株式会社Leach、IPAへの脆弱性報告が正式受理 ─ 責任ある情報開示で日本のサイバーセキュリティに貢献

株式会社Leach、IPAへの脆弱性報告が正式受理

株式会社Leach（リーチ）は、IPA（独立行政法人情報処理推進機構）の脆弱性届出制度を通じて、あるWebサービスの潜在的な脆弱性を報告し、正式に受理されたことを発表しました。IPAより「脆弱性関連情報届出受理証明書」が発行され、これは「Responsible Disclosure（責任ある情報開示）」を実践した事例として公開されています。

この件に関する詳細記事は、Leachのブログで確認できます。
IPAに正式受理された脆弱性報告の実録（leach.co.jpブログ）

脆弱性届出制度とは

IPAの脆弱性届出制度は、2004年7月に始まった、ソフトウェアやWebサイトの脆弱性を発見した人が、IPAを通じて開発者や運営者に安全に情報を伝えるための仕組みです。

この制度により、脆弱性を報告する人は法的なリスクを負うことなく情報を報告できます。IPAが受付や調整を行い、JPCERT/CCと連携して修正を促します。修正が完了すると、JVN（Japan Vulnerability Notes）で情報が公開される流れです。この制度は、日本のサイバーセキュリティの向上に大きく貢献してきました。

Responsible Disclosure（責任ある情報開示）とは

Responsible Disclosureとは、脆弱性を発見した際に、すぐにその情報を公開するのではなく、まず開発者や運営者に非公開で報告し、修正のための時間を確保した上で情報を公開する手法です。

これは、脆弱性情報が悪意のある攻撃者に利用されるリスクを最小限に抑えるための、セキュリティに関する良い取り組みとされています。GoogleやMicrosoft、Appleなどの大手企業も推奨しており、株式会社Leachもこの公的な枠組みを利用して実践しました。

セキュリティの目を持つエンジニアだからこそ気づけた事象

Leach代表の冨永拓也氏は、普段から最新のクラウド技術を学ぶ中で、オンラインのコンテナ演習環境の起動ログや動作に違和感を覚え、調査を始めました。

冨永氏は、東芝ソフトウェア技術センターでの9年間の研究開発経験を持ち、AWS認定資格をすべて取得するなど、クラウドインフラのセキュリティに関する深い知識を持っています。一般の利用者には気づきにくい事象でしたが、セキュリティエンジニアの視点で検証を重ねた結果、潜在的な脆弱性を特定しました。悪用されると影響が出る可能性があると判断し、公的機関への届出を決めました。

IPAへの届出プロセスと受理

脆弱性発見後、IPAの届出フォームを通じて、影響範囲の概要、再現手順、想定される悪用シナリオ、連絡先などの情報が提出されました。

送信から数日以内に受理確認メールが届き、取扱い番号が付与されて正式な調査・調整フェーズに移行。その後、数週間で「脆弱性関連情報届出受理証明書」が発行されています。

※技術的な詳細は、サービス運営者およびIPAとの調整プロセスの中で取り扱われるため、本記事では公開されていません。

法人として脆弱性届出を行う意義

脆弱性の届出は個人のセキュリティ研究者が行うことが多いですが、企業が組織として脆弱性を発見・報告し、その活動を公開することには以下の3つの大切な意味があります。

セキュリティ能力の証明：IPAに受理されるレベルの脆弱性報告ができることは、Leachの高い技術力を客観的に示すものとなります。
顧客への安心感の提供：Leachは生成AI顧問サービスで企業のシステム開発・運用を支援しています。セキュリティの観点から自ら社会に貢献する企業であることは、顧客にとっての信頼につながります。
業界全体のセキュリティ向上への貢献：脆弱性を安全に報告する文化を企業が実践することは、日本の情報セキュリティ全体のレベルアップに欠かせません。

Leach 生成AI顧問のセキュリティ支援

Leachが提供する生成AI顧問サービスでは、システム開発・運用における「セキュリティ」と「最新技術の活用」の両方を重視しています。月額5万円からの顧問契約で、以下のサービスを提供しています。

生成AIをはじめとする最先端技術の導入支援
システムアーキテクチャのセキュリティレビュー
クラウドインフラ（AWS / GCP / Azure / Cloudflare）のセキュリティ設定最適化
脆弱性対応のアドバイザリ
緊急時のセキュリティインシデント対応支援

AWS認定資格をすべて取得しているCEOが直接サポートし、クラウドセキュリティに関する豊富な経験と最新の知識を提供します。

詳細はこちら：Leach 生成AI顧問サービス

株式会社Leachの技術的強みと実績

株式会社Leachは、2024年11月に設立された生成AI専門のスタートアップです。AWS認定資格全12冠を国内最短級で取得したCEOの冨永拓也氏が率いる技術者集団で、これまでに40社以上（個人含む）のAI支援実績があります。

2026年には国際ハッカソンで技術賞を、その2週間後には別のイベントでVoiceOS賞を受賞するなど、国際的にも評価されています。また、2025年には日本ソフトウェア科学会（JSSST）のチュートリアル講師として招聘され、学術界にも生成AIエージェントの最前線を発信しました。

代表の冨永氏は、東芝ソフトウェア技術センターでの9年間の研究開発経験や、東京大学と共同開発したAI技術者教育プログラムでの上位入賞など、AIに関する高い技術力を持っています。特許の発明者でもあり、研究・開発・セキュリティの3つの分野をカバーできる点がLeachの技術的な強みです。

自社AIサービスと業種特化AIシステム

Leachは顧問サービスに加え、自社開発のAIツールも提供し、現場業務の自動化を支援しています。

Saturn（サターン）：CORECの受注データからfreeeの請求書を自動作成するAI転記ツール。品目名の表記ゆれも自動でマッチングし、作業時間を大幅に短縮します。
突合.com（トツゴウ）：請求書と納品書など、2つのPDFを投入するだけでAIが自動でマッチングを一次チェック。数百ページ規模のPDF突合にも対応し、作業時間を削減します。

さらに、業種に特化したAI業務システム（OSシリーズ，β版）も展開しており、製造業、イベント運営、資材リース業、転職エージェント、運送会社、産廃業者など、様々な業種の課題解決をサポートしています。

今後の展望とお問い合わせ

Leachの生成AI顧問サービスは、月額5万円から利用でき、Slackでの即時対応を基本として、生成AI・Web・インフラを一貫してサポートします。

「AIを導入したいが何から始めればよいかわからない」「開発会社の見積もりが適正か判断できない」「手作業が多くて現場が疲弊している」といった企業の相談相手として機能し、コスト削減の実績も持っています。

生成AIの導入ロードマップ設計、LLM（大規模言語モデル）の選定、RAG（検索拡張生成）やAIエージェントの構築支援、セキュリティレビューなど、幅広い領域をカバーします。AWS、Google Cloud、Microsoft Azure、Cloudflareといった主要クラウドのセキュリティ設定最適化にも対応可能です。

Leachは、今回の脆弱性届出の経験を活かし、生成AI特有のセキュリティ問題である「プロンプトインジェクション」や、LLMをクラウドサービスで安全に利用するための研究・発信も積極的に行っていく予定です。AIエージェントが自動で命令を実行する時代において、企業のガバナンスとセキュリティ対応はこれまで以上に重要になります。Leachは、「生成AIを、まるごと届ける。」をミッションに、日本の生成AI活用を技術的な誠実さをもってリードしていくことを目指しています。