脆弱性診断ツールとは、サイバー攻撃などの端緒になるセキュリティ上の“穴”を、手軽に診断できるツールのことです。自社にあった脆弱性診断ツールの主な診断項目や価格相場、種類別の選び方、比較ポイントなどをおすすめのサービスと合わせて紹介します。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
| この記事でわかること |
|---|
|
脆弱性診断ツールとは、自社で開発・提供するWebサービスに対してスキャン・模擬攻撃などを行い、セキュリティ上の"穴"がないかを診断するためのツールです。情報漏えいやなりすまし、サイト改ざんなどを未然に防ぐために実施されます。
| メリット |
|
|---|---|
| 導入目的 |
|
最近注目されているセキュリティ対策に「ペネトレーションテスト」があります。どちらも企業のセキュリティレベルを向上させる取り組みですが、目的・対象範囲は下記のように異なります。
| 脆弱性診断 | システム全体の脆弱性やセキュリティ的な不備を網羅的に確認する |
|---|---|
| ペネトレーションテスト | 「任意の状況下で機密情報にアクセスできるかどうか」といった、現実的な攻撃シナリオに基づいて攻撃耐性を確認する |
ペネトレーションテストでは、標的型攻撃メールを使って実際にサイバー攻撃を仕掛けるなど、様々な技術を駆使してシステムの攻撃耐性を確認します。
脆弱性診断やペネトレーションテストについては以下の記事にて、それぞれ詳しく解説しています。
脆弱性診断ツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
細かいスペックやタイプ分けをチェックする前に、シンプルな項目での評価が知りたい方に向けて、ランキング形式で脆弱性診断ツールを紹介します。それぞれ、以下の基準に基づいて評価を行っています。
※本ランキングは「手動診断+自動診断タイプ」と「自動診断のみタイプ」を対象としています。
| 順位 | サービス名 | タイプ | 診断機能 | 診断後の対応 | AI機能 | 運用しやすさ | 人気 |
|---|---|---|---|---|---|---|---|
| 1 | Securify | 自動診断のみ | ◯ | ◎ | ◎ | ◎ | ◎ |
| 2 | AeyeScan | 自動診断のみ | ◯ | ◯ | ◎ | ◎ | ◯ |
| 3 | Aikido Security | 自動診断のみ | ◯ | ◎ | ◎ | ◎ | △ |
| 4 | VAddy | 自動診断のみ | ◯ | ◎ | ◎ | ◎ | △ |
| 5 | Vex | 手動診断+自動診断 | ◎ | ◯ | ◯ | ◯ | △ |
※それぞれ、満点のうち次の割合の得点を獲得。◎…100〜75%、◯…74〜50%、△49〜25%、✕…24%以下
※人気スコア以外の項目の詳細は、後述の「詳細比較表」でご確認いただけます
脆弱性診断ツールは、診断方法によって主に4つのタイプに分けられます。各タイプの特徴と選び方についてわかりやすく解説します。
記事後半にはおすすめのサービスの詳細も紹介していますので、今すぐツール選定に移りたい場合は、以下の各リンクからご覧ください。
経験豊富なセキュリティ専門技術者の知識・スキルを駆使して、脆弱性を検査してもらうタイプ。ツールによる自動診断と検査員による手動診断を組み合わせて行うため、高精度の脆弱性診断が期待できます。中には検査だけでなく、診断内容をレポート形式で報告し、具体的な対策方法までアドバイスしてくれるサービスも。
【おすすめのケース】
【注意点】
高品質なだけにそれなりの時間・コストがかかるため、大規模開発・改修といったタイミングで実施するのがおすすめ。月に何度も実施される新機能リリース・修正リリースごとに利用するのは現実的ではありません。ローンチ前だけ手動診断を行って、その後はツールでの診断に切り替えるといった使い分けも一手です。
Web上で自ら手軽にチェックできるクラウドタイプのツール。使い方はシンプルで、クラウドサービス上でアカウントを作成したら、脆弱性を診断したいWebサービスのURLやサーバー情報を登録して、詳細な検査対象を選ぶだけ。結果が出るまで、短いもので10分程度しかかかりません。診断後は、該当URLやサマリーレポートを参照して、脆弱性が検出された箇所を自分で修正していきます。
【おすすめのケース】
【注意点】
Web上で手軽かつ安価・無料にて利用できるため、開発者自身での脆弱性診断(内製化)を行えるのが魅力。ただし、機械的に診断が行われるため、手動の脆弱性診断と比べて、見逃し・誤検出が発生しやすいという課題があります。
