ASPIC公式サービス【アスピック】

  • TOP
  • 特集記事
  • 脆弱性診断サービス・ツール比較15選!選び方や無料ツールも

脆弱性診断サービス・ツール比較15選!選び方や無料ツールも

脆弱性診断サービス・ツール比較15選!選び方や無料ツールも

最終更新日:2024-08-16

脆弱性診断サービスの利用を検討しているものの、何をどう選べばよいか悩んでいる方へ。自社にあった脆弱性診断サービスの種類や選び方、価格といった比較ポイントなどを解説。オープンソースの無料ツールもあわせて、おすすめのサービスを紹介します。

目次

脆弱性診断サービスとは?

脆弱性診断サービスとは、自社で開発・提供するWebサービスに対してスキャン・模擬攻撃などを行い、セキュリティ上の“穴”がないかを診断するためのサービスです。情報漏えいやなりすまし、サイト改ざんなどを未然に防ぐために実施されます。

主なタイプとして下記のようなものがあります。

  • 専門スタッフによる手動診断
  • ツールを用いた自動診断(クラウド型・ソフトウェア型)
  • 手動と自動をかけ合わせたもの

脆弱性診断サービスの必要性

従来、セキュリティは自社で担保するのが一般的でした。しかし近年は「セキュリティ人材の不足」「セキュリティ領域の専門・多様化」、更に企業に対する「サイバー攻撃の一般化」などの問題から、自社で安全を担保することが困難に。そのため、外部の専門サービスや、自動診断ツールへのニーズが高まっています。

また、コンプライアンスの厳しい大手企業を中心に、システム導入要件・入札要件に「脆弱性診断の実施」を加える企業が増加。自社でWebサービスを提供・開発している企業にとって、脆弱性診断は欠かせないものになりつつあります。

脆弱性診断サービスのメリットや利用シーン

脆弱性診断ツールを利用する具体的なメリットとしては以下が挙げられます。

  • 不正アクセス・なりすまし・サイト改ざんといったサイバー攻撃を防げる
  • セキュリティ対策にかけるコストを最適化できる
  • 第三者の客観的評価を得ることで社会的信用につながる
  • ツールによる内製化をすれば、好きなタイミングで迅速に診断が行える

また、脆弱性診断ツールを利用する際の具体的な導入目的としては、以下のようなシーンが考えられます。

  • 新しく開発したWebサービス(Webサイト)やアプリケーションの脆弱性を調べたい
  • 提供中の既存Webサービス(Webサイト)のセキュリティを確認したい
  • 機能追加をするので、リリース前に安全性をチェックしたい
  • サービス拡張に伴いセキュリティレベルを上げたい

今回は、専任のセキュリティエンジニアがいなくても、自社にあった脆弱性診断を選択できるよう、各サービスの特徴や比較ポイントなどを、近年話題のバグバウンティ対応型も含めてわかりやすく紹介します。

また、脆弱性診断の仕組みや具体的な実施方法などについては、「脆弱性診断とは?種類や実施方法からツールまでわかりやすく紹介」にて詳しく解説しています。

脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

脆弱性診断サービスの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

脆弱性診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。

脆弱性診断サービスの選び方ガイド

セキュリティ・脆弱性診断

脆弱性診断サービスの選び方ガイド

セキュリティ・脆弱性診断

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

 

脆弱性診断の主な診断項目

診断項目はサービスによって異なりますが、大きくは「アプリケーション診断」と「プラットフォーム診断」に分けられます。それぞれの違いは以下のとおりです。

  • アプリケーション診断…Web・スマホなどのアプリケーションの脆弱性を調べる
  • プラットフォーム診断…アプリケーションを実行するサーバーやネットワーク機器、OSやミドルウェアに脆弱性がないかを診断する

以下、どのような攻撃・診断項目があるのか、具体的に見ていきましょう。

Webアプリケーションの脆弱性診断項目(アプリケーション診断)

