最終更新日:2022-09-15
脆弱性診断サービスの利用を検討しているものの、何を選べばいいかわからない……という方向けの記事です。自社に合った脆弱性診断サービスの種類、選び方、比較ポイント、おすすめサービス(無料ツールを含む)をご紹介します。
脆弱性診断サービスとは、自社で開発・提供するWebサービスに対してスキャン・模擬攻撃などを行い、セキュリティ上の“穴”がないかを診断することのできるサービスです。次のように様々なパターンが存在します。
近年、企業は「セキュリティ人材の不足」「セキュリティ領域の専門・多様化」などの問題を抱えていることから、自社で安全を確保するのが難しくなっています。それにより、外部の専門サービスや自動診断ツールに注目が集まっています。
脆弱性診断サービスを利用する具体的なメリットとしては以下が挙げられます。
また、脆弱性診断サービスを利用する際の具体的な導入目的としては、以下のようなシーンが考えられます。
しかし、脆弱性診断に興味があるものの「実際に何をどうしたらいいのかわからない」という方もいらっしゃると思います。特に、専任のセキュリティエンジニアがいないような場合は不安がつきまといます。今回は、各社が安心して自社に合った脆弱性診断を利用できるように、各サービスの特徴や比較ポイントなどをわかりやすくご紹介します。
なお、脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
診断項目はサービスによって異なりますが、大別するとWeb・スマホなどのアプリケーションの脆弱性を調べる「アプリケーション診断」と、それを実行するサーバやネットワーク機器、OSやミドルウェアに脆弱性がないかを診断する「プラットフォーム診断」に分かれます。以下、どのような診断項目があるのか具体的に列挙しておきます。
最近注目されているセキュリティ対策に「ペネトレーションテスト」があります。ペネトレーションテストとは、ネットワーク接続されているシステムに様々な技術を駆使して侵入を試みることで、セキュリティ上の脆弱性を確認する手法のことを言います。たとえば、外部からマルウェアやフィッシングサイトへのリンクが仕込まれた標的型メールなどを使って、あらかじめ取り決めた範囲内で実際にサイバー攻撃を仕掛けていきます。
脆弱性診断とペネトレーションテスト、どちらも企業のセキュリティレベルを向上させる取り組みという点では同様ですが、目的・対象範囲が異なります。脆弱性診断が「システム全体の脆弱性やセキュリティ的な不備を網羅的に確認する」のに対し、ペネトレーションテストは「こういう状況下でこの情報にアクセスできるかどうか」など、現実的な攻撃シナリオに基づいて攻撃耐性を確認するために行われます。
脆弱性診断サービスを提供する企業の中には、「脆弱性診断(株式会社レイ・イージス・ジャパン)」のように、脆弱性診断の他にも別途ペネトレーションテストを提供しているものもありますので、より実践的なセキュリティ対策をお望みの場合は脆弱性診断と上手く使い分け・組み合わせてみましょう。
脆弱性診断についての理解が深まったところで、続いては脆弱性診断サービスについて詳細に説明していきます。まず脆弱性診断サービスのタイプについてです。様々なサービス・ツールが存在しますが、「どのような方法で診断するか」という点で以下、3つのタイプに種類分けできます。
診断対象や利用するタイミングによって最適なサービスも変わってきます。以下、それぞれの特徴と「こんな場合にはこのサービス・ツールがおすすめ」と紹介していますので、何を利用していいのかわからない方は、ぜひ参考にしてください。
経験豊富なセキュリティ専門技術者に依頼して、知識・スキルを駆使して脆弱性を検査してもらうタイプです。ツールによる自動診断と検査員による手動診断を組み合わせて行うため、高精度の脆弱性診断が期待できます。サービスによっては検査だけでなく、診断内容をレポート形式で報告し、今後の具体的な対策方法までアドバイスしてくれるようなサービスも存在します。
時間とコストはかかりますが、SNS・ECサイトなど「個人情報を多数取り扱っている」場合、または「大規模サービスのローンチ前」などのタイミングにはおすすめです。ただし、月に何度も実施される新機能リリース・修正リリースごとに利用するのは現実的ではありません。ローンチ前に脆弱性診断サービスを使うことで根本的な安全性が確保されたと考えるなら、その後の機能追加には脆弱性診断ツールを利用に切り替えるなど使い分けも重要です。
