ケーススタディ

認証済み。それでも露出していた。.

これらの企業はSOC 2、ISO 27001、GDPRコンプライアンスに投資しました。監査に合格しました。しかし公開されている攻撃面 — クライアントバンドル、公開API、オープンエンドポイント — を分析したところ、全ての企業で重大な露出を発見しました。

テスト企業

SOC 2またはISO 27001保有

100%

重大な脆弱性を発見

12+

企業あたり平均発見件数

企業名は匿名化されています。全ての発見は公開アクセス可能な情報 — クライアントサイドバンドル、公開API、オープン設定 — から確認されました。システム侵入はありません。

GraphQL + React

3Dデザインツール（エンタープライズ）

セキュリティグレード

保有認証

SOC 2ISO 27001GDPRCCPA

発見された脆弱性

GraphQLイントロスペクション無認証 — 115タイプ、スキーマ全体公開

allUsersクエリ — ユーザーDB全体を誰でも列挙可能

全APIエンドポイントにレート制限なし

WebGL + Custom Engine

3Dデザインプラットフォーム

セキュリティグレード

B-

保有認証

SOC 2 Type ISOC 2 Type IIISO 27001GDPR

発見された脆弱性

シェーダーソース81件公開 — 独自レンダリングIP漏洩

DB全体スキーマ（16テーブル）がAPI経由で発見可能

Stripe価格設定がクライアントバンドルに完全露出

Next.js + AI Pipeline

AI音楽プラットフォーム

セキュリティグレード

B-

保有認証

SOC 2ISO 27001GDPRHIPAAPCIFedRAMP

発見された脆弱性

内部API 67件マッピング — 権限昇格パス15件発見

8つのAIモデルコードネーム+設定がセッションAPIで漏洩

未公開ロードマップ含む50+フィーチャーフラグ公開

Next.js + AI

開発者プラットフォーム（大手プロバイダー）

セキュリティグレード

B+

保有認証

SOC 2 Type IIISO 27001

発見された脆弱性

42K文字AIシステムプロンプトをプロンプトインジェクションで全抽出

内部ツール17個+Skills 30+ — AIアーキテクチャ全体露出

内部モデル設定とパートナーインフラURL公開

Vue 3 + AWS Cognito

顧客メッセージングプラットフォーム

セキュリティグレード

B+

保有認証

ISO 27001:2022GDPR

発見された脆弱性

JWTがlocalStorageに保存 — XSS脆弱性で奪取可能

PII（個人情報）がMixpanel Cookieに平文保存

MFAデフォルト無効 — 管理者アカウントにも強制なし

WASM + Custom Runtime

アニメーションエンジン（成長中）

セキュリティグレード

B-

保有認証

SOC 2ISO 27001GDPRHIPAAFedRAMP

発見された脆弱性

本番ソースマップから3,616ソースファイル復元可能

内部AI統合コード（7ファイル）Claude APIパターン公開

未文書化51 APIエンドポイントが無認証でアクセス可能

監査は合格しました。セキュリティも合格しましたか？

コンプライアンス認証はプロセスの存在を検証します。私たちは攻撃者が侵入できないかを検証します。違いがあります。

実際のセキュリティスコアを取得