SQLインジェクション Webサイト、Webアプリケーションの脆弱性を突き、不正なSQL(データベースを操作する言語)文を注入する攻撃。不正なデータベース操作の危険性があるかをチェックする
OSコマンドインジェクション Webサイトに不正な入力を行い、Webサーバーに想定外の動作をさせる攻撃。OSコマンドが不正実行されないか検査を行う
クロスサイトスクリプティング Webサイトの脆弱性を突き、HTMLに悪質なスクリプトを埋め込む攻撃。Webアプリケーションを通じ、不正なスクリプトが実行されないかをチェック
クロスサイトリクエストフォージェリ(CSRF) 外部のWebサイトを経由し、自社Webサイトのユーザーに悪意のあるリクエストを送り、不正な操作を行う攻撃。不正操作(書き込み)を受ける危険性がないかを検査
ディレクトリトラバーサル 非公開ファイルが存在するディレクトリにアクセスし、不正にファイルを閲覧・利用する攻撃。外部から非公開フォルダ・ファイルを閲覧される脆弱性がないかを検査する
強制ブラウジング アドレスバーに直接URLを入力するなどして、非公開のディレクトリやファイルへアクセスする攻撃。非公開のコンテンツを不正使用される恐れがないかを検査
認証機能・アクセス制御の不備 Webサイトの設計において、セキュリティ対策が施されていない状態を指す。適切なログインを経てコンテンツにアクセスできているかを検査する

プラットフォームの脆弱性診断項目(プラットフォーム診断)

ホスト情報収集 OSやアプリケーション情報を収集し、プロダクトのバージョンなどに問題がないかを検査
ポートスキャン サーバーやネットワーク機器が利用している、TCPやUDPなどのプロトコルの検査をする
脆弱性検査 OSやソフトウェアが持つ既知の脆弱性を検査
サービス設定検査 不要なディレクトリが公開されていないか、サーバー設定に不備がないかなどを検査
アカウント検査 FTPやTelnetなどの一般的に利用されている汎用サービスにおいて、推測可能なアカウントやパスワードが使われていないか検査する

 

脆弱性診断とペネトレーションテストの違い

最近注目されているセキュリティ対策に「ペネトレーションテスト」があります。脆弱性診断とペネトレーションテストは、どちらも企業のセキュリティレベルを向上させる取り組みという点では同様ですが、目的・対象範囲は下記のように異なります。

  • 脆弱性診断…システム全体の脆弱性やセキュリティ的な不備を網羅的に確認する。
  • ペネトレーションテスト…「任意の状況下で機密情報にアクセスできるかどうか」といった、現実的な攻撃シナリオに基づいて攻撃耐性を確認する。

ペネトレーションテストでは、様々な技術を駆使してネットワーク接続されているシステムへの侵入を試みることで、攻撃耐性を確認します。

具体的には、外部からマルウェアやフィッシングサイトへのリンクが仕込まれた標的型メールなどを使って、あらかじめ取り決めた範囲内で実際にサイバー攻撃を仕掛けるといった手法がとられます。

なかには、「株式会社レイ・イージス・ジャパン」「GMOサイバーセキュリティ byイエラエ株式会社」「イージスEW」のように、脆弱性診断サービスとペネトレーションテストを別途提供している企業もあります。より実践的なセキュリティ対策を施したい場合は上手く使い分けたり、組み合わせたりしてみてください。

ペネトレーションテストサービスについては、「ペネトレーションテストサービスとツール12選。何を使うべきか?」で詳しく解説しています。

 

脆弱性診断サービス4つの種類と選び方

続いては、脆弱性診断サービスについて詳細に説明していきます。まず、脆弱性診断サービスのタイプは診断方法によって以下の4つに分類できます。

  1. 脆弱性診断サービス(手動診断+自動診断)
  2. クラウド型の脆弱性診断ツール(自動診断のみ)
  3. 脆弱性診断プラットフォーム(バグバウンティに対応)
  4. 無料で使えるソフトウェア型の脆弱性診断ツール

診断対象や利用タイミングによって最適なサービスは異なり、用途や目的に応じて上記のツール・サービスを複数使い分けているケースも。

以下、それぞれのサービスの特徴と選び方、おすすめのケースについて紹介しますので参考にしてください。

1. 脆弱性診断サービス(手動診断+自動診断)