Web上で自ら手軽にチェックできるクラウドタイプです。やり方はいたってシンプルで、多くはクラウドサービス上でアカウント作成したら、脆弱性を診断したいWebサービスのURLやサーバー情報を登録して、詳細な検査対象を選ぶだけ。結果が出るまで短いものなら10分程度。後は該当URLやサマリーレポートを参照して、脆弱性が検出された箇所を自分で修正していきます。
Web上でお手軽・安価(無料)に利用することができるため、開発者自身で脆弱性診断を行えるのが魅力です(内製化)。ただし、診断は機械的に行われるため手動を含めた脆弱性診断サービスに比べると見逃し・誤検出が発生する恐れも考えられます。そのため、「個人情報の扱いが少ない」など脆弱性リスクがそれほど高くない場合、もしくは「機能追加に合わせて」など対象範囲が少ない場合に限定した方がいいでしょう。
個々のマシンにインストールして脆弱性診断を行うソフトウェア型のツールです。基本的にオープンソースのためサポートが期待できません。そのためセキュリティ診断の結果をもとに自ら改修を行うことのできることが前提となります。たとえば、自社にセキュリティエンジニアが在籍しているような場合で、「コストをかけたくない」「セキュリティ対策に関する知見を溜めたい」など内製化をお望みの場合におすすめです。
脆弱性診断サービス・ツール(クラウド型・ソフトウェア型)、何を導入・利用すべきか大まかにつかんだら、今度はその中から具体的に絞り込んでいきましょう。自社に合ったサービス(ツール)を選ぶ上で、どのような点に気をつければよいのか、比較検討ポイントをご紹介します。
サービス・ツールによって、Webアプリケーション・プラットフォームなど診断できる範囲は異なります。たとえば、Webアプリケーション診断の場合、クロスサイトスクリプティング対策としてのコンテンツの生成方法やインジェクション対策としての入力方法の確認のほか、アクセス制御、セッションの管理方法、例外処理対応、コンテンツ公開設定など多岐に渡ります。
そのためまずは、「何の脆弱性を調べたいのか」「診断項目に過不足がないか」診断範囲をチェックしておきましょう。
同じ診断範囲・項目でも、どこまで深く、細かく行うのかは各々異なります。たとえば、ツールで自動診断するよりも、技術者が「どのような情報を扱うサイトで、攻撃されるならどのような方法で行われる可能性があるか」知見を活かして分析・想定して診断すると、診断への信頼性が高まります。「この項目はしっかり調べて、万全を期したい」など要望がある場合は、それにマッチした内容かを確認しておきましょう。
診断範囲・精度で絞りきれない場合は、過去の診断実績を参考にするのも手です。たとえば、個人情報を多く扱う会員向けサイトに強いのか、多くの人の目に触れるSNSに強いのか、またECサイトやネットバンキングなどのお金が絡む場合の取り扱いにも実績があるのかなど、各々強みは異なります。これまでの導入事例やサンプル報告書などを調べて、自社のサービス領域に近しいものを選ぶようにしましょう。
セキュリティ対策で重要なのはリスクを検出することではなく、リスクにどう対処するかです。結果が出たらすぐに社内で考案・対策できれば問題ありませんが、知見を借りて対処を考えたいといったケースも多いでしょう。その場合は、具体的な対策について、レポートとして報告を受けたり、どのようにすべきか診断した技術者と相談できたりフィードバック・相談体制に強みがあるかどうかもポイントになってきます。
料金体系はサービス・ツールによって異なります。Webアプリ、スマホアプリ、ネットワークなど診断範囲ごとに料金が必要なものもあれば、脆弱性診断というくくりで一括して診断できるものもあります。記事後半に無料・安価で利用できる脆弱性診断ツール(クラウド型・ソフトウェア型)をまとめておきました。スポット的にも利用できるので、「とりあえず」の利用にもおすすめです。
大掛かりな脆弱性診断は開発プロセス後の総合テストの一環として行われることがほとんどですが、ツールの中には任意のタイミングで実施できるものもあります。たとえば、「Securify」は、自社プロダクトの開発工程の一環、もしくはアップデートや修正のタイミングで、好きな時に何度でもセキュリティ診断を実施可能。シンプルで使いやすいインターフェイスで、診断結果に合わせて修正方法まで提示してくれるため、セキュリティエンジニアがいない場合でも安心して利用できます。
脆弱性診断サービスの中には、仮に不正アクセス等を原因として企業・事業に損害が生じた場合、それを補償してくれる、いわゆる「サイバー保険」が付帯されるものもあります。これらは別途、契約手続きする必要がないため便利です。ただし、補償対象・上限金額はサービスによって異なるため、注意が必要です。たとえば「ImmuniWeb」は原因・被害調査(上限1,000万円)だけでなく、争訟費用など賠償責任にも対応しています(上限1,000万円)。
