脆弱性診断サービスの利用を検討しているものの、何をどう選べばよいか悩んでいる方へ。自社にあった脆弱性診断サービスの主な診断項目や価格相場、種類別の選び方、比較ポイントなどを解説。オープンソースの無料ツールもあわせて、おすすめのサービスを紹介します。
脆弱性診断サービスとは、自社で開発・提供するWebサービスに対してスキャン・模擬攻撃などを行い、セキュリティ上の“穴”がないかを診断するためのサービスです。情報漏えいやなりすまし、サイト改ざんなどを未然に防ぐために実施されます。
従来、セキュリティは自社で担保するのが一般的でした。しかし近年は「セキュリティ人材の不足」「セキュリティ領域の専門・多様化」、更に企業に対する「サイバー攻撃の一般化」などの問題から、自社で安全を担保することが困難に。そのため、外部の専門サービスや、自動診断ツールへのニーズが高まっています。
また、コンプライアンスの厳しい大手企業を中心に、システム導入要件・入札要件に「脆弱性診断の実施」を加える企業が増加。自社でWebサービスを提供・開発している企業にとって、脆弱性診断は欠かせないものになりつつあります。
脆弱性診断ツールを利用する具体的なメリットとしては以下が挙げられます。
また、脆弱性診断ツールを利用する際の具体的な導入目的としては、以下のようなシーンが考えられます。
脆弱性診断サービスは、診断方法によって主に4つのタイプに分けられます。記事後半にはおすすめのサービスの詳細も紹介していますので、今すぐツール選定に移りたい場合は、以下の各リンクからご覧ください。
「もう少し詳しい選び方を知りたい」という場合は、このまま読み進めてください。専任のセキュリティエンジニアがいなくても、自社にあった脆弱性診断を選択できるよう、各サービスの特徴や比較ポイントなどを、近年話題のバグバウンティ対応型も含めてわかりやすく紹介していきます。
また、脆弱性診断の仕組みや具体的な実施方法などについては、「脆弱性診断とは?種類や実施方法からツールまでわかりやすく紹介」にて詳しく解説しています。
脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“脆弱性診断サービス・ツール”の 一括資料ダウンロードする(無料)
脆弱性診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。
脆弱性診断サービスの選び方ガイド(比較表付き)
診断項目はサービスによって異なりますが、大きくは「アプリケーション診断」と「プラットフォーム診断」に分けられます。それぞれの違いは以下のとおりです。
以下、どのような攻撃・診断項目があるのか、具体的に見ていきましょう。
| SQLインジェクション | Webサイト、Webアプリケーションの脆弱性を突き、不正なSQL(データベースを操作する言語)文を注入する攻撃。不正なデータベース操作の危険性があるかをチェックする |
|---|---|
| OSコマンドインジェクション | Webサイトに不正な入力を行い、Webサーバーに想定外の動作をさせる攻撃。OSコマンドが不正実行されないか検査を行う |
| クロスサイトスクリプティング | Webサイトの脆弱性を突き、HTMLに悪質なスクリプトを埋め込む攻撃。Webアプリケーションを通じ、不正なスクリプトが実行されないかをチェック |
| クロスサイトリクエストフォージェリ(CSRF) | 外部のWebサイトを経由し、自社Webサイトのユーザーに悪意のあるリクエストを送り、不正な操作を行う攻撃。不正操作(書き込み)を受ける危険性がないかを検査 |
| ディレクトリトラバーサル | 非公開ファイルが存在するディレクトリにアクセスし、不正にファイルを閲覧・利用する攻撃。外部から非公開フォルダ・ファイルを閲覧される脆弱性がないかを検査する |
| 強制ブラウジング | アドレスバーに直接URLを入力するなどして、非公開のディレクトリやファイルへアクセスする攻撃。非公開のコンテンツを不正使用される恐れがないかを検査 |
| 認証機能・アクセス制御の不備 | Webサイトの設計において、セキュリティ対策が施されていない状態を指す。適切なログインを経てコンテンツにアクセスできているかを検査する |
| ホスト情報収集 | OSやアプリケーション情報を収集し、プロダクトのバージョンなどに問題がないかを検査 |
|---|---|
| ポートスキャン | サーバーやネットワーク機器が利用している、TCPやUDPなどのプロトコルの検査をする |
| 脆弱性検査 | OSやソフトウェアが持つ既知の脆弱性を検査 |