経験豊富なセキュリティ専門技術者の知識・スキルを駆使して、脆弱性を検査してもらうタイプ。ツールによる自動診断と検査員による手動診断を組み合わせて行うため、高精度の脆弱性診断が期待できます。なかには検査だけでなく、診断内容をレポート形式で報告し、具体的な対策方法までアドバイスしてくれるサービスも。

【おすすめのケース】

  • SNS・ECサイトなどで個人情報を多数取り扱っている
  • 大規模サービスのローンチ前

【ポイント】
高品質なだけにそれなりの時間・コストがかかるため、大規模開発・改修といったタイミングで実施するのがおすすめ。月に何度も実施される新機能リリース・修正リリースごとに利用するのは現実的ではありません。ローンチ前だけ手動診断を行って、その後はツールでの診断に切り替えるといった使い分けも一手です。

2. クラウド型の脆弱性診断ツール(自動診断のみ)

Web上で自ら手軽にチェックできるクラウドタイプのツール。使い方はシンプルで、クラウドサービス上でアカウントを作成したら、脆弱性を診断したいWebサービスのURLやサーバー情報を登録して、詳細な検査対象を選ぶだけ。結果が出るまで、短いもので10分程度しかかかりません。診断後は、該当URLやサマリーレポートを参照して、脆弱性が検出された箇所を自分で修正していきます。

【おすすめのケース】

  • 個人情報の扱いが少なく、脆弱性リスクがそれほど高くない
  • 機能追加にあわせて、限られた範囲で診断を行いたい

【ポイント】
Web上で手軽かつ安価・無料にて利用できるため、開発者自身での脆弱性診断(内製化)を行えるのが魅力。ただし、機械的に診断が行われるため、手動を含めた脆弱性診断サービスと比べて、見逃し・誤検出が発生しやすいという課題があります。

「GMOサイバー攻撃ネットde診断」のAMSツールは、同社の優秀なホワイトハッカーの知見を取り入れていることが強み。重大なリスクの見落としを防ぐアラート通知や専門家の対応アドバイスなども活用すれば、自動診断全般の課題を解消しつつ、組織の脆弱性対策の効率化も実現します。

3. 脆弱性診断プラットフォーム(バグバウンティに対応)

欧米を中心に、セキュリティ対策の一環として導入が進んでいる「バグバウンティ:Bug Bounty(バグ報奨金制度)」を利用するタイプです。バグバウンティとは、自社製品・サービスの脆弱性・バグの報告に対して、報奨金を支払う制度のこと。ホワイトハッカーやセキュリティエンジニアらが「バグハンター」として参加し、セキュリティの脆弱性を探します。

【おすすめのケース】

  • 定期的な脆弱性診断では心もとない
  • 定期診断にかかる費用が高額すぎる
  • 前例のない攻撃 やCVE化されていない最新の攻撃を防ぎたい

【ポイント】
バグバウンティなら幅広い視点で脆弱性を診断できるうえ、成果報酬支払いのため、コストパフォーマンスに優れている点も魅力。たとえば、日本製の数少ないバウンディングプラットフォーム「IssueHunt」では、世界中の優秀なホワイトハッカーの力を借りて、より効果的な脆弱性診断が行えます。

4. 無料で使えるソフトウェア型の脆弱性診断ツール

個々のマシンにインストールして脆弱性診断を行うソフトウェア型のツールです。基本的にオープンソースのため、サポートは期待できません。そのため、セキュリティ診断の結果をもとに自ら改修できることが前提となります。

【おすすめのケース】

  • 自社にセキュリティエンジニアが在籍している+コストを抑えたい
  • 自社にセキュリティエンジニアが在籍している+セキュリティ対策に関する知見を蓄積したい

【ポイント】
社内にセキュリティの専門家がいて、コストを抑えたい場合に有力な選択肢となります。また、有料ツールと併用しているケースも。

 

脆弱性診断サービスの比較ポイント

脆弱性診断サービス・ツール(クラウド型・ソフトウェア型)について、何を導入・利用すべきか大まかに掴めたら、今度はそのなかから具体的にサービス・ツールを絞り込んでいきましょう。