おすすめの脆弱性診断サービスを、Webアプリケーション診断を中心に紹介します。多くの企業では、プラットフォーム診断サービスも同様に提供しています。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:vex公式Webサイト)
経済産業省推奨のWebアプリ診断ツール。自社の診断事業だけでなく、国内の各診断ベンダー様にも利用されている「プロ品質」が売り。「自動」「手動」「自動・手動」の3つの検査方法から、その時々に応じて自由に選択可能。診断結果は用途に応じて、Excel形式の検査結果サマリシート、Word形式の検査レポートなど多種多様なレポートにして出力可能。
脆弱性診断の専門知識・経験がない方でも安心して利用できる充実のサポートも強みの一つ。導入から運用まで一貫してサポートするスタートアップパッケージ、ユーザー専用のポータルサイトなど、豊富なメニューあり。
その他、アプリやシステム開発時の任意のタイミングで好きな時に利用できるクラウド型セキュリティテストツール「komabato」あり。開発時のセキュリティコスト削減、リードタイム短縮などが期待できる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:ImmuniWeb公式Webサイト)
Webサーバーセキュリティテスト4,000万件以上の圧倒的な実績数で、世界で高い評価を受ける脆弱性診断サービス。国内でも金融機関や電力・通信・物流大手企業など、幅広く導入されている。
AWS上に構築された250台のマシンとセキュリティスペシャリストのエンジニアチームがそれぞれ役割を分担し、診断対象サイトの全ページを均等に診断。AIが12時間ごとに情報を蓄積し、常に最新のガイドラインや攻撃コードを機械学習する。診断から報告会までは3週間程度。最新の情報で、迅速な診断・改修を実現できる。
その他、脆弱性診断を利用するとサイバーリスク保険を自動で付帯。診断対象のWebサイトやモバイルアプリへのサイバー攻撃で情報漏洩に起因した損害賠償などを補償してもらえるのも心強い。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:セキュリティ診断サービス公式Webサイト)
東大発のサイバーセキュリティスタートアップ企業に よるオーダーメイドのセキュリティ診断サービス。海外のハッキングコンテストでも実績のある国内最高峰のエンジニア集団がツールを使った自動診断に併せて、手動診断を網羅的に実施。Webアプリケーション、iOS/Androidアプリ、スマホゲーム、プラットフォーム、IoT機器に関する脆弱性診断から、AWS・GCP・Azure等のパブリッククラウドの診断まで、様々な対象の診断が可能(ペネトレーションテストにも対応)。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Webアプリケーション診断公式Webサイト)
大手金融機関や東証一部上場企業にも導入実績の多い、Webアプリケーション脆弱性診断サービス。大手オンライントレード、オンラインバンキング等の扱いも豊富。診断を行う担当者は、米国の専門的なトレーニングコースを修了し、各種セキュリティ関連資格を保有するなど、高いスキルと豊富な経験を有し、技術力の高さに定評あり。
主要な部分は経験豊富な専門家が手作業(マニュアル)による診断を行い、一部診断ツールを補助的に利用する、といった診断方法。診断結果の報告も手厚く、発見・修正された問題の再診断も対応。プラットフォーム診断もあり。
(出所:脆弱性診断公式Webサイト)
「短期間の診断」「パッケージ型定額価格体系」が特徴のセキュリティ診断サービス。対象はWebアプリケーション・モバイルアプリケーション。独自AIツールを用いた自動診断であれば、ページ数の多いECサイトでも1~5営業日で診断可能。
診断規模に関わらない「一回いくら」の定額サービスのため、事前に診断対象を絞り込む手間が不要で、大規模システムになるほど安価に利用できるのもポイント。希望があれば、高い専門性をもったセキュリティエンジニアによる手動診断(AIリモート脆弱性診断)も受けられる。3ヶ月以内なら発見項目の再診断可能な手厚いアフターサポートあり。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:セキュリティ脆弱性診断サービス公式Webサイト)
ツールでの診断に加えて、セキュリティエンジニアによる検出結果の確認・検証の実施で検知漏れや誤検出を最小化し、信頼性の高い診断結果を提供する。診断レポートには、脆弱性の有無やリスクレベルといった結果だけでなく対処方法まで記載。具体的な改善対応につなげることができる。