| サービス設定検査 | 不要なディレクトリが公開されていないか、サーバー設定に不備がないかなどを検査 |
| アカウント検査 | FTPやTelnetなどの一般的に利用されている汎用サービスにおいて、推測可能なアカウントやパスワードが使われていないか検査する |
脆弱性診断サービスの価格は、サービスによって実施期間や診断対象、診断項目数によって価格が変わるため、個別見積もりとなるケースが多いですが、ツールを用いた自動診断であれば、1回あたり大体数万~30万円程度が相場です。
手動診断や手動とツールを掛け合わせたサービスであれば、数十万~数百万円とサービス内容による価格の差も更に広がります。また、ソフトウェア型の脆弱性診断ツールのなかには無料で使えるものもあります。
なお、セキュリティ診断サービスの価格は「セキュリティ診断サービスの比較16選。価格帯別で選び方を解説」で詳しく解説していますので、あわせてご覧ください。
最近注目されているセキュリティ対策に「ペネトレーションテスト」があります。脆弱性診断とペネトレーションテストは、どちらも企業のセキュリティレベルを向上させる取り組みという点では同様ですが、目的・対象範囲は下記のように異なります。
ペネトレーションテストでは、様々な技術を駆使してネットワーク接続されているシステムへの侵入を試みることで、攻撃耐性を確認します。
具体的には、外部からマルウェアやフィッシングサイトへのリンクが仕込まれた標的型メールなどを使って、あらかじめ取り決めた範囲内で実際にサイバー攻撃を仕掛けるといった手法がとられます。
なかには、「株式会社レイ・イージス・ジャパン」「GMOサイバーセキュリティ byイエラエ株式会社」「イージスEW」のように、脆弱性診断サービスとペネトレーションテストをそれぞれ提供している企業もあります。より実践的なセキュリティ対策を施したい場合は上手く使い分けたり、組み合わせたりしてみてください。
ペネトレーションテストサービスについては、「ペネトレーションテストサービスとツール13選。何を使うべきか?」で詳しく解説しています。
続いては、脆弱性診断サービスについて詳細に説明していきます。まず、脆弱性診断サービスのタイプは診断方法によって以下の4つに分類できます。
診断対象や利用タイミングによって最適なサービスは異なり、用途や目的に応じて上記のツール・サービスを複数使い分けているケースも。
以下、それぞれのサービスの特徴と選び方、おすすめのケースについて紹介しますので参考にしてください。
経験豊富なセキュリティ専門技術者の知識・スキルを駆使して、脆弱性を検査してもらうタイプ。ツールによる自動診断と検査員による手動診断を組み合わせて行うため、高精度の脆弱性診断が期待できます。なかには検査だけでなく、診断内容をレポート形式で報告し、具体的な対策方法までアドバイスしてくれるサービスも。
【おすすめのケース】
【ポイント】
高品質なだけにそれなりの時間・コストがかかるため、大規模開発・改修といったタイミングで実施するのがおすすめ。月に何度も実施される新機能リリース・修正リリースごとに利用するのは現実的ではありません。ローンチ前だけ手動診断を行って、その後はツールでの診断に切り替えるといった使い分けも一手です。
Web上で自ら手軽にチェックできるクラウドタイプのツール。使い方はシンプルで、クラウドサービス上でアカウントを作成したら、脆弱性を診断したいWebサービスのURLやサーバー情報を登録して、詳細な検査対象を選ぶだけ。結果が出るまで、短いもので10分程度しかかかりません。診断後は、該当URLやサマリーレポートを参照して、脆弱性が検出された箇所を自分で修正していきます。
【おすすめのケース】
【ポイント】
Web上で手軽かつ安価・無料にて利用できるため、開発者自身での脆弱性診断(内製化)を行えるのが魅力。ただし、機械的に診断が行われるため、手動を含めた脆弱性診断サービスと比べて、見逃し・誤検出が発生しやすいという課題があります。
「GMOサイバー攻撃ネットde診断」のAMSツールは、同社の優秀なホワイトハッカーの知見を取り入れていることが強み。重大なリスクの見落としを防ぐアラート通知や専門家の対応アドバイスなども活用すれば、自動診断全般の課題を解消しつつ、組織の脆弱性対策の効率化も実現します。
欧米を中心に、セキュリティ対策の一環として導入が進んでいる「バグバウンティ:Bug Bounty(バグ報奨金制度)」を利用するタイプです。バグバウンティとは、自社製品・サービスの脆弱性・バグの報告に対して、報奨金を支払う制度のこと。ホワイトハッカーやセキュリティエンジニアらが「バグハンター」として参加し、セキュリティの脆弱性を探します。