以下、自社にあったサービス・ツールを選ぶうえで、どのような点に気をつければよいのか、比較・検討ポイントを紹介します。

診断範囲

サービス・ツールによって、Webアプリケーションやプラットフォームといった診断できる範囲は異なります。たとえば、Webアプリケーション診断の場合、クロスサイトスクリプティング対策としてのコンテンツの生成方法や、インジェクション対策としての入力方法の確認のほか、アクセス制御、セッションの管理方法、例外処理対応、コンテンツ公開設定など多岐に渡ります。

そのため、まずは「何の脆弱性を調べたいのか」「診断項目に過不足がないか」といった診断範囲をチェックしておきましょう。

診断精度(信頼性)

同じ診断範囲・項目でも、どこまで深く、細かく行えるのかはツールごとに異なります。たとえば、ツールで自動診断するよりも、技術者が「どのような情報を扱うサイトで、攻撃されるならどのような方法で行われる可能性があるか」というような知見を活かして分析・想定して診断すると、診断への信頼性が高められるように。「この項目はしっかり調べて、万全を期したい」といった要望がある場合は、それにマッチした内容かを確認しておきましょう。

診断実績(導入事例)

診断範囲・精度で絞りきれない場合は、過去の診断実績を参考にするのも一手。たとえば、「個人情報を多く扱う会員向けサイトに強いのか」「多くの人の目に触れるSNSに強いのか」「ECサイトやネットバンキングなど、お金が絡む場合の取り扱いにも実績があるのか」など、各々強みは異なります。これまでの導入事例やサンプル報告書などを調べて、自社のサービス領域に近しいものを選ぶようにしましょう。

診断後の相談体制

セキュリティ対策で重要なのはリスクを検出することではなく、リスクにどう対処するかです。結果が出たらすぐに社内で考案・対策できれば問題ありませんが、知見を借りて対処を考えたいといったケースも多いでしょう。その場合は、具体的な対策について、レポートとして報告を受けたり、どのようにすべきかを診断した技術者と相談できたりするなど、フィードバック・相談体制に強みがあるかどうかもポイントになってきます。

利用料金(価格)

料金体系はサービス・ツールによって異なります。Webアプリ、スマホアプリ、ネットワークなど診断範囲ごとに料金が必要なものもあれば、脆弱性診断というくくりで一括して診断できるものもあります。

記事後半に無料・安価で利用できる脆弱性診断ツール(クラウド型・ソフトウェア型)をまとめています。スポット的にも利用できるので、「とりあえず」の利用にもおすすめです。

利用時期(タイミング)

大掛かりな脆弱性診断は開発プロセス後の総合テストの一環として行われることがほとんどですが、ツールのなかには任意のタイミングで実施できるものもあります。

たとえば、「Securify」は、自社プロダクトの開発工程の一環、もしくはアップデートや修正のタイミングで、好きな時に何度でもセキュリティ診断を実施可能。わかりやすい診断結果で継続的な改善をサポートし、セキュリティエンジニアがいない場合でも安心して利用できます。

サイバー保険付帯の有無

脆弱性診断サービスのなかには、仮に不正アクセスといった原因によって企業・事業に損害が生じた場合、それを補償してくれる、いわゆる「サイバー保険」が付帯されるものも。サイバー保険が付帯されていると、別途保険契約の手続きをする必要がないため便利です。ただし、補償対象・上限金額はサービスによって異なるため、あらかじめ確認しておきましょう。

 

おすすめの脆弱性診断サービス(手動診断+自動診断)

おすすめの脆弱性診断サービスを、Webアプリケーション診断を中心に紹介します。多くの企業では、プラットフォーム診断サービスも同様に提供しています。

脆弱性診断サービスの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

Vex(株式会社ユービーセキュア)

vex公式Webサイト

(出所:Vex公式Webサイト)