「GMOサイバー攻撃ネットde診断」のAMSツールは、同社の優秀なホワイトハッカーの知見を取り入れていることが強み。重大なリスクの見落としを防ぐアラート通知や専門家の対応アドバイスなども活用すれば、自動診断全般の課題を解消しつつ、組織の脆弱性対策の効率化も実現します。
欧米を中心に、セキュリティ対策の一環として導入が進んでいる「バグバウンティ:Bug Bounty(バグ報奨金制度)」を利用するタイプです。バグバウンティとは、自社製品・サービスの脆弱性・バグの報告に対して、報奨金を支払う制度のこと。ホワイトハッカーやセキュリティエンジニアらが「バグハンター」として参加し、セキュリティの脆弱性を探します。
【おすすめのケース】
【注意点】
バグバウンティなら幅広い視点で脆弱性を診断できるうえ、成果報酬支払いのため、コストパフォーマンスに優れている点も魅力。たとえば、日本製の数少ないバウンディングプラットフォーム「IssueHunt」では、世界中の優秀なホワイトハッカーの力を借りて、より効果的な脆弱性診断が行えます。
個々のマシンにインストールして脆弱性診断を行うソフトウェア型のツールです。基本的にオープンソースのため、サポートは期待できません。そのため、セキュリティ診断の結果をもとに自ら改修できることが前提となります。
【おすすめのケース】
【注意点】
社内にセキュリティの専門家がいて、コストを抑えたい場合に有力な選択肢となります。また、有料ツールと併用しているケースも。
| サービス名 | タイプ | 料金/プラン | 導入実績 | AIを活用した自動診断機能 | 非エンジニアによる 運用のしやすさ |
診断範囲 | 診断項目 | 診断の種類 | 診断環境 | 診断後の対応 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| プラットフォーム (サーバー、ネットワーク、OS) |
Webサイト・Webアプリケーション | モバイルアプリ | API診断 | SQLインジェクション | OSコマンドインジェクション | クロスサイトスクリプティング | クロスサイトリクエストフォージェリ | ディレクトリトラバーサル | 自動診断 | 手動診断 | カスタム診断 | シナリオ診断 | オンプレ | クラウド | 脆弱性診断結果の管理 | 評価スコアリング | レポートの提供 | 脆弱性対策の提案・アドバイス | 脆弱性改修対応 | 再診断の実施 | ||||||
| Vex (ユービーセキュア) |
手動診断+自動診断 | ask | 数千サイトでの診断実績 | 大量のサイトから優先順位を特定「WebサイトリスクAI分析」を提供 | 提供されているセルフツールは、設定の自由度が高い反面、使いこなすには知識が必要 | ◯ | ◯ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | - | ◯ | オプション | オプション | ◯ |
| 脆弱性診断サービス (NTTセキュリティ・ジャパン) |
ask | 8,000件以上 | - | 専門家による「手動/ハイブリッド診断」に加えて、「セルフ脆弱性診断ツール」を提供 | ◯ | ◯ | ◯ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | - | ◯ | |
| 脆弱性診断 (株式会社レイ・イージス・ジャパン) |
98万円/FQDN(AIリモート脆弱性診断/手動+自動診断の場合) | 260システム以上 | AIによる「疑似攻撃の高度化・精度アップ」に強み | - ※専門家に診断を依頼する委託型サービス |
◯ | ◯ | オプション | オプション | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | オプション | ✕ | ✕ | ◯ | - | ◯ | ◯ | ◯ | - | ◯ | |
| Cloudbric 脆弱性診断 (ペンタセキュリティ) |
診断プランによって変動 | - | - | - ※専門家に診断を依頼する委託型サービス |
◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ✕ | ◯ | - | ◯ | ◯ | ◯ | ◯ | オプション | |
| サイバー保険付き脆弱性診断サービス (NTTドコモソリューションズ) |
ask | 年間約690システム | - | - ※専門家に診断を依頼する委託型サービス |
