最終更新日:2023-09-14
脆弱性診断サービスの利用を検討しているものの、何をどう選べばいいかわからず悩んでいる方へ。自社に合った脆弱性診断サービスの種類、選び方、比較ポイント、おすすめサービス(無料ツールを含む)をご紹介します。
脆弱性診断サービスとは、自社で開発・提供するWebサービスに対してスキャン・模擬攻撃などを行い、セキュリティ上の“穴”がないかを診断するためのサービスです。情報漏えいやなりすまし、サイト改ざんなどを未然に防ぐことができます。
主なタイプとして下記のようなものがあります。
従来、セキュリティは自社で担保するのが一般的でしたが、近年は「セキュリティ人材の不足」「セキュリティ領域の専門・多様化」、更に企業に対する「サイバー攻撃の一般化」などの問題から、自社で安全を確保するのが困難に。それにより、外部の専門サービスや、自動診断ツールに注目が集まっています。
また、コンプライアンスの厳しい大手企業を中心に、システム導入要件・入札要件に「脆弱性診断の実施」を加える企業も増えてきていることから、自社でWebサービスを提供・開発している企業にとっては脆弱性診断は欠かせないものになりつつあります。
脆弱性診断サービスを利用する具体的なメリットとしては以下が挙げられます。
また、脆弱性診断サービスを利用する際の具体的な導入目的としては、以下のようなシーンが考えられます。
今回は、専任のセキュリティエンジニアがいなくても、安心して自社に合った脆弱性診断を利用できるよう、各サービスの特徴や比較ポイントなどを、近年話題のバグバウンティ対応型も含めてわかりやすくご紹介します。
脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
診断項目はサービスによって異なりますが、大別するとWeb・スマホなどのアプリケーションの脆弱性を調べる「アプリケーション診断」と、それを実行するサーバーやネットワーク機器、OSやミドルウェアに脆弱性がないかを診断する「プラットフォーム診断」に分かれます。
以下、どのような攻撃・診断項目があるのか、具体的に見ていきましょう。
SQLとはデータベースを操作する言語。WebサイトやWebアプリケーションの脆弱性を突いて、不正なSQL文を注入するのがSQLインジェクションです。データベースを不正に操作される危険性がないかをチェックします。
Webサイトに不正な入力を行うことで、Webサーバーに想定外の動作をさせる攻撃。WebサーバーのOSコマンドを不正に実行されないかの検査を行います。
Webサイトの脆弱性を突いて、HTMLに悪質なスクリプトを埋め込む攻撃。Webアプリケーションを通じて不正なスクリプトが実行されないかチェックします。
外部の攻撃用Webサイトを経由して、自社Webサイトのユーザーに悪意のあるリクエストを送り、不正な操作を行う攻撃。Webサイト上で不正操作(書き込み)が行われる危険性がないか検査します。
非公開ファイルが存在するディレクトリにアクセスして、不正にファイルを閲覧・利用するという攻撃。アクセスできないはずのフォルダやファイルを外部から閲覧される脆弱性がないか検査します。
アドレスバーに直接URLを入力するなどして、非公開のディレクトリやファイルにアクセスしようとする攻撃手法。公開予定でなかったコンテンツを勝手に操作・使用される恐れがないか検査をします。
Webサイトの設計において、セキュリティ対策が施されていない状態を指します。適切なログインを行わずにログイン後のコンテンツにアクセスできてしまわないかの検査です。
OSやアプリケーション情報を収集し、プロダクトのバージョン等に問題がないかを検査します。
サーバーやネットワーク機器が利用している、TCPやUDPといったプロトコルの検査。
OSやソフトウェアが持つ既知の脆弱性の検査。
不要なディレクトリが公開されていないか、サーバー設定に不備がないかといった検査。
FTP、Telnet等の一般的に利用されている汎用サービスで、推測可能なアカウントやパスワードが使われていないかの検査。
最近注目されているセキュリティ対策に「ペネトレーションテスト」があります。ペネトレーションテストとは、ネットワーク接続されているシステムに様々な技術を駆使して侵入を試みることで、セキュリティ上の脆弱性を確認する手法を指します。
たとえば、外部からマルウェアやフィッシングサイトへのリンクが仕込まれた標的型メールなどを使って、あらかじめ取り決めた範囲内で実際にサイバー攻撃を仕掛けていきます。
脆弱性診断とペネトレーションテストは、どちらも企業のセキュリティレベルを向上させる取り組みという点では同様ですが、目的・対象範囲は下記のように異なります。