数千サイトに及ぶ診断実績を誇り、常に進化を続けるWebアプリ診断ツール。自社の診断事業だけでなく、国内の各診断ベンダーにも利用されている「プロ品質」が強み。「自動」「手動」「自動・手動」の検査方法から、その時々に応じて自由に選択可能。診断結果は用途に応じて、Excel形式の検査結果サマリシート、Word形式の検査レポートなど、多種多様なレポートにして出力できる。
脆弱性診断の専門知識や経験がない場合でも、充実のサポートを備えているため安心。導入から運用まで一貫して支援するスタートアップパッケージ、ユーザー専用のポータルサイトなど、豊富なメニューがそろう。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

Webアプリケーション診断(NRIセキュアテクノロジーズ株式会社)

Webアプリケーション診断公式Webサイト

(出所:Webアプリケーション診断公式Webサイト)

大手金融機関や東証一部上場企業にも導入実績の多い、Webアプリケーション脆弱性診断サービス。大手オンライントレード、オンラインバンキングなどの扱いも豊富。診断を行う担当者は、米国の専門的なトレーニングコースを修了し、各種セキュリティ関連資格を保有するなど、高度なスキルと豊富な経験を有し、技術力の高さに定評がある。
主要な部分は経験豊富な専門家が手作業(マニュアル)による診断を行い、一部診断ツールを補助的に利用する、といった診断方法を採用している。診断結果の報告も手厚く、発見・修正された問題の再診断にも対応。プラットフォーム診断も備えている。

  • 料金:要問い合わせ

詳細はこちら

脆弱性診断(株式会社レイ・イージス・ジャパン)

脆弱性診断公式Webサイト

(出所:脆弱性診断公式Webサイト)

「短期間の診断」「パッケージ型定額価格体系」が特徴のセキュリティ診断サービス。Webアプリケーション・モバイルアプリケーションが診断対象となる。独自AIツールを用いた自動診断であれば、ページ数の多いECサイトでも1~5営業日で診断が完了する。
診断規模に関わらない「一回いくら」の定額サービスのため、事前に診断対象を絞り込む手間が不要。大規模システムになるほど安価に利用できるのもポイントだ。希望があれば、高い専門性をもったセキュリティエンジニアによる手動診断(AIリモート脆弱性診断)も受けられる。基本的に、再診断・報告会・アフターサポートを標準で提供しているのも心強い。

  • 料金:自動診断30万円/FQDN、手動診断98万円/FQDN

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

Cloudbric 脆弱性診断(ペンタセキュリティ株式会社)

Cloudbric 脆弱性診断公式Webサイト

(出所:Cloudbric 脆弱性診断公式Webサイト)

セキュリティのプロによる柔軟性と精度の高さが強みの脆弱性診断サービス。Webサイトに特化した「Webサイト診断」「Webアプリケーション診断」「プラットフォーム診断」の3種類に対応。企業のシステム環境に応じて、必要な診断を選択できる。
既知の脆弱性調査に加え、「深刻度×悪用度」での評価スコアリングによる対策の優先順位付けや、サイバー攻撃に対するソリューション提案・導入サポートまでカバー。企業のセキュリティ対策をトータルで支援する。専用の管理画面では3種類すべての診断結果を確認でき、診断の詳細や独自に収集した脅威インテリジェンスの閲覧も可能。最新のセキュリティ情報を素早く入手し、予防策を講じるのに役立つ。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

 

おすすめのクラウド型の脆弱性診断ツール(自動診断のみ)

URLを入力するだけで自動スキャンして脆弱性診断が行えるクラウド型の脆弱性診断ツールを紹介します。脆弱性診断サービスよりも手軽・安価に利用でき、ソフトウェア型よりも定期的なアップデートやチューニングといった運用負担が少ないのがポイントです。

脆弱性診断サービスの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

AeyeScan(株式会社エーアイセキュリティラボ)

AeyeScan_公式Webサイト

(出所:AeyeScan公式Webサイト)

AIとRPAを活用し、高精度な診断によって“内製化”に貢献するクラウド型Webアプリケーション脆弱性診断ツール。専門的な知識や開発経験がなくても、スタートガイドに従って導入・初期設定と診断対象設定を行い、AIによる自動巡回の後に最短10分で診断がスタート。大規模サイトでもテストシナリオを自動生成するため、シングルサインオンやSPAの画面といったWebサイトもカバーする。
レポートは脆弱性のある箇所を羅列するだけではなく、「どういったリスクがあるか」「どのような対策が必要か」など、開発部門にそのまま渡せるような充実した内容を自動生成。担当者の業務負荷を軽減するとともに、発見された脆弱性に対して適切な対策の実行につなげられる。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