【おすすめのケース】
【ポイント】
バグバウンティなら幅広い視点で脆弱性を診断できるうえ、成果報酬支払いのため、コストパフォーマンスに優れている点も魅力。たとえば、日本製の数少ないバウンディングプラットフォーム「IssueHunt」では、世界中の優秀なホワイトハッカーの力を借りて、より効果的な脆弱性診断が行えます。
個々のマシンにインストールして脆弱性診断を行うソフトウェア型のツールです。基本的にオープンソースのため、サポートは期待できません。そのため、セキュリティ診断の結果をもとに自ら改修できることが前提となります。
【おすすめのケース】
【ポイント】
社内にセキュリティの専門家がいて、コストを抑えたい場合に有力な選択肢となります。また、有料ツールと併用しているケースも。
脆弱性診断サービス・ツール(クラウド型・ソフトウェア型)について、何を導入・利用すべきか大まかに掴めたら、今度はそのなかから具体的にサービス・ツールを絞り込んでいきましょう。
以下、自社にあったサービス・ツールを選ぶうえで、どのような点に気をつければよいのか、比較・検討ポイントを紹介します。
サービス・ツールによって、Webアプリケーションやプラットフォームなど診断できる範囲は異なります。たとえば、Webアプリケーション診断の場合、クロスサイトスクリプティング対策としてのコンテンツの生成方法や、インジェクション対策としての入力方法の確認のほか、アクセス制御、セッションの管理方法、例外処理対応、コンテンツ公開設定など多岐に渡ります。
そのため、まずは「何の脆弱性を調べたいのか」「診断項目に過不足がないか」といった診断範囲をチェックしておきましょう。
同じ診断範囲・項目でも、どこまで深く、細かく行えるのかはツールごとに異なります。たとえば、ツールで自動診断するよりも、技術者が「どのような情報を扱うサイトで、攻撃されるならどのような方法で行われる可能性があるか」というような知見を活かして分析・想定して診断すると、診断への信頼性が高められるように。「この項目はしっかり調べて、万全を期したい」といった要望がある場合は、それにマッチした内容かを確認しておきましょう。
診断範囲・精度で絞りきれない場合は、過去の診断実績を参考にするのも一手。たとえば、「個人情報を多く扱う会員向けサイトに強いのか」「多くの人の目に触れるSNSに強いのか」「ECサイトやネットバンキングなど、お金が絡む場合の取り扱いにも実績があるのか」など、各々強みにも違いがあります。これまでの導入事例やサンプル報告書などを調べて、自社のサービス領域に近しいものを選ぶようにしましょう。
セキュリティ対策で重要なのはリスクを検出することではなく、リスクにどう対処するかです。結果が出たらすぐに社内で考案・対策できれば問題ありませんが、知見を借りて対処を考えたいといったケースも多いでしょう。その場合は、具体的な対策について、レポートとして報告を受けたり、どのようにすべきかを診断した技術者と相談できたりするなど、フィードバック・相談体制に強みがあるかどうかもポイントになってきます。
料金体系もサービス・ツールによって異なります。Webアプリ、スマホアプリ、ネットワークなど診断範囲ごとに料金が必要なものもあれば、脆弱性診断というくくりで一括して診断できるものもあります。
記事後半には、無料で使えるソフトウェア型の脆弱性診断ツールもまとめています。スポット的にも利用できるので、「とりあえず」の利用にもおすすめです。
大掛かりな脆弱性診断は開発プロセス後の総合テストの一環として行われることがほとんどですが、ツールのなかには任意のタイミングで実施できるものもあります。
たとえば、「Securify」は、自社プロダクトの開発工程の一環、もしくはアップデートや修正のタイミングで、好きな時に何度でもセキュリティ診断を実施可能。わかりやすい診断結果で継続的な改善をサポートし、セキュリティエンジニアがいない場合でも安心して利用できます。
脆弱性診断サービスのなかには、仮に不正アクセスといった原因によって企業・事業に損害が生じた場合、それを補償してくれる、いわゆる「サイバー保険」が付帯されるものも。サイバー保険が付帯されていると、別途保険契約の手続きをする必要がないため便利です。ただし、補償対象・上限金額はサービスによって異なるため、あらかじめ確認しておきましょう。
おすすめの脆弱性診断サービスを、Webアプリケーション診断を中心に紹介します。多くの企業では、プラットフォーム診断サービスも同様に提供しています。
“脆弱性診断サービス・ツール”の 一括資料ダウンロードする(無料)