中には、「株式会社レイ・イージス・ジャパン」「GMOサイバーセキュリティ byイエラエ株式会社」のように、脆弱性診断サービスとペネトレーションテストを別途提供している企業もあります。より実践的なセキュリティ対策を施したい場合は上手く使い分けたり、組み合わせたりしてみましょう。
ペネトレーションテストサービスについては、「ペネトレーションテストサービスとツール12選。何を使うべきか?」で詳しく解説しています。
続いては、脆弱性診断サービスについて詳細に説明していきます。まず、脆弱性診断サービスのタイプは「どのような方法で診断するか」という点で、以下の3タイプに分類できます。
診断対象や利用するタイミングによって最適なサービスは異なります。用途や目的に応じて、上記のツール・サービスを複数使い分けている場合も少なくありません。以下、それぞれのサービスの特徴と選び方について紹介しますので参考にしてください。
経験豊富なセキュリティ専門技術者に依頼して、知識・スキルを駆使して脆弱性を検査してもらうタイプです。ツールによる自動診断と検査員による手動診断を組み合わせて行うため、高精度の脆弱性診断が期待できます。中には、検査だけでなく、診断内容をレポート形式で報告し、今後の具体的な対策方法までアドバイスしてくれるサービスもあります。
【おすすめのケース】
【ポイント】
高品質なだけに、それなりの時間・コストを要します。大規模開発・改修などで利用するには有効ですが、月に何度も実施される新機能リリース・修正リリースごとに利用するのは現実的ではありません。ローンチ前だけ手動診断を行って、その後は脆弱性診断ツールに切り替えるなど使い分けるのも手です。
中には、「Webアプリケーション診断(GMOサイバーセキュリティ byイエラエ株式会社)」のように自動+手動で診断後、自動診断ツールを1年間無償で付与してくれるものもあります。
Web上で自ら手軽にチェックできるクラウドタイプです。使い方はシンプルで、多くはクラウドサービス上でアカウントを作成したら、脆弱性を診断したいWebサービスのURLやサーバー情報を登録して、詳細な検査対象を選ぶだけ。結果が出るまで短いもので10分程度。後は該当URLやサマリーレポートを参照して、脆弱性が検出された箇所を自分で修正していきます。
【おすすめのケース】
【ポイント】
Web上でお手軽・安価(無料)に利用することができるため、開発者自身で脆弱性診断を行えるのが魅力です(内製化)。ただし、診断は機械的に行われるため手動を含めた脆弱性診断サービスに比べると見逃し・誤検出が発生する恐れも考えられます。
欧米を中心にセキュリティ対策の一環として導入が進んでいる「バグバウンティ(脆弱性報奨金制度)」を利用するタイプです。自社の製品やサービスに対する脆弱性診断プログラムを公開し、報奨金を賭けることで、ホワイトハッカーなどから脆弱性の報告・発見を募ります。
【おすすめのケース】
【ポイント】
バグバウンティなら、幅広い視点で脆弱性を診断できます。また固定料金が一切なく、成果報酬支払いのため、効果的に予算を使うことができます。たとえば、「IssueHunt」も日本製の数少ないバウンディングプラットフォームの一つ。同社のオープンソースプロジェクト会員である何十万人ものホワイトハッカーの力を借りて、より効果的な脆弱性診断を行うことができます。
個々のマシンにインストールして脆弱性診断を行うソフトウェア型のツールです。基本的にオープンソースのためサポートが期待できません。そのためセキュリティ診断の結果をもとに自ら改修を行うことのできることが前提となります。
【おすすめのケース】
【ポイント】
社内に専門家がいて、コストを抑えたい場合に有力な選択肢となります。また、有料ツールと併用しているケースも。
脆弱性診断サービス・ツール(クラウド型・ソフトウェア型)、何を導入・利用すべきか大まかにつかんだら、今度はその中から具体的に絞り込んでいきましょう。自社に合ったサービス(ツール)を選ぶ上で、どのような点に気をつければよいのか、比較検討ポイントをご紹介します。
サービス・ツールによって、Webアプリケーション・プラットフォームなど診断できる範囲は異なります。たとえば、Webアプリケーション診断の場合、クロスサイトスクリプティング対策としてのコンテンツの生成方法や、インジェクション対策としての入力方法の確認のほか、アクセス制御、セッションの管理方法、例外処理対応、コンテンツ公開設定など多岐に渡ります。
そのためまずは、「何の脆弱性を調べたいのか」「診断項目に過不足がないか」といった診断範囲をチェックしておきましょう。
同じ診断範囲・項目でも、どこまで深く、細かく行うのかはツールごとに異なります。たとえば、ツールで自動診断するよりも、技術者が「どのような情報を扱うサイトで、攻撃されるならどのような方法で行われる可能性があるか」知見を活かして分析・想定して診断すると、診断への信頼性が高まります。「この項目はしっかり調べて、万全を期したい」など要望がある場合は、それにマッチした内容かを確認しておきましょう。