VAddy(株式会社ビットフォレスト)

VAddy公式Webサイト

(出所:VAddy公式Webサイト)

セキュリティ担当者が不在の現場でも、スピーディーな導入・使用を実現するWeb脆弱性診断ツール。人工知能の技術によって、Webアプリケーションの動きを自動的に把握する。
脆弱性診断をはじめる手順として、まずはアカウントを作成してサインアップ。その後、スキャンボタンをクリックすると対象アプリケーションに検査リクエストが送信され、脆弱性の有無を判断する。脆弱性が発見されたら修正して再度スキャン。APIツールを使って結果をチャットに通知したり、検査を定期・自動実行したりすることも可能だ。
オンラインマニュアルやチャットサポートといった手厚いフォローも受けられるため、初めて脆弱性診断を行う場合も安心。

  • 料金:月額59,800円(Enterpriseプラン/11項目の場合)

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら(インタビューあり)

Securify(株式会社スリーシェイク)

Securify公式Webサイト

(出所:Securify公式Webサイト)

開発時のセキュリティ対策としておすすめの脆弱性診断ツール。Webアプリやコーポレートサイト、ネットワーク、SaaSのセキュリティなど、一つのツールで幅広いセキュリティ診断をカバーしている。
Webアプリケーション診断では、セキュリティチェックにおける重要な複数の項目について、高い精度で何度でも診断が可能。複雑な事前設定の必要もなく、「ドメイン所有者の確認」→「プロジェクト作成」→「診断対象の設定」といった3ステップで診断をスタート。ドメインを登録すれば、クローリングによって自動で診断対象が抽出される。更に、診断状況や危険度が一目で把握しやすいダッシュボードを備え、脆弱性によって起こりうる問題や修正方法の例示も丁寧に解説。Slack連携やレポート出力といった外部連携により、チーム内外へスムーズに共有することで、適切な脆弱性対策へつなげている。

  • 料金:月額50,000円(STARTERプランの場合)※無料プランあり

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

GMOサイバー攻撃ネットde診断ASM(GMOサイバーセキュリティ byイエラエ株式会社)

GMOサイバー攻撃 ネットde診断ASM公式Webサイト

(出所:GMOサイバー攻撃ネットde診断ASM公式Webサイト)

世界トップレベルのホワイトハッカーの知見を取り入れた自動診断ツール。プラットフォーム、Webアプリ、CMSなど幅広く対応できる汎用性の高さが特徴。約30秒目安で完了する「簡易診断」や事前設定にあわせて診断する「定期スキャン」など、運用で使い分け可能な診断機能が充実。脆弱性情報の情報収集~リスクの自動評価までワンクリックで手間なく簡単に完結し、効率的な組織全体の脆弱性管理・対策を実現する。
ツールの不明点の確認はもちろん、対応方針のアドバイスなどがもらえるセキュリティコンサルタントのサポートも提供。「診断して終わりになってしまう」といった運用の悩みがある場合にもおすすめだ。

  • 料金:月額12万円~(10ドメインプランの場合) ※その他プランは要問い合わせ

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

イージスEW(株式会社未来研究所)

イージスEW公式Webサイト

(出所:イージスEW公式Webサイト)

幅広い範囲の診断項目に強みを持つ脆弱性診断ツール。メインドメイン1つから、担当者の認識外にあるサブドメイン・野良端末も検出・診断できるのが強み。メールサーバーやWebサービス、ポートスキャン、クラウドアプリ環境など幅広い分野で、外部からのデータ侵害、情報漏えい、メールのなりすましが起きていないかなどを診断したり、攻撃防御の実行状況を把握したりできる。診断結果はダッシュボード上で分野ごとに表示され、色分けやグラフで脆弱性の深刻度を可視化するため、改修すべき箇所を一目で判断できるのもうれしい。
その他、無料のASM脆弱性診断や、有料サービスのセミナー・研修も提供。診断結果に基づいて発見された脆弱性を改修するまでサポートする伴走サービスも利用可能で、自社の状況やニーズに合わせてリスク対策ができる。