「Webアプリケーション診断」と「プラットフォーム診断」の両方に対応。使用する診断ツールも実績の豊富な高品質なものを使用し、最新の技術動向・攻撃手法を加味し、WASCやOWASPといった代表的なセキュリティ団体が掲げる脆弱性項目もカバー。検出された脆弱性に対する修正後の再診断は、アフターサービスとして無償提供される。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:AeyeScan公式Webサイト)
AIとRPAを活用したWebアプリケーション脆弱性診断サービス。たとえば、AIによるフォーム確認では、フォームの内容を自動認識して入力値を設定していくことで診断を進める。診断にかかる時間は最短で10分程度。Webセキュリティの知識やWebアプリ開発の経験がなくても、マウス操作のみで簡単に診断が可能。
自動巡回時に取得した画面遷移図で、脆弱性の検出箇所を視覚的に表示。脆弱性の評価は業界標準の脆弱性診断項目と評価基準で、全体の状況がひと目でわかるサマリーや修正に必要な技術的な詳細情報などを含んだ、理解しやすいレポーティングに強み。どこが問題なのかを正しく把握することができる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
続いて、URLを入力するだけで自動スキャンして脆弱性診断することのできるクラウド型の脆弱性診断ツールを紹介します。脆弱性診断サービスに比べるとお手軽・安価に利用できるのが特徴です。インストール型に比べると、定期的なアップデート・チューニングなど運用負担が少ないのもポイントです。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:VAddy公式Webサイト)
セキュリティ診断の経験がない開発者でも手軽に利用できる、クラウド型の脆弱性診断ツール。AIエンジンが自動で学習して行うためチューニング不要。検査項目も現実的な脅威となりうる11項目に数を絞ることで設定・検査実施時間を短縮。無理なく、毎日の脆弱性診断を実現できる。開発の初期段階で利用することで、リリース直前の検査に比べて修正コストを1/20に削減可能。脆弱性診断の内製化をお望みの企業にはおすすめ。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:NRA-Web Doctor公式Webサイト)
対象のFQDNまたはIPアドレスを伝えるだけで利用できるクラウド型の脆弱性検査サービス。NRAから擬似攻撃コードが送られ、Webサーバー、アプリケーションサーバーの脆弱性の有無を診断。対象のWebサーバーのネットワークとWebアプリケーションの両方を脆弱性診断できる。「1回だけ」というスポット的な利用の他、「毎日定期的に」という柔軟なスケジュール診断も可能。
(出所:SCT SECURE クラウドスキャン公式Webサイト)
セキュリティに厳しいクレジットカード業界の安全基準に準拠したクラウドスキャン。ネットワークデバイス、Webアプリケーションの弱点を一つのサービスで検査可能。メンテナンス不要、完全自己管理型のソリューション。定期的な診断によってWebサイトの抱えるリスクを可視化。診断をクリアしたサイトには安全証明マークを配信。最新の診断を受けていることをサイト訪問者にアピールできるのもポイント。
(出所:Securify Scan公式Webサイト)
開発時のセキュリティ対策としておすすめの脆弱性診断ツール。自社プロダクトの開発工程の一環として、もしくはアップデートや修正のタイミングで、好きな時に1,000項目に及ぶ高精度の診断を「手軽」に「何度」でも実施可能。シンプルで使いやすいインターフェイスで、わずか2ステップで診断実施できるため、自社にセキュリティエンジニアがいなくても安心。診断結果はダッシュボードで一覧化して、脆弱性の背景だけでなく修正方法まで提示。定期診断実行機能があるため、診断し忘れる心配もない。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
最後に、ソフトウェア型の脆弱性診断ツールをご紹介します。個々のマシンにインストールし、脆弱性に関する情報を格納したデータベースを用いて脆弱性をチェックするタイプです。公開資料をもとにすればそれほど複雑な設定は必要ありません。今回は、無料(フリー)で使えるオープンソースタイプのツールを3つご紹介します。