(出所:Vex公式Webサイト)
数千サイトに及ぶ診断実績を誇り、常に進化を続けるWebアプリ診断ツール。自社の診断事業だけでなく、国内の各診断ベンダーにも利用されている「プロ品質」が強み。「自動」「手動」「自動・手動」の検査方法から、その時々に応じて自由に選択可能。診断結果は用途に応じて、Excel形式の検査結果サマリシート、Word形式の検査レポートなど、多種多様なレポートにして出力できる。
脆弱性診断の専門知識や経験がない場合でも、充実のサポートを備えているため安心。導入から運用まで一貫して支援するスタートアップパッケージ、ユーザー専用のポータルサイトなど、豊富なメニューがそろう。
(出所:脆弱性診断サービス公式Webサイト)
プラットフォーム・Webアプリケーションの両方に対応する、調査部分に合わせて診断方法を柔軟に選べるセキュリティサービス。システム構成やセキュリティ要件に合わせて、リモートまたはオンサイトでの診断が可能で、閉域網内システムなど様々な環境に対応できる。
プロの診断員が手動/ツールで脆弱性を検出するハイブリット診断では、多角的な視点から危険度別に脆弱性の内容と対策に関するアドバイスまでを提供。発見された脆弱性の内容や考えられる攻撃、対策方法などを報告書に具体的にまとめて共有したり、不明点に対する問い合わせに対応したりときめ細やかにサポートするため、知見が浅い場合も安心だ。
セルフ脆弱性診断サービスにも対応。専門ツールの提供で、手軽に脆弱性診断を行う環境の構築も可能だ。
(出所:脆弱性診断公式Webサイト)
「短期間の診断」「パッケージ型定額価格体系」が特徴のセキュリティ診断サービス。Webアプリケーション・モバイルアプリケーションが診断対象となる。独自AIツールを用いた自動診断であれば、ページ数の多いECサイトでも1~5営業日で診断が完了する。
診断規模に関わらない「一回いくら」の定額サービスのため、事前に診断対象を絞り込む手間が不要。大規模システムになるほど安価に利用できるのもポイントだ。希望があれば、高い専門性をもったセキュリティエンジニアによる手動診断(AIリモート脆弱性診断)も受けられる。基本的に、再診断・報告会・アフターサポートを標準で提供しているのも心強い。
(出所:Cloudbric 脆弱性診断公式Webサイト)
セキュリティのプロによる柔軟性と精度の高さが強みの脆弱性診断サービス。Webサイトに特化した「Webサイト診断」「Webアプリケーション診断」「プラットフォーム診断」の3種類に対応。企業のシステム環境に応じて、必要な診断を選択できる。
既知の脆弱性調査に加え、「深刻度×悪用度」での評価スコアリングによる対策の優先順位付けや、サイバー攻撃に対するソリューション提案・導入サポートまでカバー。企業のセキュリティ対策をトータルで支援する。専用の管理画面では3種類すべての診断結果を確認でき、診断の詳細や独自に収集した脅威インテリジェンスの閲覧も可能。最新のセキュリティ情報を素早く入手し、予防策を講じるのに役立つ。
URLを入力するだけで自動スキャンして脆弱性診断が行えるクラウド型の脆弱性診断ツールを紹介します。脆弱性診断サービスよりも手軽・安価に利用でき、ソフトウェア型よりも定期的なアップデートやチューニングといった運用負担が少ないのがポイントです。
“脆弱性診断サービス・ツール”の 一括資料ダウンロードする(無料)
(出所:AeyeScan公式Webサイト)
AIとRPAを活用し、高精度な診断によって“内製化”に貢献するクラウド型Webアプリケーション脆弱性診断ツール。専門的な知識や開発経験がなくても、スタートガイドに従って導入・初期設定と診断対象設定を行い、AIによる自動巡回の後に最短10分で診断がスタート。大規模サイトでもテストシナリオを自動生成するため、シングルサインオンやSPAの画面といったWebサイトもカバーする。
レポートは脆弱性のある箇所を羅列するだけではなく、「どういったリスクがあるか」「どのような対策が必要か」など、開発部門にそのまま渡せるような充実した内容を自動生成。担当者の業務負荷を軽減するとともに、発見された脆弱性に対して適切な対策の実行につなげられる。
(出所:VAddy公式Webサイト)
セキュリティ担当者が不在の現場でも、スピーディーな導入・使用を実現するWeb脆弱性診断ツール。人工知能の技術によって、Webアプリケーションの動きを自動的に把握する。