  • 料金:85,000円/回(プロフェッショナルプランの場合、9ドメインまで)

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

Web Doctor(日本RA株式会社)

NRA-Web Doctor公式Webサイト

(出所:Web Doctor公式Webサイト)

対象のFQDNまたはIPアドレスを伝えるだけで利用できる、クラウド型の脆弱性検査サービス。外部のネットワークからインターネット経由で擬似攻撃コードが送られ、Webサーバーやアプリケーションサーバーの脆弱性の有無を診断。対象となるWebサイトの隅々まで、自動で脆弱性診断が行える。「1回だけ」というスポット的な利用のほか、「毎日定期的に」という柔軟なスケジュール診断も可能だ。

  • 料金:30万円/ライセンス

詳細はこちら

SCT SECURE クラウドスキャン(三和コムテック株式会社)

SCT SECURE クラウドスキャン公式Webサイト

(出所:SCT SECURE クラウドスキャン公式Webサイト)

セキュリティに厳しいクレジットカード業界の安全基準に準拠したクラウドスキャン。ネットワークデバイス、Webアプリケーションの弱点を一つのサービスで検査が可能。メンテナンス不要で、完全自己管理型のソリューションを提供している。
定期的な診断によってWebサイトの抱えるリスクを可視化。診断をクリアしたサイトには安全証明マークを配信する。最新の診断を受けていることをサイト訪問者にアピールできるのもポイントだ。

  • 料金:要問い合わせ

詳細はこちら

 

おすすめの脆弱性診断プラットフォーム(バグバウンティに対応)

脆弱性診断サービスの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

IssueHunt(IssueHunt株式会社)

IssueHunt公式Webサイト

(出所:IssueHunt公式Webサイト)

セキュリティ意識の高い欧米での利用が進んでいる、「バグバウンティ」「脆弱性報告窓口」を手間なく実施するセキュリティプラットフォーム。成果報酬で、幅広い視点での脆弱性診断を行えるため、「定期的な脆弱性診断では心もとない」「費用が高額なので削減したい」といった企業におすすめ。既存のオープンソースプロジェクトに登録済みの優秀なホワイトハッカーを通じた脆弱性報告を提供している。
同社で報告の一次受付を代行しており、有効な脆弱性報告のみ伝達するほか、報告者への対応も請け負っている。運用負担をかけずに、有効なセキュリティ対策の実行に役立つ。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

詳細はこちら

 

無料で使えるソフトウェア型の脆弱性診断ツール

最後に、ソフトウェア型の脆弱性診断ツールを紹介します。個々のマシンにインストールし、脆弱性に関する情報を格納したデータベースを用いて脆弱性をチェックするタイプです。公開資料をもとにすればそれほど複雑な設定は必要ありません。

今回は、無料(フリー)で使えるオープンソースタイプのツールをまとめています。

Vuls

オープンソースで、エージェントレスタイプの脆弱性スキャンツール。複数の脆弱性データベースを活かしたスキャン精度の高さが特徴。対象サーバーにあまり負荷をかけないFastモードと、精度重視のDeepモードから選べる。スキャン結果をSlackや電子メールに通知することも可能だ。Linux上で動作し、日本語マニュアルも備えている。

OpenVAS

オープンソースの脆弱性スキャンツール。ソフトウェア、OS、ポートなどの脆弱性を確認する。GUIの設定画面で、対象サーバーのIPアドレスを設定するだけでスキャンを実行。実行結果のレポートも出力される。

Nikto

オープンソースのWebサーバーの脆弱性スキャンツール。インストールして利用するタイプ。イギリスのNetsparker社が支援している。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかをチェックできる。

 

まとめ

自社のWebサービスの安全性確保には欠かせない脆弱性診断サービス。好きなタイミングで的確な診断を受けられるだけでなく、客観的評価による社会的信用アピールの効果も期待できます。以下、要点(よくある質問)をまとめておきましたので参考にしてください。

脆弱性診断サービスの種類は?

