Slide 1
Slide 1 text
株式会社ステラセキュリティ
会社紹介資料(ver.2025/12
)
Slide 2
Slide 2 text
当社の特徴
1.
ユーザ企業でのセキュリティエンジニア経験が豊富
代表取締役の小竹はDeNA、アカツキゲームス、SODAといったIT企業
において、セキュリティエンジニアとして豊富な経験を積んでまいり
ました。
脆弱性診断だけに留まらず社内ITやプロダクトの企画段階からセキュ
リティのアドバイスや技術的なサポートを担当しておりました。
そのため、単なる脆弱性の指摘に終わらず、お客様のビジネスや開発
の事情を深く理解した上で、実現可能かつ最適なセキュリティ対策を
ご提案いたします。
2
Slide 3
Slide 3 text
当社の特徴
2.
実績に裏打ちされた技術力
代表取締役の小竹はセキュリティ・キャンプ全国大会での講師経験、
AVTOKYOやBlackHat Arsenal、CODE BLUE Blueboxでの登壇経験が
あります。
また、リバースエンジニアリングや脆弱性診断/ペネトレーションテス
トに関する著書もあります。
これらの国内外での実績と深い知見を基に、お客様の課題解決に直結
する、信頼できるサービスを提供します。
3
Slide 4
Slide 4 text
当社の特徴
3.
検証に役立つOSS
を公開/
脆弱性を探す取り組み(CSR
)
弊社では、お客様に最高レベルのサービスを提供するため、日々、最
先端の攻撃手法を研究しております。
その一環で、社会に貢献するべく、検証作業を補助するOSSの開発、
世の中のソフトウェアの脆弱性を見つける取り組みを行っておりま
す。
4
Slide 5
Slide 5 text
OSS
の紹介
apk-medit / ipa-medit
apk-medit、ipa-meditは、ともに端末のメモリを改ざんし、不正な動
作を引き起こせないか検証するためのOSSです。
apk-meditはAndroidアプリ向けで、ipa-meditはiOSアプリ向けです。
スマホアプリの脆弱性診断を行う際に社内で利用しています。
Black Hat Arsenal、CODE BLUE Blueboxで発表しました。
https://github.com/sterrasec/apk-medit
https://github.com/sterrasec/ipa-medit
5
Slide 6
Slide 6 text
OSS
の紹介
anti-disassembly-poc
Anti-Disassemblyは、逆アセンブルを妨害する技術です。
anti-disassembly-pocは、ARM32/ARM64向けにAnti-Disassemblyを
実装したサンプルコード集です。
耐タンパ性を高めるための参考にご利用ください。
https://github.com/sterrasec/anti-disassembly-poc
6
Slide 7
Slide 7 text
OSS
の紹介
dummy
dummyは、ファイルアップロード機能の検証用のファイルを作成する
ツールです。EICARテストファイルや、任意のバイト数のCSVおよび
PNGファイルを生成できます。
公序良俗に反するファイルをお客様の環境にアップロードしないため
に作成しました。社内で脆弱性診断に利用しています。
業務に適切なファイルを作成する必要がある際にご利用ください。
https://github.com/sterrasec/dummy
7
Slide 8
Slide 8 text
役員紹介
Slide 9
Slide 9 text
代表取締役:小竹泰一
大学卒業後、株式会社ディー・エヌ・エーに入社し、セキュリティエ
ンジニアとして活躍。その後、株式会社アカツキに1人目のセキュリ
ティエンジニアとして入社し、脆弱性診断内製化、セキュリティチー
ム組成に尽力。
セキュリティキャンプ全国大会での講師経験やAVTOKYO、Black Hat
Arsenal、CODE BLUE Blueboxなど豊富な登壇経験を有する。
9
Slide 10
Slide 10 text
著書
「ポートスキャナ自作ではじめるペネトレーションテスト ―Linux
環境で学ぶ攻撃者の思考」
(オライリー・ジャパン)
「マスタリングGhidra ―基礎から学ぶリバースエンジニアリング完
全マニュアル」
(オライリー・ジャパン)
「リバースエンジニアリングツールGhidra実践ガイド:セキュリティ
コンテスト入門からマルウェア解析まで」
(マイナビ出版)
「WEB+DB PRESS Vol.118 特集3 はじめての脆弱性調査」
(技術評論社)
10
Slide 11
Slide 11 text
サービス紹介
プロフェッショナルサービス
Slide 12
Slide 12 text
ミッション:ユーザ企業のセキュリティリソー
ス不足を解決する
企業におけるセキュリティエンジニアの不在
起業して間もないスタートアップや規模が大きくない企業では、
専任のセキュリティ担当者が不在であるケースが少なくありません。
専任のセキュリティエンジニアを雇うには相応のコストが必要であ
り、そのコストを用意できる企業は多くありません。
セキュリティエンジニアを採用したくとも絶対数の少なさや自社に合
う候補者の不足により、採用は困難な状況にあります。
12
Slide 13
Slide 13 text
プロフェッショナルサービス
脆弱性診断
セキュリティ技術顧問
セキュリティチーム代行
13
Slide 14
Slide 14 text
脆弱性診断サービス
Slide 15
Slide 15 text
サービス紹介:脆弱性診断
得意としているのは認証や権限・ビジネスロジックなどの手動診断と
技術スタックに合わせた診断の提供です。
ツールのみの診断、プロダクトが使用している技術に対して適切でな
い診断など効果が疑わしい診断は提案いたしません。
ツールは、その強みが活きる箇所で効果的に活用します。
Web
スマホアプリ(iOS/Android)
プラットフォーム
15
Slide 16
Slide 16 text
セキュリティ技術顧問サービス
Slide 17