診断範囲・精度で絞りきれない場合は、過去の診断実績を参考にするのも一手です。たとえば、個人情報を多く扱う会員向けサイトに強いのか、多くの人の目に触れるSNSに強いのか、またECサイトやネットバンキングなどのお金が絡む場合の取り扱いにも実績があるのかなど、各々強みは異なります。これまでの導入事例やサンプル報告書などを調べて、自社のサービス領域に近しいものを選ぶようにしましょう。
セキュリティ対策で重要なのはリスクを検出することではなく、リスクにどう対処するかです。結果が出たらすぐに社内で考案・対策できれば問題ありませんが、知見を借りて対処を考えたいといったケースも多いでしょう。その場合は、具体的な対策について、レポートとして報告を受けたり、どのようにすべきか診断した技術者と相談できたりフィードバック・相談体制に強みがあるかどうかもポイントになってきます。
料金体系はサービス・ツールによって異なります。Webアプリ、スマホアプリ、ネットワークなど診断範囲ごとに料金が必要なものもあれば、脆弱性診断というくくりで一括して診断できるものもあります。
記事後半に無料・安価で利用できる脆弱性診断ツール(クラウド型・ソフトウェア型)をまとめています。スポット的にも利用できるので、「とりあえず」の利用にもおすすめです。
大掛かりな脆弱性診断は開発プロセス後の総合テストの一環として行われることがほとんどですが、ツールの中には任意のタイミングで実施できるものもあります。
たとえば、「Securify」は、自社プロダクトの開発工程の一環、もしくはアップデートや修正のタイミングで、好きな時に何度でもセキュリティ診断を実施可能。シンプルで使いやすいインターフェイスで、診断結果に合わせて修正方法まで提示してくれるため、セキュリティエンジニアがいない場合でも安心して利用できます。
脆弱性診断サービスの中には、仮に不正アクセス等を原因として企業・事業に損害が生じた場合、それを補償してくれる、いわゆる「サイバー保険」が付帯されるものもあります。こういったものを利用すると、別途保険契約を手続きする必要がないため便利です。ただし、補償対象・上限金額はサービスによって異なるので確認しておきましょう。
おすすめの脆弱性診断サービスを、Webアプリケーション診断を中心に紹介します。多くの企業では、プラットフォーム診断サービスも同様に提供しています。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:vex公式Webサイト)
経済産業省推奨のWebアプリ診断ツール。自社の診断事業だけでなく、国内の各診断ベンダー様にも利用されている「プロ品質」が強み。「自動」「手動」「自動・手動」の3つの検査方法から、その時々に応じて自由に選択可能。診断結果は用途に応じて、Excel形式の検査結果サマリシート、Word形式の検査レポートなど多種多様なレポートにして出力できる。
脆弱性診断の専門知識・経験がない方でも安心して利用できる充実のサポートも強みの一つ。導入から運用まで一貫してサポートするスタートアップパッケージ、ユーザー専用のポータルサイトなど、豊富なメニューがそろう。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Webアプリケーション診断公式Webサイト)
大手金融機関や東証一部上場企業にも導入実績の多い、Webアプリケーション脆弱性診断サービス。大手オンライントレード、オンラインバンキング等の扱いも豊富。診断を行う担当者は、米国の専門的なトレーニングコースを修了し、各種セキュリティ関連資格を保有するなど、高いスキルと豊富な経験を有し、技術力の高さに定評あり。
主要な部分は経験豊富な専門家が手作業(マニュアル)による診断を行い、一部診断ツールを補助的に利用する、といった診断方法。診断結果の報告も手厚く、発見・修正された問題の再診断も対応。プラットフォーム診断もあり。
(出所:脆弱性診断公式Webサイト)
「短期間の診断」「パッケージ型定額価格体系」が特徴のセキュリティ診断サービス。Webアプリケーション・モバイルアプリケーションが診断対象となる。独自AIツールを用いた自動診断であれば、ページ数の多いECサイトでも1~5営業日で診断が完了する。
診断規模に関わらない「一回いくら」の定額サービスのため、事前に診断対象を絞り込む手間が不要で、大規模システムになるほど安価に利用できるのもポイント。希望があれば、高い専門性をもったセキュリティエンジニアによる手動診断(AIリモート脆弱性診断)も受けられる。3カ月以内なら発見項目の再診断可能な手厚いアフターサポートあり。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:AeyeScan公式Webサイト)