◯ | ◯ | ◯ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | - | ◯ | |
| セキュリティ診断ソリューション (Sky) |
ask | - | - | - ※専門家に診断を依頼する委託型サービス |
◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ◯ | ◯ | ◯ | - | ◯ | ◯ | ◯ | ◯ | |
| AeyeScan (エーアイセキュリティラボ) |
自動診断のみ | ask | 有償契約300社以上 | 生成AIを活用した「自動化」と「非エンジニアの業務効率化」に強み | AIが複雑な設定を代行するため、「学習コストゼロ」「最短10分」で診断できる | ✕ | ◯ | ✕ | オプション | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ◯ | ◯ | ✕ | ◯ | オプション | ◯ | ◯ | ◯ | - | ◯ |
| VAddy (ビットフォレスト) |
月額59,800円(Enterpriseプラン/11項目の場合) | - | AI技術でWebアプリの動きを自動認識するため、複雑な設定が不要 | 開発者や非専門家が使うことを前提に設計。3ステップの簡単操作で診断が行える | オプション | ◯ | ✕ | ◯ | ◯ | ◯ | ◯ | 上位プラン | ◯ | ◯ | 上位プラン | ✕ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | - | ◯ | |
| Securify (スリーシェイク) |
月額50,000円/IP・FQDN(STARTERプランの場合) | 有償契約200社以上 | 自動クローリングの際、AIが適切なテスト値を自動で入力する | 国産ならではの直感的なUIが特徴。マニュアル不要で操作できる | ✕ | ◯ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | - | ◯ | |
| GMOサイバー攻撃ネットde診断ASM (GMOサイバーセキュリティ byイエラエ) |
月額40,000円~(自走プランの場合) | 診断実績360万件以上 | - | 「はじめてでも使いやすい」がコンセプト。ドメインを入力するだけで診断対象を自動巡回する | ◯ | ◯ | ✕ | ✕ | ◯ | ◯ | ◯ | - | ◯ | ◯ | ✕ | ✕ | ✕ | ✕ | ◯ | ◯ | - | ◯ | ◯ | - | ◯ | |
| Aikido Security (AndGo) |
月額52,500円(税込)/10名(ベーシックプランの場合) | 世界 3,000 社、50,000組織以上 | 自動化・精度・効率化において、高度なAI活用を実現 | 2分以内でセットアップが完了。非エンジニア向けに専門用語をわかりやすく解説する機能も | ◯ | ◯ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ◯ | ✕ | 上位プラン | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | |
| SCT SECURE クラウドスキャン (三和コムテック) |
ask | - | - | インストールやハード設置が不要。ダッシュボードからリスク状況を一目で確認・ソートできる | ◯ | ◯ | ✕ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | ◯ | ✕ | ✕ | ✕ | ✕ | ◯ | ◯ | ◯ | ◯ | ◯ | - | ◯ | |
診断項目はツールによって異なりますが、大きくは「アプリケーション診断」と「プラットフォーム診断」に分けられます。それぞれの違いは以下のとおりです。
以下、どのような攻撃・診断項目があるのか、具体的に見ていきましょう。
| SQLインジェクション | Webサイト、Webアプリケーションの脆弱性を突き、不正なSQL(データベースを操作する言語)文を注入する攻撃。不正なデータベース操作の危険性があるかをチェックする |
|---|---|
| OSコマンドインジェクション | Webサイトに不正な入力を行い、Webサーバーに想定外の動作をさせる攻撃。OSコマンドが不正実行されないか検査を行う |
| クロスサイトスクリプティング | Webサイトの脆弱性を突き、HTMLに悪質なスクリプトを埋め込む攻撃。Webアプリケーションを通じ、不正なスクリプトが実行されないかをチェック |
| クロスサイトリクエストフォージェリ(CSRF) | 外部のWebサイトを経由し、自社Webサイトのユーザーに悪意のあるリクエストを送り、不正な操作を行う攻撃。不正操作(書き込み)を受ける危険性がないかを検査 |
| ディレクトリトラバーサル | 非公開ファイルが存在するディレクトリにアクセスし、不正にファイルを閲覧・利用する攻撃。外部から非公開フォルダ・ファイルを閲覧される脆弱性がないかを検査する |
| 強制ブラウジング | アドレスバーに直接URLを入力するなどして、非公開のディレクトリやファイルへアクセスする攻撃。非公開のコンテンツを不正使用される恐れがないかを検査 |
| 認証機能・アクセス制御の不備 | Webサイトの設計において、セキュリティ対策が施されていない状態を指す。適切なログインを経てコンテンツにアクセスできているかを検査する |
| ホスト情報収集 | OSやアプリケーション情報を収集し、プロダクトのバージョンなどに問題がないかを検査 |
|---|---|
| ポートスキャン | サーバーやネットワーク機器が利用している、TCPやUDPなどのプロトコルの検査をする |
| 脆弱性検査 | OSやソフトウェアが持つ既知の脆弱性を検査 |
| サービス設定検査 | 不要なディレクトリが公開されていないか、サーバー設定に不備がないかなどを検査 |
| アカウント検査 | FTPやTelnetなどの一般的に利用されている汎用サービスにおいて、推測可能なアカウントやパスワードが使われていないか検査する |
続いては気になる脆弱性診断ツールの料金についてです。料金形態としては、ドメイン単位で脆弱性診断1回いくらという形式で料金が発生するのが一般的です。
提供企業や実施期間、診断対象(Webアプリ・スマホアプリ・ネットワークなど)、診断項目数によって異なりますが、診断タイプに応じた料金の目安としては以下のようになります。サービスを選ぶ際の参考にしてください。
| 診断タイプ | 対象例 | 相場(目安) | 特徴・留意点 |
|---|---|---|---|
| 自動診断ツール(クラウド型) | 小規模Webサイト・LP | 5〜30万円/回 | URLを登録してスキャンする手軽さが魅力。定期診断プランなら月1〜5万円前後も。 |
| 手動+自動のハイブリッド診断 | ECサイト・会員制サイト | 30〜150万円/回 | セキュリティエンジニアが目視検証を行うため、精度が高い。レポート付きが多い。 |
| 手動診断(専門家フル対応) | 金融・公共・医療など高機密サイト | 100〜300万円/回 | 高リスク領域向け。報告会や改善提案まで含むケースも。 |
| ソフトウェア型(自社運用) | テスト環境・社内システム | 無料〜10万円/年 | オープンソースやフリー版が多い。専門知識が必要。 |
なお、高機密サイトに対応するようなセキュリティ診断サービスについては「セキュリティ診断サービスの比較16選。価格帯別で選び方を解説」でも詳しく解説していますので、あわせてご覧ください。
おすすめの脆弱性診断ツールを、Webアプリケーション診断を中心に紹介します。多くの企業では、プラットフォーム診断サービスも同様に提供しています。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
(出所:Vex公式Webサイト)
数千サイトに及ぶ診断実績を誇り、常に進化を続けるWebアプリ診断ツール。自社の診断事業だけでなく、国内の各診断ベンダーにも利用されている「プロ品質」が強み。「自動」「手動」「自動・手動」の検査方法から、その時々に応じて自由に選択可能。診断結果は用途に応じて、Excel形式の検査結果サマリシート、Word形式の検査レポートなど、多種多様なレポートにして出力できる。
脆弱性診断の専門知識や経験がない場合でも、充実のサポートを備えているため安心。導入から運用まで一貫して支援するスタートアップパッケージ、ユーザー専用のポータルサイトなど、豊富なメニューがそろう。
(出所:脆弱性診断サービス公式Webサイト)
プラットフォーム・Webアプリケーションの両方に対応する、調査部分に合わせて診断方法を柔軟に選べるセキュリティサービス。システム構成やセキュリティ要件に合わせて、リモートまたはオンサイトでの診断が可能で、閉域網内システムなど様々な環境に対応できる。
プロの診断員が手動/ツールで脆弱性を検出するハイブリット診断では、多角的な視点から危険度別に脆弱性の内容と対策に関するアドバイスまでを提供。発見された脆弱性の内容や考えられる攻撃、対策方法などを報告書に具体的にまとめて共有したり、不明点に対する問い合わせに対応したりときめ細やかにサポートするため、知見が浅い場合も安心だ。