脆弱性診断をはじめる手順として、まずはアカウントを作成してサインアップ。その後、スキャンボタンをクリックすると対象アプリケーションに検査リクエストが送信され、脆弱性の有無を判断する。脆弱性が発見されたら修正して再度スキャン。APIツールを使って結果をチャットに通知したり、検査を定期・自動実行したりすることも可能だ。
オンラインマニュアルやチャットサポートといった手厚いフォローも受けられるため、初めて脆弱性診断を行う場合も安心。
(出所:Securify公式Webサイト)
開発時のセキュリティ対策としておすすめの脆弱性診断ツール。Webアプリやコーポレートサイト、ネットワーク、SaaSのセキュリティなど、一つのツールで幅広いセキュリティ診断をカバーしている。
Webアプリケーション診断では、セキュリティチェックにおける重要な複数の項目について、高い精度で何度でも診断が可能。複雑な事前設定の必要もなく、「ドメイン所有者の確認」→「プロジェクト作成」→「診断対象の設定」といった3ステップで診断をスタート。ドメインを登録すれば、クローリングによって自動で診断対象が抽出される。更に、診断状況や危険度が一目で把握しやすいダッシュボードを備え、脆弱性によって起こりうる問題や修正方法の例示も丁寧に解説。Slack連携やレポート出力といった外部連携により、チーム内外へスムーズに共有することで、適切な脆弱性対策へつなげている。
(出所:GMOサイバー攻撃ネットde診断ASM公式Webサイト)
世界トップレベルのホワイトハッカーの知見を取り入れた自動診断ツール。プラットフォーム、Webアプリ、CMSなど幅広く対応できる汎用性の高さが特徴。約30秒目安で完了する「簡易診断」や事前設定にあわせて診断する「定期スキャン」など、運用で使い分け可能な診断機能が充実。脆弱性情報の情報収集~リスクの自動評価までワンクリックで手間なく簡単に完結し、効率的な組織全体の脆弱性管理・対策を実現する。
ツールの不明点の確認はもちろん、対応方針のアドバイスなどがもらえるセキュリティコンサルタントのサポートも提供。「診断して終わりになってしまう」といった運用の悩みがある場合にもおすすめだ。
(出所:イージスEW公式Webサイト)
幅広い範囲の診断項目に強みを持つ脆弱性診断ツール。メインドメイン1つから、担当者の認識外にあるサブドメイン・野良端末も検出・診断できるのが強み。メールサーバーやWebサービス、ポートスキャン、クラウドアプリ環境など幅広い分野で、外部からのデータ侵害、情報漏えい、メールのなりすましが起きていないかなどを診断したり、攻撃防御の実行状況を把握したりできる。診断結果はダッシュボード上で分野ごとに表示され、色分けやグラフで脆弱性の深刻度を可視化するため、改修すべき箇所を一目で判断できるのもうれしい。
その他、無料のASM脆弱性診断や、有料サービスのセミナー・研修も提供。診断結果に基づいて発見された脆弱性を改修するまでサポートする伴走サービスも利用可能で、自社の状況やニーズに合わせてリスク対策ができる。
(出所:Aikido Security公式Webサイト)
世界3,000社で導入される、オールインワン脆弱性診断ツール。AWSやAzure、GitHubなどの多様なプラットフォームに対応し、マルウェア検出のほか、静的コード分析(SAST)、動的アプリケーション診断(DAST)、IaCスキャン、クラウドセキュリティ体勢管理(CSPM)など、複数のスキャン・検出機能を組み合わせて、Webアプリケーションとクラウドインフラを包括的に管理・保護できる。
使いやすさ・効率性を重視した管理画面で、重要な問題の強調表示やセキュリティ対策の優先度をわかりやすく可視化。「修正提案を生成して、ワンクリックで実行できる」など、問題解決のサポートにも対応している。AIを組み合わせたアラート識別で、不要なアラートの自動除外が可能。脆弱性に関する問題をグループ化して報告する重複排除機能も搭載し、誤検出・過検出を大幅に削減できるのが強みだ。
(出所:SCT SECURE クラウドスキャン公式Webサイト)
セキュリティに厳しいクレジットカード業界のセキュリティ基準「PCIDSS」のASV(脆弱性スキャンを行う資格)をもつ診断サービス。メンテナンス不要の完全自己管理型で、毎日の診断によって、常時最新のセキュリティ情報に基づいた検査が可能。診断対象は、Webサイトやルーター、ファイアーウォール、DNSなどのネットワークデバイス、ウェブアプリケーションなど。
脆弱性を検知、優先順位を設定することで、効率的なリスク管理が可能に。情報閲覧のほか、各種設定やレポート提出などを行えるポータル画面を用意。各診断対象をリスク状況に応じてソートしたり、診断の進行状況を確認したり、脆弱性リスクの管理をサポートする。診断をクリアしたサイトには、診断実施済みのマークが提供されるため、サイト訪問者へ安全性をアピールできるのも魅力。