AIとRPAを活用したWebアプリケーション脆弱性診断サービス。たとえば、AIによるフォーム確認では、フォームの内容を自動認識して入力値を設定していくことで診断を進める。診断にかかる時間は最短で10分程度。Webセキュリティの知識やWebアプリ開発の経験がなくても、マウス操作のみで簡単に診断が可能。
自動巡回時に取得した画面遷移図で、脆弱性の検出箇所を視覚的に表示。脆弱性の評価は業界標準の脆弱性診断項目と評価基準で、全体の状況がひと目でわかるサマリーや修正に必要な技術的な詳細情報などを含んだ、理解しやすいレポーティングに強み。どこが問題なのかを正しく把握することができる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Cloudbric 脆弱性診断公式Webサイト)
セキュリティのプロによる柔軟性と精度の高さが強みの脆弱性診断サービス。Webサイトに特化した「Webサイト診断」「Webアプリケーション診断」「プラットフォーム診断」の3種類に対応。企業のシステム環境に応じて、必要な診断を選択できる。
既知の脆弱性の調査に加え、「深刻度×悪用度」での評価スコアリングによる対策の優先順位付けや、サイバー攻撃に対するソリューション提案・導入サポートまで実施。企業のセキュリティ対策をトータルで支援する。3種類すべての診断結果を確認できる専用の管理画面を備えており、診断の詳細や独自に収集した脅威インテリジェンスの閲覧も可能。最新のセキュリティ情報を素早く入手し、予防策を講じることができる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Webアプリケーション診断公式Webサイト)
自動診断ツールと世界トップレベルのセキュリティエンジニアによる手動診断を組み合わせた脆弱性診断サービス。4つあるプランのうち自社に合ったものを提案してもらえるため、初めて脆弱性診断サービスを利用する場合から、より高度な診断を希望する場合まで柔軟に対応可能。約2,400社以上で利用実績あり。
おすすめのポイントは、診断後も同社の脆弱性診断ツールを1年間無償で付与してもらえるところ。対象のドメインを入力するだけでA〜Eの5段階で診断結果を表示。好きなタイミングで利用することができ、B以上の評価を獲得すると同社よりサイバー攻撃対策シールが付与されるためセキュリティの証明にもつながる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
URLを入力するだけで自動スキャンして脆弱性診断することのできるクラウド型の脆弱性診断ツールを紹介します。脆弱性診断サービスよりも手軽・安価に利用でき、ソフトウェア型よりも定期的なアップデート・チューニングなど運用負担が少ないのがポイントです。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:VAddy公式Webサイト)
セキュリティ診断の経験がない開発者でも手軽に利用できる、クラウド型の脆弱性診断ツール。AIエンジンが自動で学習して行うためチューニング不要。検査項目数を現実的な脅威となりうる11項目に絞ることで設定・検査実施時間を短縮。無理なく、毎日の脆弱性診断を実現できる。開発の初期段階で利用することで、リリース直前の検査に比べて修正コストを1/20に削減可能。脆弱性診断の内製化を希望する企業にはおすすめ。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Web Doctor公式Webサイト)
対象のFQDNまたはIPアドレスを伝えるだけで利用できるクラウド型の脆弱性検査サービス。NRAから擬似攻撃コードが送られ、Webサーバー、アプリケーションサーバーの脆弱性の有無を診断。対象のWebサーバーのネットワークとWebアプリケーションの両方を脆弱性診断できる。「1回だけ」というスポット的な利用のほか、「毎日定期的に」という柔軟なスケジュール診断も可能。
(出所:SCT SECURE クラウドスキャン公式Webサイト)
セキュリティに厳しいクレジットカード業界の安全基準に準拠したクラウドスキャン。ネットワークデバイス、Webアプリケーションの弱点を一つのサービスで検査可能。メンテナンス不要、完全自己管理型のソリューション。定期的な診断によってWebサイトの抱えるリスクを可視化。診断をクリアしたサイトには安全証明マークを配信。最新の診断を受けていることをサイト訪問者にアピールできるのもポイント。
(出所:Securify公式Webサイト)