セルフ脆弱性診断にも対応。専門ツールの提供で、手軽に脆弱性診断を行う環境の構築も可能だ。
(出所:脆弱性診断公式Webサイト)
「短期間の診断」「パッケージ型定額価格体系」が特徴のセキュリティ診断サービス。Webアプリケーション・モバイルアプリケーションが診断対象となる。独自AIツールを用いた自動診断であれば、ページ数の多いECサイトでも平均7営業日で診断が完了する。
診断規模に関わらない「一回いくら」の定額サービスのため、事前に診断対象を絞り込む手間が不要。大規模システムになるほど安価に利用できるのもポイントだ。希望があれば、高い専門性をもったセキュリティエンジニアによる手動診断(AIリモート脆弱性診断)も受けられる。基本的に、再診断・報告会・アフターサポートを標準で提供しているのも心強い。
(出所:Cloudbric 脆弱性診断公式Webサイト)
セキュリティのプロによる柔軟性と精度の高さが強みの脆弱性診断。「Webサイト診断」「Webアプリケーション診断」「プラットフォーム診断」「API診断」「スマートフォンアプリ診断」「ペネトレーションテスト」の6種類に対応。企業のシステム環境に応じて、必要な診断を選択できる。
既知の脆弱性調査に加え、「深刻度×悪用度」での評価スコアリングによる対策の優先順位付けや、サイバー攻撃に対するソリューション提案・導入サポートまでカバー。企業のセキュリティ対策をトータルで支援する。
(出所:サイバー保険付き脆弱性診断サービス公式Webサイト)
4種の診断メニューと費用補償を組み合わせたセキュリティ対策サービス。診断対象としてネットワーク・サーバー構成・Webアプリ・スマホアプリに対応し、事前ヒアリングに応じて企業に合わせた診断項目や内容を設定してくれる。診断基準はIPAをはじめとする国内外のセキュリティ基準や経済産業省の「情報セキュリティサービス基準」などに準拠。更に、国家資格「情報処理安全確保支援士」や国際認定資格「CISSP」を持つ専門家が診断を担当し、複数人によるクロスチェックでセキュリティリスクを徹底的に洗い出せる。診断報告診断書では、検出した脆弱性ごとに対策方法の具体的な提案が可能だ。
また、契約金額が80万円以上の場合、追加費用なしでサイバー保険が自動付帯されるのも特長。万が一、サイバー攻撃や不正アクセスによる情報漏えいなどが発生した際の損害賠償金や対応費用などに備えられるのも安心だ。
(出所:セキュリティ診断ソリューション公式Webサイト)
Webアプリやスマホアプリ、クラウド、IoTなど幅広い領域に対応する脆弱性診断サービス。ツールによる自動診断と、開発経験を持つエンジニアによる手動診断を組み合わせることで、見落としの少ない高精度な診断を実現する。第三者視点で脆弱性や設定不備を洗い出し、具体的な改善方法まで提案できる点が強み。AWS・Azureなどのクラウド設定診断にも対応し、設定不備や潜在リスクを可視化する。
更に、ログ分析やセキュリティ相談、監査対応に向けたエビデンス整備に加え、「セキュリティ アドバイザリサービス」による継続支援も提供。平常時の運用から有事の際の対応まで安心して任せられる。
URLを入力するだけで自動スキャンして脆弱性診断が行えるクラウド型の脆弱性診断ツールを紹介します。手軽・安価に利用でき、ソフトウェア型よりも定期的なアップデートやチューニングといった運用負担が少ないのがポイントです。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
(出所:AeyeScan公式Webサイト)
AIとRPAを活用し、高精度な診断によって“内製化”に貢献するクラウド型Webアプリケーション脆弱性診断ツール。専門的な知識や開発経験がなくても、スタートガイドに従って導入・初期設定と診断対象設定を行い、AIによる自動巡回の後に最短10分で診断がスタート。大規模サイトでもテストシナリオを自動生成するため、シングルサインオンやSPAの画面といったWebサイトもカバーする。
レポートは脆弱性のある箇所を羅列するだけではなく、「どういったリスクがあるか」「どのような対策が必要か」など、開発部門にそのまま渡せるような充実した内容を自動生成。担当者の業務負荷を軽減するとともに、発見された脆弱性に対して適切な対策の実行につなげられる。
(出所:VAddy公式Webサイト)
セキュリティ担当者が不在の現場でも、スピーディーな導入・使用を実現するWeb脆弱性診断ツール。人工知能の技術によって、Webアプリケーションの動きを自動的に把握する。