“脆弱性診断サービス・ツール”の 一括資料ダウンロードする(無料)
(出所:IssueHunt公式Webサイト)
セキュリティ意識の高い欧米での利用が進んでいる、「バグバウンティ」「脆弱性報告窓口」を手間なく実施するセキュリティプラットフォーム。成果報酬で、幅広い視点での脆弱性診断を行えるため、「定期的な脆弱性診断では心もとない」「費用が高額なので削減したい」といった企業におすすめ。既存のオープンソースプロジェクトに登録済みの優秀なホワイトハッカーを通じた脆弱性報告を提供している。
同社で報告の一次受付を代行しており、有効な脆弱性報告のみ伝達するほか、報告者への対応も請け負っている。運用負担をかけずに、有効なセキュリティ対策の実行に役立つ。
最後に、ソフトウェア型の脆弱性診断ツールを紹介します。個々のマシンにインストールし、脆弱性に関する情報を格納したデータベースを用いて脆弱性をチェックするタイプです。公開資料をもとにすればそれほど複雑な設定は必要ありません。
今回は、無料(フリー)で使えるオープンソースタイプのツールをまとめています。
オープンソースで、エージェントレスタイプの脆弱性スキャンツール。複数の脆弱性データベースを活かしたスキャン精度の高さが特徴。対象サーバーにあまり負荷をかけないFastモードと、精度重視のDeepモードから選べる。スキャン結果をSlackや電子メールに通知することも可能だ。Linux上で動作し、日本語マニュアルも備えている。
オープンソースの脆弱性スキャンツール。ソフトウェア、OS、ポートなどの脆弱性を確認する。GUIの設定画面で、対象サーバーのIPアドレスを設定するだけでスキャンを実行。実行結果のレポートも出力される。
オープンソースのWebサーバーの脆弱性スキャンツール。インストールして利用するタイプ。イギリスのNetsparker社が支援している。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかをチェックできる。
自社のWebサービスの安全性確保には欠かせない脆弱性診断サービス。好きなタイミングで的確な診断を受けられるだけでなく、客観的評価による社会的信用アピールの効果も期待できます。
本文でご紹介したように、脆弱性診断サービスは、診断方法によって以下の4つに分類できます。
自社にはどのタイプの診断サービスが合いそうか、おおまかに掴めたら、次は「診断の範囲・精度・実績」などに加えて、「診断後の相談体制」「利用料金」「利用のタイミング」「サイバー保険付帯の有無」といったポイントを参考に、具体的なサービス・ツールを絞り込んでいきましょう。
無料で利用できるツールもあるので、セキュリティ人材の有無やかけられるコストを考慮しつつ、自社にあった脆弱性診断サービス・ツールを検討してみてください。
脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“脆弱性診断サービス・ツール”の 一括資料ダウンロードする(無料)
脆弱性診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。
脆弱性診断サービスの選び方ガイド(比較表付き)
NTTセキュリティ・ジャパン株式会社
プラットフォーム、Webアプリケーションの双方に対応する脆弱性診断サービス。プロの診断員によるハイブリット診断、セルフ診断からニーズに合わせて選択できます。...
ペンタセキュリティ株式会社
企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...
株式会社ビットフォレスト
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
株式会社スリーシェイク
【攻撃者視点で先回りのセキュリティ対策を】「手軽」に「何度」でも、充実したセキュリティ対策が内製化できます。...
GMOサイバーセキュリティbyイエラエ株式会社
世界No.1(※)ホワイトハッカーの知見を詰め込んだASMツールです。全社的な脆弱性管理の効率化におすすめ。外部からの攻撃面になる未把握のIT資産を発見し、組織...
株式会社AndGo
Webアプリとクラウドインフラの脆弱性を包括的に診断できるオールインワンツール。開発のライフサイクル全体を保護でき、コスト効率化やセキュリティ強化を支援します。...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