開発時のセキュリティ対策としておすすめの脆弱性診断ツール。自社プロダクトの開発工程の一環として、もしくはアップデートや修正のタイミングで、好きなときに2,000項目に及ぶ高精度の診断を「手軽」に「何度」でも実施可能。シンプルで使いやすいインターフェイスで、わずか3ステップで診断実施できるため、自社にセキュリティエンジニアがいなくても安心。診断結果はダッシュボードで一覧化して、脆弱性の背景だけでなく修正方法まで提示。定期診断実行機能があるため、診断し忘れる心配もない。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:IssueHunt公式Webサイト)
セキュリティ意識の高い欧米で利用が進んでいる「バグバウンティ」「脆弱性報告窓口」を手間なく実施できるセキュリティプラットフォーム。成果報酬で幅広い視点で脆弱性診断を行えるため「定期的な脆弱性診断では、心もとない・費用が高額なので削減したい」といった企業にはおすすめ。IssueHuntなら既存のオープンソースプロジェクトに登録済みの何十万人というホワイトハッカーを通じた脆弱性報告が可能。同社が報告の一次受付も代行可能で、有効な脆弱性報告のみ伝達するほか、報告者への対応なども代行してくれるため運用負担をかけずに、有効なセキュリティ対策を行うことができる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
最後に、ソフトウェア型の脆弱性診断ツールをご紹介します。個々のマシンにインストールし、脆弱性に関する情報を格納したデータベースを用いて脆弱性をチェックするタイプです。公開資料をもとにすればそれほど複雑な設定は必要ありません。今回は、無料(フリー)で使えるオープンソースタイプのツールを3つご紹介します。
オープンソースで、エージェントレスタイプの脆弱性スキャンツール。複数の脆弱性データベースを活かしたスキャンの精度の高さが特徴。対象サーバーにあまり負荷をかけないFastモードと、精度重視のDeepモードから選べる。スキャン結果をSlackや電子メールに通知することも可能。Linux上で動作。日本語マニュアルあり。
OpenVAS(Open Vulnerability Assessment Scanner)はオープンソースの脆弱性スキャンツール。ソフトウェア、OS、ポートなどの脆弱性を確認する。GUIの設定画面で、対象サーバーのIPアドレスを設定する程度でスキャンを実行できる。実行結果のレポートも出力される。
オープンソースのWebサーバーの脆弱性スキャンツール。インストールして利用するタイプ。イギリスのNetsparker社が支援している。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかチェックできる。
脆弱性診断サービス・ツールは、診断対象や利用するタイミングによって最適なものは異なります。まずは下記のような考え方で、自社に適した診断サービスのタイプを絞り込むと良いでしょう。
大まかにタイプをつかんだら、今度は診断範囲・診断精度・診断実績・診断後の相談体制・利用料金(価格)などのポイントに沿って、比較検討しながら具体的に絞り込んでいくとスムーズです。無料で利用できるツールもあるので、セキュリティ人材の有無やかけられるコストを考慮しつつ、検討してみてください。
脆弱性診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールにも選出。国内シェ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
独自開発のプラグイン・AIツールによる「自動診断」と高い専門性をもったセキュリティエンジニアによる「手動診断」で脆弱性診断。安価な定額制でページ数の多いサイトも...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
AIとRPAを活用した次世代Webアプリケーション脆弱性診断SaaSです。Webセキュリティに詳しくないユーザーも簡単なマウス操作で診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
世界1位を獲得したトップレベルのセキュリティエンジニアによる高品質の脆弱性診断。診断後も定期診断ツールが無償提供されるため、継続的にセキュリティを担保できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
成果報酬型で脆弱性診断を実施できる「バグバウンティ」と「脆弱性報告窓口」を手間なく実施できるプラットフォーム。顧客情報や情報資産をサイバー攻撃やハッキングから守...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