脆弱性診断をはじめる手順として、まずはアカウントを作成してサインアップ。その後、スキャンボタンをクリックすると対象アプリケーションに検査リクエストが送信され、脆弱性の有無を判断する。脆弱性が発見されたら修正して再度スキャン。APIツールを使って結果をチャットに通知したり、検査を定期・自動実行したりすることも可能だ。
オンラインマニュアルやチャットサポートといった手厚いフォローも受けられるため、初めて脆弱性診断を行う場合も安心。
(出所:Securify公式Webサイト)
ASM・脆弱性診断(DAST)・CSPM・SBOMなどを統合した、統合セキュリティSaaS。外部公開資産の発見、脆弱性診断、クラウド設定監視、サプライチェーン管理までをワンストップでカバーしている。
Webアプリケーション診断では、セキュリティチェックにおける重要な複数の項目について、高い精度で何度でも診断が可能。複雑な事前設定の必要もなく、「ドメイン所有者の確認」→「プロジェクト作成」→「診断対象の設定」といった3ステップで診断をスタート。ドメインを登録すれば、クローリングによって自動で診断対象が抽出される。更に、診断状況や危険度が一目で把握しやすいダッシュボードを備え、脆弱性によって起こりうる問題や修正方法の例示も丁寧に解説。Slack連携やレポート出力といった外部連携により、チーム内外へスムーズに共有することで、適切な脆弱性対策へつなげている。
(出所:GMOサイバー攻撃ネットde診断ASM公式Webサイト)
世界トップレベルのホワイトハッカーの知見を取り入れた自動診断ツール。プラットフォーム、Webアプリ、CMSなど幅広く対応できる汎用性の高さが特徴。約5分目安で完了する「簡易診断」や事前設定にあわせて診断する「定期スキャン」など、運用で使い分け可能な診断機能が充実。脆弱性情報の情報収集~リスクの自動評価までワンクリックで手間なく簡単に完結し、効率的な組織全体の脆弱性管理・対策を実現する。
ツールの不明点の確認はもちろん、対応方針のアドバイスなどがもらえるセキュリティコンサルタントのサポートも提供。「診断して終わりになってしまう」といった運用の悩みがある場合にもおすすめだ。
(出所:Aikido Security公式Webサイト)
クラウドインフラとWebアプリを包括的に診断・保護するオールインワンプラットフォーム。AWSやAzure、GitHubなどの多様なプラットフォームに対応しているほか、マルウェア検出のほか、静的コード分析(SAST)、動的アプリケーション診断(DAST)、IaCスキャン、クラウドセキュリティ体勢管理(CSPM)など、複数のスキャン・検出機能を搭載。これらを組み合わせることでWebアプリケーションとクラウドインフラを包括的に管理・保護できる。
使いやすさ・効率性を重視した管理画面で、重要な問題の強調表示やセキュリティ対策の優先度をわかりやすく可視化。「修正提案を生成して、ワンクリックで実行できる」など、問題解決のサポートにも対応している。AIを組み合わせたアラート識別で、不要なアラートの自動除外が可能。脆弱性に関する問題をグループ化して報告する重複排除機能も搭載し、誤検出・過検出を大幅に削減できるのが強みだ。
(出所:SCT SECURE クラウドスキャン公式Webサイト)
セキュリティに厳しいクレジットカード業界のセキュリティ基準「PCIDSS」のASV(脆弱性スキャンを行う資格)をもつ診断サービス。メンテナンス不要の完全自己管理型で、毎日の診断によって、常時最新のセキュリティ情報に基づいた検査が可能。診断対象は、Webサイトやルーター、ファイアーウォール、DNSなどのネットワークデバイス、ウェブアプリケーションなど。
脆弱性を検知、優先順位を設定することで、効率的なリスク管理が可能に。情報閲覧のほか、各種設定やレポート提出などを行えるポータル画面を用意。各診断対象をリスク状況に応じてソートしたり、診断の進行状況を確認したり、脆弱性リスクの管理をサポートする。診断をクリアしたサイトには、診断実施済みのマークが提供されるため、サイト訪問者へ安全性をアピールできるのも魅力。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
(出所:IssueHunt公式Webサイト)
セキュリティ意識の高い欧米での利用が進んでいる、「バグバウンティ」「脆弱性報告窓口」を手間なく実施するセキュリティプラットフォーム。成果報酬で、幅広い視点での脆弱性診断を行えるため、「定期的な脆弱性診断では心もとない」「費用が高額なので削減したい」といった企業におすすめ。既存のオープンソースプロジェクトに登録済みの優秀なホワイトハッカーを通じた脆弱性報告を提供している。