脆弱性診断サービスは、診断方法によって以下の4つに分類できます。

  1. 脆弱性診断サービス(手動診断+自動診断)
  2. クラウド型の脆弱性診断ツール(自動診断のみ)
  3. 脆弱性診断プラットフォーム(バグバウンティに対応)
  4. 無料で使えるソフトウェア型の脆弱性診断ツール

これらの分類に加え、診断対象や利用するタイミングも考慮して最適なサービスを選びましょう。

脆弱性診断サービスの価格相場は?

脆弱性診断サービスの価格相場は、同じサービスでも実施期間、診断対象、診断項目数によって価格が変わるため、個別見積もりとなるケースが多いです。一方、ソフトウェア型の脆弱性診断ツールは無料で使えるものもあります。

なお、セキュリティ診断サービスの価格は「セキュリティ診断サービスを価格で比較。価格帯別のサービス内容は?」で詳細を解説しています。

脆弱性診断サービスのおすすめは?

  1. 脆弱性診断サービス(手動診断+自動診断)/ Vex、Webアプリケーション診断、脆弱性診断、Cloudbric 脆弱性診断 など
  2. クラウド型の脆弱性診断ツール(自動診断のみ)/ AeyeScan、VAddy、Securify、GMOサイバー攻撃ネットde診断ASM など
  3. 脆弱性診断プラットフォーム(バグバウンティに対応)/ IssueHunt
  4. 無料で使えるソフトウェア型の脆弱性診断ツール/ Vuls、OpenVAS、Nikto

無料で利用できるツールもあるので、セキュリティ人材の有無やかけられるコストを考慮しつつ、自社にあった脆弱性診断サービス・ツールを検討してみてください。

脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

脆弱性診断サービスの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

脆弱性診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。

脆弱性診断サービスの選び方ガイド

セキュリティ・脆弱性診断

脆弱性診断サービスの選び方ガイド

セキュリティ・脆弱性診断

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

 

インタビューやサービス詳細はこちら

Vex

Vex

国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールにも選出。国内シェ...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

脆弱性診断

脆弱性診断

独自開発のプラグイン・AIツールによる「自動診断」と高い専門性をもったセキュリティエンジニアによる「手動診断」で脆弱性診断。安価な定額制でページ数の多いサイトも...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

AeyeScan

AeyeScan

AIとRPAを活用したクラウド型Webアプリケーション脆弱性診断ツールです。Webセキュリティに詳しくないユーザーも最短10分で診断を開始することが可能、高精度...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

Cloudbric 脆弱性診断

Cloudbric 脆弱性診断

企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

VAddy|インタビュー掲載

VAddy|インタビュー掲載

セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

Securify(セキュリファイ)

4.5 13件の口コミ・評判

Securify(セキュリファイ)

4.5 13件の口コミ・評判

導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

GMOサイバー攻撃ネットde診断ASM

GMOサイバー攻撃ネットde診断ASM

世界No.1(※)ホワイトハッカーの知見を詰め込んだASMツールです。全社的な脆弱性管理の効率化におすすめ。外部からの攻撃面になる未把握のIT資産を発見し、組織...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

イージスEW

イージスEW

幅広い範囲の診断項目に強みを持つインフラ脆弱性診断ツール。ASM診断に加え、ペネトレーションテストもラインナップ。わかりやすいGUIで、セキュリティ強化を支援し...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

IssueHunt

IssueHunt

成果報酬型で脆弱性診断を実施できる「バグバウンティ」と「脆弱性報告窓口」を手間なく実施できるプラットフォーム。顧客情報や情報資産をサイバー攻撃やハッキングから守...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

このページの内容をシェアする

  • Facebook
  • Twitter
  • LINE
TOPへ戻る

資料ダウンロードフォーム

1分で簡単登録。無料

入力フォームはこちら

登録済みの方はこちら

パスワード再発行

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

アンケートにご回答ください。

サービスの導入検討状況を教えてください。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提供会社」に対して電子データにて提供いたします。
  • 利用規約とプライバシーポリシーに同意の上、ダウンロードいただきます。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE