最終更新日:2024-03-15
Webサービスやアプリの提供開始前に、セキュリティ診断サービスを利用して脆弱性を調べたいが、「費用が心配」「選び方がわからない」とお悩みの方へ。セキュリティ診断サービスの価格の目安や、価格によるサービスの比較、おすすめサービスなどについて解説します。
セキュリティ診断サービスとは、Webサイト・スマホアプリなどのアプリケーションや、サーバー・ネットワーク・OSなどのプラットフォームに脆弱性がないかを診断するサービスです。
セキュリティに穴があると自社が攻撃されるだけではなく、自社のWebサービスを利用した顧客やユーザーが被害にあうリスクもあります。一般的には、セキュリティ診断を実施すると、7~8割に脆弱性が検出されるとも言われています。
従来、こういった社内のセキュリティは社内のセキュリティチームがチェックするのが一般的でした。しかし、社内の「専門知識を持つ人材の不足」「専門領域の分化・多様化」や、マルウェアなど企業へのサイバー攻撃が巧妙化・複雑化しているといった要因から、近年では、外部のセキュリティ診断サービスを利用する企業が増えています。
セキュリティ診断サービスの種類は、以下の2タイプに大別できます。
(1)ツールで自動診断するタイプ
(2)技術者が専門知識・スキルを駆使して診断するタイプ
(1)は、使い方が分かる人が社内にいれば、いつでもすぐに、効率よくセキュリティ診断ができます。その反面、診断前のシナリオ設定などの手間や、脆弱性の見逃し、誤検出が発生する恐れも。
一方、(2)の技術者が手動診断と診断ツールを組み合わせて診断するサービスは、専門家ならではの経験と判断力、あらゆる攻撃を想定する想像力が加わるため、ツールよりも高い検出精度が期待できます。
セキュリティ診断サービスは、一回あたりの費用の目安としては、「無料のものから100万円以上かかるものまで」幅広い価格帯で展開されています。
本記事では価格帯によって、セキュリティ診断サービスの内容や診断項目にどのような違いがあるのかを解説します。記事後半、予算のボリュームに応じたおすすめのサービスも取り上げていますので、自社に合ったサービスを選ぶ際の参考にしてください。
セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
脆弱性診断を行う場合、どのくらいの予算が必要なのか。大まかな相場をつかめたところで、続いては具体的な価格帯に分けて紹介していきます。価格帯は以下の4つに分類でき、それぞれおすすめのサービスは異なります。
システムの規模や受ける診断内容、オプションによって、価格は大きく異なります。加えて、診断実施が平日か休日か、昼間か夜間か、リモートか訪問かも関係します。あくまでも一つの目安としてご参照ください。
なお、アスピック編集部では、経験者へのヒアリングや公開資料などをもとに調査しています。万一、価格に修正事項などがある場合は、お手数ですがアスピック編集部までご連絡をお願いいたします。
「高価なサービスと安価なサービスでは何が違うのか」「無料では駄目なのか」など気になる方もいらっしゃるでしょう。価格帯に応じたサービス内容の違いとしては、以下の3点が挙げられます。
| 診断範囲 | サーバー、ネットワーク、Webアプリケーション、モバイルアプリなど |
|---|---|
| 診断の深さ | ツールによる自動診断か、経験豊富な技術者による手動診断も組み合わせて行うか |
| 診断後の対応 | 脆弱性の有無、緊急度、総評、評価ランク、推奨する対策、過去との比較など |
セキュリティ診断サービスは、価格に応じて脆弱性診断の対象とする範囲が異なります。たとえば、サーバー、ネットワーク、Webアプリケーション、モバイルアプリなど。無料・安価なサービスは狭く、高額なサービスはより広い範囲を対象としています。
更に、「Webアプリケーションの脆弱性を調べたい」という場合でも、SQLインジェクション、クロスサイトスクリプティング(XSS)、パラメーターの改ざんなど、複数の診断項目があり、サービスによって対応できる診断項目に差があるため、注意が必要です。
サービスを利用する際は、サーバー、Webアプリケーションなどの診断対象だけでなく、確認したい診断項目が診断範囲に含まれているかを確認しましょう。
【診断範囲の例】
ラックの「Webアプリケーション診断ハイブリッド」は、企業のニーズや予算に応じて最適な診断範囲を決定し、診断対象となるWebページやサーバー、ネットワーク機器の安全性を徹底診断。診断項目はASVS 4.0 L1などを基準に構成しています。
レイ・イージス・ジャパンの「脆弱性診断(AIリモート脆弱性診断)」は、WSTG 4.2の最大105項目に対応し、Webアプリケーションの脆弱性を幅広く診断します。
「Vex」は、主要なWebアプリケーションに加え、サーバー設定周りの不備なども検査可能。IPAが示す診断項目に加え、経験やノウハウから必要と判断した項目を追加することで、脆弱性診断の精度向上を図っています。
「IssueHunt」は、「情報漏えい対策」「認証部分に特化」「OWASP Top 10を対象」など、企業のニーズに沿って診断対象を設定できます。多数のリサーチャーが参加するため、網羅的な診断が可能です。
「Vuls」は、20万件以上ある脆弱性から、ユーザーに影響が大きいとみなしたもののみを自動抽出し、可視化します。
セキュリティ診断サービスの価格に応じて、診断内容の深さに違いが生じます。たとえば、無料のものはツールで機械的に診断するだけなので、脆弱性の見逃しや誤検出が発生する可能性もあります。また、利用者には診断シナリオの設定などの手間に加えて、検知内容の妥当性を判断するための知見も求められます。
ツールによる自動診断と技術者による手動診断を組み合わせて行う場合や、技術者による手動診断のサブ的にツール診断も行う場合は、技術者の手動診断にかかる稼働量に比例して価格が上がっていくと考えてよいでしょう。
手動診断では、技術者の経験や知見に基づいた細かな診断に加え、最新の流行・業界ごとの傾向、人間だからこそ思いつくようなポイントで、ツールでは気づけないようなシステムの脆弱性を探っていきます。
たとえば、「そのアプリケーションは性質上、このような攻撃が起こりうる」などと、個々のシステムの仕様や特性を踏まえたうえで、攻撃者の視点からあらゆる疑似攻撃を考察・試行。更には、様々な専門機関から得た最新の攻撃手法や脆弱性情報を参照することで診断の精度を高め、見つけにくい様々なセキュリティリスクの発見に努めます。
セキュリティ診断サービスの価格に応じて、診断後の対応内容も異なります。具体的には、レポート内容の充実度(対策の記載があるか)や、その後のサポートなど。無料ツールの場合、脆弱性の有無をツールでスキャンするのみで、基本的にユーザー自身で結果を読み解く必要がありますが、有料のツール・サービスでは手厚いサポートが期待できます。
【診断後の対応の例】
ラックの「Webアプリケーション診断ハイブリッド」は、診断後のレポートで、総評、評価ランク(5段階)のほか、検出された脆弱性と、その確認方法、セキュリティリスクレベル(緊急度)、推奨する対策、業種別の統計情報が得られます。更には、レポートをもとに報告会も実施。レポート提出日から3カ月間は、問い合わせが可能です。
バルテスの「脆弱性診断」のレポートには、検出された脆弱性に加え、リスクの対策方法まで詳細に記載されています。診断時に危険度の高いリスクが発見された場合は、レポートに先立ち速報を提出。希望に応じて報告会(オプション)の開催も可能です。診断結果に対するQAサポートのほか、検知された脆弱性に対する対策を行った場合の無料再診断も実施しています。
「Vex」は、開発者向けのチェックリストやサイトオーナー向けの詳細レポートなど、目的や用途に応じたレポートをワンクリックで作成できます。導入から定着化までのサポート体制により、セキュリティ診断の内製化を支援。また、トレーニングメニューも豊富で、ユーザー専用のサポートサイトも用意されているのが特徴です。
「Securify」のレポートは、脆弱性の危険度、起こりうる問題、修正方法の例示はもちろん、検出された脆弱性に対して「対応」「除外」のステータスを付与し、管理が可能です。
導入価格が100万円以上のセキュリティ診断サービスを紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Webアプリケーション診断ハイブリッド公式Webサイト)
197,00団体以上への豊富な導入実績を持つ、同社のセキュリティ診断サービスの1つ。専門家による手動診断をメインとしつつ、ユーザーの要望に応じて、独自開発した診断ツールを組み合わせた診断にも対応。過去の膨大な診断結果を統計データ化し、評価・分析に活用している点が強み。
診断報告書には脆弱性の確認方法と緊急度に加えて、総評、5段階の評価ランク、推奨する対策、更には業種別の統計情報も記載されるため、同業他社と比較した自社のレベルも把握できる。
報告書の納品から1カ月間のサポートとして、危険度の高い脆弱性の再診断も受けられる。再診断に際し、技術者が訪問する場合は、別途見積もりが必要。英語によるサービス提供も。
導入価格が100万円未満のセキュリティ診断サービスを紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:脆弱性診断公式Webサイト)
独自開発のプラグイン・AIツールによる自動診断メインの「AIクリック・ルーツ診断」や自動診断と手動診断を組み合わせて行う「AIリモート脆弱性診断」などを提供するセキュリティ診断サービス。
診断範囲を問わない定額価格体系(自動診断はFQDNあたり30〜40万円)のため、ページ数が多ければ多いほど1ページあたりの単価が安くなることから、大規模なECサイトにもおすすめ。事前にどこまで診断してもらうか、優先順位をつける必要もないため、依頼に際し、負担感もない。ページ数の多いECサイトでも1~5営業日の短期間診断が可能。
「AIクリック・ルーツ診断」の場合も、検出結果をエンジニアが精査するため、ツール任せとは一線を画す、質の高い診断を得られる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Cloudbric 脆弱性診断公式Webサイト)
「Webサイト診断」「Webアプリケーション診断」「プラットフォーム診断」の3種類に対応した脆弱性診断サービス。導入企業の環境・状況に応じて必要な診断を選択できる。
セキュリティのプロが手動で脆弱性情報の収集・解析を行う、柔軟で高精度な診断に強み。企業ごとに合わせた診断で、見逃しや誤検知を防止する。
「Webアプリケーション診断」では、多様な脆弱性を診断し、検知したリスクを「深刻度×悪用度」の評価スコアで優先順位付け。セキュリティ製品の導入が有効な場合は、サービス提案や導入支援を行うなど、診断で現状を把握して終わるのではなく、企業のセキュリティ対策までをトータルでサポートする。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Webアプリケーション診断公式Webサイト)
世界トップレベルのセキュリティエンジニアによる高品質の脆弱性診断サービス。経産省主催のイベントや世界最大のハッキングイベントで好成績を残しているホワイトハッカーが、ツールとノウハウを組み合わせて診断を行う。
診断プランは4つ。自社に適したプランの提案を受けられるので、「どれを選べばいいかわからない」といった場合も安心。約2,400社以上で利用実績あり。
診断後は脆弱性診断ツール「GMOサイバー攻撃ネットde診断」が1年間無償で付与され、任意のタイミングでアプリやプラットフォームの脆弱性をA〜Eの5段階でチェック可能。B以上の場合に同社より付与される「サイバー攻撃対策シール」は、セキュリティへの取り組みとサイトの信頼性アピールに役立つ。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:脆弱性診断公式Webサイト)
品質保証専門会社である同社が提供する、豊富な診断実績を持つセキュリティ診断サービス。「Webセキュリティ診断」「スマホアプリセキュリティ診断」「IoTセキュリティ診断」を提供する。
診断内容や費用の明瞭化に努めており、診断前には診断項目・期間を明示した見積書に加え、診断箇所を記載した遷移図を提示。
ツール診断と手動診断の長所を組み合わせて迅速かつ確実な診断を行い、診断後には、リスクの対策方法まで詳細に記載した報告書が作成される。診断報告会は、オプションで実施可能。報告された脆弱性の修正後の再診断も料金に含まれる。
また、診断完了後にサイバーリスク保険(最大1,000万円の保証)が1年間無料提供されるため、安心してシステムを運用できる。
導入価格が30万円未満のセキュリティ診断サービスを紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Vex公式Webサイト)
国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールへの選出実績を持つ。
Webアプリケーションの脆弱性を網羅した検査機能に強みがあり、自動・手動を組み合わせた多様な検査方法に対応。たとえば、シンプルなサイトや大規模なサイトであれば自動巡回、画面遷移図に落としにくい検査対象の場合は手動設定をメインに検査、複雑なものは自動と手動を組み合わせた検査シナリオで対応する。視覚的にわかりやすい画面遷移図でシナリオを作成できるため、手間なく実施できる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Securify公式Webサイト)
複雑な事前設定なしで利用できる、クローリングによる自動診断に対応したアプリケーション脆弱性診断ツール。診断開始までわずか3ステップ。診断項目もSQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクションをはじめとする約2,000項目と豊富。診断結果では、発見された脆弱性の詳細、背景、修正方法などを提示。外部連携機能も備え、SlackやTeamsとの連携、レポート出力などにより、チーム内外へ共有可能。脆弱性のスムーズな改修に貢献する。
自社プロダクトの開発工程の中に組み込んだり、アップデートや修正ごとに実施したりと、様々なシーンで利用可能。診断結果は一覧画面で確認でき、脆弱性の概要だけでなく「どう対応すればいいか」といった対応方法まで提示してくれるのが心強い。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:AeyeScan公式Webサイト)
AIとRPAを活用した簡単・高精度な診断により、セキュリティ診断の内製化をサポートする、アプリケーション脆弱性診断サービス。
CI/CDツールとの連携により、診断対象の設定から診断、結果報告までの自動化を実現。診断ベンダーも認める充実の検査項目と検出率で、最短10分程度で診断が完了。また、「修正を行なった場所だけ」など、狭い範囲だけを素早く巡回したい場合は、ブラウザの操作履歴を記録するだけで手動巡回もできる。
画面遷移図で脆弱性の検出箇所を自動で視覚的に表示し一覧化。全体の状況を素早く把握できる総評や、修正に関する個別アドバイスを含むレポートも魅力。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:VAddy公式Webサイト)
人工知能技術の活用により、セキュリティの専門知識がない現場担当者でも手軽に脆弱性検査ができる、クラウド型診断ツール。Web-APIを利用すれば、検査の定期・自動実行にも対応する。
ツールのインストールといった事前準備は不要で、すべての基本操作がWebブラウザで完結する手軽さも魅力。テレワーク環境や複数拠点間の利用にもおすすめ。
月額固定料金のため、何度も脆弱性診断を実施可能。利用シーン(診断項目数)に応じた複数の料金プランを用意しており、1カ月単位でアップグレード/ダウングレードできるので、「診断を実施するタイミングだけ契約する」という使い方も。そのほか、VAddyの年間契約に、OWASP TOP10に準拠した手動診断などに使える診断チケットを付加したプランも用意。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:IssueHunt公式Webサイト)
自社のサービスやWebサイトの脆弱性に関する報告を広く募り、有効なものには報奨金を支払う「バグバウンティ(脆弱性報奨金制度)」に対応したセキュリティプラットフォーム。日本を代表する上場企業から急成長のベンチャー企業まで、幅広い導入実績を誇る。
従来型のセキュリティ診断と異なり、「成果報酬型のため固定費がかからず、予算を無駄なく使える」「幅広い視点で診断できる」「面倒な準備が不要で、最短即日開始が可能」などのメリットがある。オプションで、報告の一次受付や報告の確認・トリアージ、報告者への対応も代行してくれるため、運用負担がかからないのもポイント。
(出所:サイバーレスキュー公式Webサイト)
長年、デジタルマーケティングの課題解決に取り組んできた同社が手掛ける、完全成果報酬型のセキュリティ診断サービス。
日本国内の行政機関で国防に携わったホワイトハッカーと、サイバーセキュリティ先進国イスラエルのホワイトハッカーの合同チームが、実戦経験豊富な攻撃者の目線で診断。通常のセキュリティエンジニアでは難しい脆弱性の発見が期待できる。
そのほか、社員のサイバーセキュリティに関するリテラシーの向上・意識改革まで、一貫したコンサルテーションにも対応可能。毎月10社限定で無料の「簡易脆弱性診断」も行っているため、まずは試してみるのもおすすめ。
最後に、自社内で脆弱性診断を実施する場合に役立つ、無料で利用できるオープンソース型の脆弱性診断ツールをご紹介します。どれも診断対象を設定すると、診断結果が得られます。
オープンソースで、エージェントレスタイプの脆弱性診断ツール。LinuxやFreeBSDが対象となっている。NVD・JVDをはじめとした、多種多様な脆弱性データベースを入手して診断するため、最新の情報を含んだ診断が可能。
対象サーバーにあまり負荷がかからないFastモードと、精度重視のDeepモードから選べ、複数の脆弱性データベースを活かしたスキャンの精度の高さが特徴。スキャン結果をSlackや電子メールに通知可能。日本語マニュアルがあるほか、診断結果の日本語出力にも対応する。
オープンソースの脆弱性スキャナー・Nessusのソースコードをベースに開発されたツール。GUIの設定画面で、対象サーバーのIPアドレスを設定する程度でスキャンを実行可能。ソフトウェア、OS、ポートなどの脆弱性を確認する。実行結果のレポート出力に対応。
オープンソースのWeb脆弱性スキャナー。イギリスのNetsparker社が支援している。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかなどをチェック可能。
セキュリティ診断サービスは、Webサービスやアプリケーション、ネットワークなどに潜むセキュリティ上の脆弱性を見つけるためのサービスです。
セキュリティ診断サービスは、大きく以下に分類されます。
(1)ツールで自動診断するタイプ
(2)技術者が専門知識・スキルを駆使して診断するタイプ
無料から100万円以上かかるサービスまで幅広い価格帯があり、価格に比例して「診断範囲」「診断の深さ」「診断後の対応」が充実していくのが一般的です。
今回は1回あたり「無料」「30万円未満」「100万円未満」「100万円以上」という区分で、価格による具体的なサービスの違い、おすすめサービスなどをご紹介しました。
セキュリティ診断を受けることで具体的な脆弱性を発見し、適切な対策を施すために、まずは予算に応じたサービス選びから始めてみてください。
セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
独自開発のプラグイン・AIツールによる「自動診断」と高い専門性をもったセキュリティエンジニアによる「手動診断」で脆弱性診断。安価な定額制でページ数の多いサイトも...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
世界1位を獲得したトップレベルのセキュリティエンジニアによる高品質の脆弱性診断。診断後も定期診断ツールが無償提供されるため、継続的にセキュリティを担保できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールにも選出。国内シェ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
★★★★★ 4.5 10件の口コミ・評判
★★★★★ 4.5 10件の口コミ・評判
導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
AIとRPAを活用した次世代Webアプリケーション脆弱性診断SaaSです。Webセキュリティに詳しくないユーザーも簡単なマウス操作で診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