同社で報告の一次受付を代行しており、有効な脆弱性報告のみ伝達するほか、報告者への対応も請け負っている。運用負担をかけずに、有効なセキュリティ対策の実行に役立つ。
最後に、ソフトウェア型の脆弱性診断ツールを紹介します。個々のマシンにインストールし、脆弱性に関する情報を格納したデータベースを用いて脆弱性をチェックするタイプです。公開資料をもとにすればそれほど複雑な設定は必要ありません。
今回は、無料(フリー)で使えるオープンソースタイプのツールをまとめています。
オープンソースで、エージェントレスタイプの脆弱性スキャンツール。複数の脆弱性データベースを活かしたスキャン精度の高さが特徴。対象サーバーにあまり負荷をかけないFastモードと、精度重視のDeepモードから選べる。スキャン結果をSlackや電子メールに通知することも可能だ。Linux上で動作し、日本語マニュアルも備えている。
オープンソースの脆弱性スキャンツール。ソフトウェア、OS、ポートなどの脆弱性を確認する。GUIの設定画面で、対象サーバーのIPアドレスを設定するだけでスキャンを実行。実行結果のレポートも出力される。
オープンソースのWebサーバーの脆弱性スキャンツール。インストールして利用するタイプ。イギリスのNetsparker社が支援している。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかをチェックできる。
自社のWebサービスの安全性確保には欠かせない脆弱性診断ツール。好きなタイミングで的確な診断を受けられるだけでなく、客観的評価による社会的信用アピールの効果も期待できます。
本文でご紹介したように、脆弱性診断ツールは、診断方法によって以下の4つに分類できます。
自社にはどのタイプの診断ツールが合いそうか、おおまかに掴めたら、次は「診断の範囲・精度・実績」などに加えて、「診断後の相談体制」「利用料金」「利用のタイミング」「サイバー保険付帯の有無」といったポイントを参考に、具体的なツールを絞り込んでいきましょう。
無料で利用できるツールもあるので、セキュリティ人材の有無やかけられるコストを考慮しつつ、自社にあった脆弱性診断ツールを検討してみてください。
脆弱性診断ツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
脆弱性診断ツールの更に詳しい選び方は、こちらの選び方ガイドをご覧ください。
脆弱性診断サービスの選び方ガイド(比較表付き)
NTTセキュリティ・ジャパン株式会社
プラットフォーム、Webアプリケーションの双方に対応する脆弱性診断サービス。プロの診断員によるハイブリット診断、セルフ診断からニーズに合わせて選択できます。...
ペンタセキュリティ株式会社
企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...
【NTTドコモソリューションズ】サイバー保険付き脆弱性診断サービス
NTTドコモソリューションズ株式会社
ドコモグループ水準の高品質な脆弱性診断をIPA基準に準拠して実施。的確な報告書を提示し、脆弱性対策後の再診断とサイバー保険の付帯により、不測の事態に備えられます...
Sky株式会社
IoTからアプリ、クラウドまで幅広くカバーするセキュリティ診断サービス。開発経験を活かした改善提案や継続的な運用支援まで、一貫したセキュリティ体制を実現します。...
株式会社ビットフォレスト
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
株式会社スリーシェイク
攻撃者視点で見えない脅威を可視化する、国産統合セキュリティプラットフォームSecurify(セキュリファイ)— 脆弱性診断からクラウド監視、資産管理までをワン...
GMOサイバーセキュリティbyイエラエ株式会社
診断実績数360万件を超える、世界No.1(※)ホワイトハッカーの知見を詰め込んだASMツールです。全社的な脆弱性管理の効率化におすすめ。サイバー攻撃の入口にな...
株式会社AndGo
Webアプリとクラウドインフラの脆弱性を包括的に診断できるオールインワンツール。開発のライフサイクル全体を保護でき、コスト効率化やセキュリティ強化を支援します。...
記事をシェア
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
資料ダウンロード用のURLを「asu-s@bluetone.co.jp」よりメールでお送りしています。
なお、まれに迷惑メールフォルダに入る場合があります。届かない場合は上記アドレスまでご連絡ください。
