度 対応レベル
- 対応フレームワーク選択支援
- 対応AI ヒアリング
- 対応ACRA リスク分析
- 対応AI 戦略・ロードマップ自動立案
- 対応リスクコントロール管理
- 対応経済分析 (Gordon-Loeb / FAIR / ALE / ROSI)
- 対応セキュリティ施策管理
- 対応インシデント管理・CSIRT 体制
- 対応インシデントの AI 支援(自動分類・ポストモーテム/再発防止リスク生成)
- 対応CISO アドバイザー
- 対応セキュリティダッシュボード
- 対応業界平均比較(ベンチマーク)
- 対応PDF レポート生成
- 対応監査ログ閲覧
- 対応監査ログの改ざん検知(ハッシュチェーン)
専任 CISO 人材の採用は競争が激しく、人件費も高額になりがちです。
外部 CISO 機能なら、月額制で必要な体制を立ち上げ、継続的に運用できます。
経済分析によりリスク費用を算出し、セキュリティ投資判断を支援します(全プラン共通)。
価格を公開しているのは、見積もりが不透明な従来モデルとの違いを明確にするためです。
最低利用期間・お支払い条件などの詳細は、ご契約時にご案内します。
お問い合わせ・お見積もり・資料請求はすべて無料です。
自己診断プランは 14 日間無料でお試しいただけます(アセスメント 1 回・ユーザー 3 名・AI 利用量上限あり)。お申し込みにはカード登録が必要ですが、トライアル期間中の料金は発生せず、期間中にご解約いただければ無償です。14 日経過後は月額 ¥30,000(税込 ¥33,000)が自動的に課金されます。トライアルのデータは本契約後そのまま引き継がれます。詳細は特定商取引法に基づく表記をご確認ください。
よくあるご質問
導入をご検討中の方からよくいただくご質問とその回答です。
専任の CISO や専門人材がいなくても使えますか?
はい。自己診断プランでは、AI が評価・分析・レポートまで自走し、人を介さず結果が出ます。専門家レビュー以上のプランでは、確定前に当社のセキュリティコンサルタントが評価を承認し、外部 CISO 機能として運用できます。情報システム部門が兼務で対応されている体制でもご利用いただけます。
セキュリティの専門知識がなくても、経営層に説明できますか?
はい。評価結果は経営層向けの PDF レポート(スコアサマリー・経済分析・投資優先度・改善ロードマップ)に自動でまとまります。リスクの状況と投資の根拠を、定量的なデータとともに報告できます。
プランはどう選べばよいですか?
必要な体制に応じて選べます。AI が自動で完結する自己診断、専門家が確定前に承認し四半期レビューも付く専門家レビュー、専任担当が外部 CISO として伴走する専任CISO、グループ横断・規制対応を個別設計するエンタープライズの 4 プランで、料金は公開しています(エンタープライズは個別見積)。まず自己診断で現状を可視化し、経営への説明力や手厚い伴走が必要になった段階で上位プランをご検討いただけます。
各プランに AI 利用量の上限はありますか?
各プランごとに月次の AI 利用量上限を設けています。具体的な数値は契約時にご案内します。通常のご利用で上限に達することは稀ですが、上限に近づいた場合には事前にご連絡し、必要に応じて上位プランへの移行や追加枠についてご相談いただけます。
無料トライアルでは何ができますか?
ご検討中のプランと同じ機能を 14 日間無料でお試しいただけます。トライアル中はアセスメント 1 回・ユーザー 3 名まで・AI 利用量に上限があり、PDF レポートには評価用の透かしが入ります。期間終了後も 14 日間は閲覧のみ可能で、本契約に移行いただくと、トライアル中のアセスメント結果やレポートはそのまま引き継がれます。
AI の評価結果はそのまま使えますか?
ご利用プランによります。自己診断プランでは AI が一次評価から確定まで自走し、即時に結果が出ます。専門家レビュー以上のプランでは、経営層に提出する前に弊社のセキュリティコンサルタントが内容を承認する二段階フローとなり、承認後にスコア・リスク分析・レポートが確定します。
専門家レビュー プランの「1 回」とは、月 1 回ですか?
「1 アセスメント(1 回の評価)につき、確定前に 1 回」のレビュー・承認を指します。月ごと・契約期間ごとの回数ではありません。同一テナントで複数のアセスメントを実施する場合は、それぞれの確定前にレビューが入ります。
リスクや損失額は、どのように算出するのですか?
リスクは独自手法 ACRA(MITRE ATT&CK 準拠)で攻撃チェーン上に定量化し、想定損失額は国際標準 FAIR(Factor Analysis of Information Risk)とモンテカルロ・シミュレーションにより「確率分布」として算出します。「年間損失は 95% の確率でいくらの範囲に収まり、最悪ケースでいくらを超えるか」まで提示するため、単一の予測値より確度の高い投資判断材料になります。最適投資額は情報セキュリティ経済学の Gordon-Loeb モデルで算出します。
複数のフレームワークを並行して評価できますか?
はい。CIS Controls v8.1.2 / NIST Cybersecurity Framework (CSF) 2.0 / ISO 27001:2022 / サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)/ OWASP Top 10 for LLM / AIガバナンス成熟度評価 の 6 フレームワーク、計 628 評価項目を同一テナント内で並行アセスメントできます。アセスメントごとに別の IG / ★ レベルを選択することも可能です。
AI システム(生成AI / LLM)固有のセキュリティリスクは評価できますか?
はい。OWASP Top 10 for LLM Applications 2025(MITRE ATLAS の攻撃戦術タグ付き)に対応しており、プロンプトインジェクション・機密情報漏洩・データ/モデルポイズニング・過剰なエージェンシー等の AI 固有リスクを、既存のサイバーリスク分析(ACRA)・投資対効果(ROI)と同じ枠組みで可視化できます。社内チャットボット・RAG・AI エージェント等を業務利用・開発・提供している組織向けです。
AI の利用・開発に関する組織ガバナンス(体制・ポリシー・リスク管理・監視)は評価できますか?
はい。NIST AI RMF 1.0 と ISO/IEC 42001:2023 の観点を参照して当社が独自に構成した「AIガバナンス成熟度評価」(10 管理領域・68 設問)で評価できます。OWASP Top 10 for LLM が個々の AI システムの技術的リスクを扱うのに対し、本フレームワークは『組織として AI をどう統治・管理するか』という組織・ポリシー層を、0〜5 の成熟度として可視化します。全プランでご利用いただけます。NIST・ISO/IEC が公式に提供する規格そのものではなく、認証を保証するものではありません。
「残存リスク・シフト分析」とは何ですか?
ロードマップの各フェーズを終えたと仮定したときに、攻撃者にとって狙いやすい領域がどこへ相対的に移るかを、セキュリティゲーム理論(Stackelberg Security Games; Tambe ほか, 2011)の考え方を応用した独自モデルで先読みし、AI が解説を添える機能です。実際の攻撃発生確率を予測するものではありません。専任CISO / エンタープライズプランで提供します。詳しい算出根拠と参考文献(DOI 付き)はヘルプの「残存リスク・シフト分析 算出根拠」セクションをご覧ください。
グループ会社のセキュリティ状況を集計できますか?
可能です。専門家レビュー プランで最大 5 つ、専任CISO プランで最大 15 のテナントを管理でき、より大規模なグループ構成はエンタープライズ プラン(個別見積)で対応します。親テナントの管理者・閲覧者は各テナントのスコア・リスク・契約状況を横断的に閲覧・集計でき、データはテナント間で完全分離されます。
データはどこに保存されますか?
AWS 東京リージョン内に保存されます。テナント間でデータは完全分離され、ログインから評価・レポート生成までの主要操作はすべて監査ログに記録されます(1 年間保持・CSV / JSON エクスポート対応)。
入力したデータが AI の学習に使われることはありますか?
いいえ。AI ヒアリング・リスク分析・レポート生成に AI(大規模言語モデル)を利用しますが、本サービスを通じて送信されたデータが AI の学習に使われることはありません。データは AWS 東京リージョン内に保存され、テナント間で完全に分離されます。詳細はプライバシーポリシーに記載しています。
セキュリティ対策は十分ですか?
多要素認証、強固なパスワードポリシー、ブラウザセキュリティ対策、機能別のレート制限、全主要操作の監査ログ保持・エクスポート、エラー監視を実装しています。テナント間のデータは完全に分離され、相互参照できない設計です。
契約期間や解約条件はどうなっていますか?
月単位のサブスクリプション契約です。最低利用期間など詳細についてはお問い合わせください。