Slide 17 text
サービス紹介:セキュリティ技術顧問
「社内にセキュリティの専門家がいない」
「ツールを開発したいが知
識が不足している」企業様に向けたセキュリティ技術課題を解決に導
くサービスです。
豊富な実績と経験を持つ代表の小竹がお客様と並走し、抱えている課
題の解決を支援いたします。セキュリティベンダの方にも、ご利用い
ただけます。
17
Slide 18
Slide 18 text
サービス紹介:セキュリティ技術顧問
ご相談いただけることの一例
セキュリティツールを開発したい
脆弱性診断メニューを拡充したい
プロダクトの耐タンパ性を向上させたい
技術調査、研究を手伝ってほしい
セキュリティ製品を評価したい
脆弱性診断を内製化したい
18
Slide 19
Slide 19 text
セキュリティR&D
支援プラン
セキュリティ製品や、セキュリティ機能を持つSaaSの開発における
「技術的な不確実性」を排除するプランです。
攻撃トレンドの調査から、検知エンジンのアルゴリズム設計、AI学習
用データの作成まで、製品の「コア技術」の研究開発を弊社エンジニ
アがバックアップします。
その検知ロジックは、最新の脅威に通用するか
攻撃者視点の「技術検証」と「ロジック開発」で、製品の競争力
を高める
“
“
19
Slide 20
Slide 20 text
セキュリティR&D
支援プランの主な提供内容
検知ロジックの研究・開発支援
AI/ML向け学習データセット作成
製品に対する回避(Bypass/Evasion)テスト
技術トレンド調査・競合製品分析
20
Slide 21
Slide 21 text
セキュリティ製品評価プラン
セキュリティ製品の導入において、失敗は許されません。
しかし、ベンダーが用意したデモ環境や機能一覧表だけでは、実際の
防御能力は見えません。
本プランでは、経験豊富なセキュリティエンジニアがお客様の「目利
き」となり、導入候補の製品に対して技術的な評価を行います。
実際の攻撃手法を用いた検証を行い、組織のリスク許容度と運用体制
にマッチした製品選定を支援します。
カタログスペックでは分からない「真の実力」を評価
攻撃シナリオを用いた検証で、貴社の環境に最適なツールを選定
“
“
21
Slide 22
Slide 22 text
セキュリティチーム代行サービス
Slide 23
Slide 23 text
サービス紹介:セキュリティチーム代行
当社のメンバーはスタートアップ及び上場企業のセキュリティエンジ
ニアとして豊富な業務経験があります。
この経験を活かして課題解決のお手伝いをいたします。
気軽に相談できるセキュリティチームとしてご利用ください。
23
Slide 24
Slide 24 text
サービス紹介:セキュリティチーム代行
ご相談いただけることの一例
日々の疑問を都度解決したい
脆弱性診断を内製化したい
ベンダの診断結果に対応できない
セキュリティ施策のロードマップを作成してほしい
従業員端末のキッティング時の設定に不安がある
CSIRTを構築したい
セキュリティ担当の募集要項を作成したい
24
Slide 25
Slide 25 text
DevSecOps
支援プラン
開発スピードを落とさずにセキュリティ品質を担保したい、
SaaS事業者様に最適なプランです。
「ツールの導入」だけでなく、リスク分析を弊社がサポートすること
で、開発者がコア業務に集中できる環境を作ります。
あなたのDevOpsチームに、専門家を「プラグイン」
設計相談からCI/CD統合、日々の運用まで、
開発サイクルにセキュリティを完全統合
“
“
25
Slide 26
Slide 26 text
DevSecOps
支援プランの主な提供内容
1.
脆弱性管理ツールの運用サポート
Amazon Inspector、Dependabot、Trivyなどが検出する膨大なアラー
トのトリアージをお手伝いします。
現実的な運用ができるようフィルタの設定や指摘事項のリスクレベル
を評価し「本当に修正が必要な項目」のみを開発チームへ連携しま
す。
26
Slide 27
Slide 27 text
DevSecOps
支援プランの主な提供内容
2. CI/CD
へのセキュリティツールの組み込み
GitHub Actions等のCIに静的解析(SAST)ツール等を組み込み、
自動検査が走る仕組みを構築・維持します。
3.
設計フェーズからの相談
実装前のアーキテクチャ選定や仕様検討の段階からセキュリティレビ
ューに入り、手戻りのない安全な設計を支援します。
Security by Designを実践します。
27
Slide 28
Slide 28 text
最高情報セキュリティアドバイザープラン
専任のCISOを置くことが難しい組織において、経営層や管理職の意思
決定を技術的側面から支える「参謀役」を提供します。
民間企業のガバナンス強化から、独立行政法人等の政府機関のアドバ
イザーまで幅広く対応します。
CISO不在の組織に、最高レベルの知見を
コンプライアンス対応からガバナンス構築まで、柔軟な契約形態
でサポート
“
“
28
Slide 29
Slide 29 text
最高情報セキュリティアドバイザープラン
月1回の定例会議やメール/チャットツールでの随時の相談を通じ、
日々発生するセキュリティ課題の解決を支援します。
技術的な課題だけでなく、セキュリティポリシーの策定・改訂や、
インシデント発生時の初動対応マニュアルの整備などもご支援しま
す。
29
Slide 30
Slide 30 text
会社概要
Slide 31
Slide 31 text
会社概要
会社名
株式会社ステラセキュリティ
設立
2022年4月
所在地
東京都渋谷区道玄坂1丁目10番8号渋谷道玄坂東急ビル2F−C
31
Slide 32
Slide 32 text
リンク
公式サイト:
https://www.sterrasec.com
GitHub:
https://github.com/sterrasec
技術ブログ:
https://tech-blog.sterrasec.com
32
Slide 33
Slide 33 text
明日を照らすステラセキュリティ