オープンソースで、エージェントレスタイプの脆弱性スキャンツール。複数の脆弱性データベースを活かしたスキャンの精度の高さが特徴。対象サーバーにあまり負荷をかけないFastモードと、精度重視のDeepモードから選べる。スキャン結果をSlackや電子メールに通知することも可能。Linux上で動作。日本語マニュアルあり。
OpenVAS(Open Vulnerability Assessment Scanner)はオープンソースの脆弱性スキャンツール。ソフトウェア、OS、ポートなどの脆弱性を確認する。GUIの設定画面で、対象サーバーのIPアドレスを設定する程度でスキャンを実行できる。実行結果のレポートも出力される。
オープンソースのWebサーバーの脆弱性スキャンツール。インストールして利用するタイプ。イギリスのNetsparker社が支援している。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかチェックできる。
情報漏えい、なりすまし・サイト改ざんなどを事前に防ぐことのできる脆弱性診断サービス・ツール。最近では、コンプライアンスの厳しい大手企業を中心に、システム導入要件・入札要件に「脆弱性診断の実施」を加える企業も増えてきていることから、今後更にニーズが増すと考えられます。自社でWebサービスを提供・開発している企業にとっては必要不可欠といえるでしょう。
ただし、診断対象や利用するタイミングによって最適なものは変わってくるため、注意が必要です個人情報を多数取り扱っている場合、または大規模サービスのローンチ前などのタイミングには、高精度の脆弱性診断が期待できる[1]脆弱性診断サービス(手動診断+自動診断)。逆に、個人情報の扱いが少ない場合、もしくは機能追加分のみなど対象範囲が少ない場合は、[2]クラウド型や[3]ソフトウェア型の脆弱性診断ツールなどがおすすめです。
大まかにタイプをつかんだら、今度は診断範囲・診断精度・診断実績・診断後の相談体制・利用料金(価格)などのポイントに沿って、比較検討しながら具体的に絞り込んでいくとスムーズです。無料(フリー)で利用できるツールもあるので、セキュリティ人材の有無・かけられるコストによっては検討してみるといいでしょう。
脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
vex
国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールにも選出。国内シェ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
ImmuniWeb(イミュニウェブ)
AIとセキュリティエンジニアによる第3世代の脆弱性診断サービス。最新の情報で迅速な診断・改修を実現。サイバー攻撃に備えたサイバーリスク保険(東京海上日動)を付帯...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
セキュリティ診断サービス
国内最高峰のエンジニアチームによるオーダーメイドのセキュリティ診断サービス(ペネトレーションテストにも対応)。クラウドやGraphQL等モダンな技術にも対応した...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
脆弱性診断
独自開発のプラグイン・AIツールによる「自動診断」と高い専門性をもったセキュリティエンジニアによる「手動診断」で脆弱性診断。安価な定額制でページ数の多いサイトも...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
セキュリティ脆弱性診断サービス
ツール診断だけでなく、セキュリティエンジニアを加えたハイブリッドな信頼性の高いセキュリティ診断サービス。「Webアプリケーション診断」と「プラットフォーム診断」...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
AeyeScan
AIとRPAを活用した次世代Webアプリケーション脆弱性診断SaaSです。Webセキュリティに詳しくないユーザーも簡単なマウス操作で診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
VAddy|インタビュー掲載
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
Securify Scan
Webアプリケーションの脆弱性診断から対応までのサイクルを、自社でいつでもすぐに簡単に実現するWebアプリケーション脆弱性診断ツール。「手軽」に「何度」でも充実...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。