• TOP
  • 特集記事
  • セキュリティ診断サービスの比較14選。価格帯別で選び方を解説

セキュリティ診断サービスの比較14選。価格帯別で選び方を解説

セキュリティ診断サービスの比較14選。価格帯別で選び方を解説

最終更新日:2024-11-01

Webサービスやアプリの提供開始前に、セキュリティ診断サービスを利用して脆弱性を調べたいが、「費用が心配」「選び方がわからない」とお悩みの方へ。セキュリティ診断サービスの概要や価格の目安、価格帯別のサービスの比較、おすすめのサービスなどを解説します。

目次

セキュリティ診断サービスとは?

セキュリティ診断サービスとは、自社や顧客が使用するWebサイトやネットワークの脆弱性を診断するサービスです。

診断対象は幅広く、従業員が業務で使用するPC・スマホ・タブレットといった端末、自社や顧客が利用するWebサイト・スマホアプリなどのアプリケーション、サーバー・ネットワーク・OSなどのプラットフォームなど。対象に疑似攻撃を行うことで、セキュリティ上問題なく反応があるか、侵入できる欠陥がないかを確認します。

セキュリティ診断サービスが必要な背景

従来は、社内のセキュリティチームが脆弱性のチェックを担っていました。しかし、専門知識を持つ人材の不足、専門領域の分化・多様化や、マルウェアなど企業へのサイバー攻撃の巧妙化・複雑化といった要因から、近年では外部のセキュリティ診断サービスを利用する企業が増えています。

セキュリティ診断サービスの種類

セキュリティ診断サービスの種類は、以下の2種類に大別できます。

自動診断ツール サービスが提供するツールを利用して、機械的に診断・スキャンを行うタイプ。
自社内で効率よくセキュリティ診断ができる反面、専門知識が必要、診断前のシナリオ設定などに手間がかかる、隠れた脆弱性の見逃し・誤検出が発生するといったリスクも
技術者による診断 技術者が手動診断と診断ツールを組み合わせて診断するタイプ。
ツールでの診断に加えて、ホワイトハッカーと呼ばれるITスペシャリストらが、攻撃者目線で隠れた脆弱性を見つけ出す。専門家の経験や判断力、想像力を活かすことで、ツールよりも高い検出精度が期待できる

セキュリティ診断サービスの内容

セキュリティ診断サービスの内容は、以下の3つの観点から把握するのがおすすめです。

(1)診断範囲 サーバー、ネットワーク、Webアプリケーション、モバイルアプリなど、診断の対象となる範囲。
価格に応じて脆弱性診断の対象とする範囲が異なり、無料・安価なサービスは狭く、高額なサービスはより広い範囲の診断ができるのが一般的だ。加えて、診断項目の数もサービス/価格によって様々
(2)診断の深さ 診断の深さとは、診断の範囲・精度・徹底度を指す指標。たとえば、無料の診断ツールだと、既知の脆弱性や基本的な設定ミスの検出といった浅い診断しかできない。
しかし、高機能な有料ツールを使ったり、技術者による手動診断を組み合わせたりすれば、より深い診断が可能に。扱う情報の内容によって、求められる診断の深さが異なる
(3)診断後の対応 価格に応じて、レポート内容の充実度(対策の記載があるか)や、その後のサポートなどの有無などが異なる。無料ツールの場合、スキャン結果の読み解きや脆弱性の改修をユーザー自身で行う必要がある。
一方、有料ツール・サービスでは、診断結果をもとにしたレポートなどが受け取れるほか、期間内であれば再診断に対応してくれる場合も

セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

セキュリティ診断サービスの資料をDL

セキュリティ診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。

脆弱性診断サービスの選び方ガイド

 

セキュリティ診断サービスを価格別に図解

セキュリティ診断サービスの一回あたりの費用は、無料から100万円以上まで幅広い価格帯で設定されています。4つの価格帯+成果報酬型に分けた場合、それぞれのおすすめのサービスを以下の表にまとめました。

価格別 セキュリティ診断サービス 図解

提供されるサービス内容は価格帯ごとに異なります。ここからは、「1.診断範囲」「2.診断の深さ」「3.診断後の対応」の3つの観点から、それぞれの価格帯で提供されているサービス事例を紹介します。

なお、システムの規模や診断内容、オプションによって、価格は大きく異なります。加えて、診断実施の曜日(平日/休日)や時間帯(昼間/夜間)、診断方法(リモート/訪問)も関係します。あくまでも一つの目安としてご参照ください。

※アスピック編集部では、経験者へのヒアリングや公開資料などをもとに調査しています。万一、価格に修正事項などがある場合は、お手数ですがアスピック編集部までご連絡をお願いいたします。

100万円以上のセキュリティ診断サービス(Webアプリケーション診断ハイブリッド/ラック株式会社の場合)

金融系システムや行政サービス系システム、医療系システムなど、機密性の高い情報を扱ううえ、攻撃を受けた場合の被害が甚大になりうるシステムの場合、広範かつ深いセキュリティ診断が求められます。

(1)診断範囲
  • 企業のニーズや予算に応じて最適な診断範囲を決定
  • 診断対象となるWebページやサーバー、ネットワーク機器の安全性を徹底診断
  • 診断項目はASVS 4.0 L1などを基準に構成
(2)診断の深さ
  • 熟練したセキュリティ専門家による手動診断を中心に、独自開発の診断ツールを併用
  • 攻撃者の視点から様々な疑似攻撃(SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなど)を考察・試行することで、安全性を徹底的に調査
(3)診断後の対応
  • 総評、評価ランク(5段階)のほか、検出された脆弱性と、その確認方法、セキュリティリスクレベル(緊急度)、推奨する対策、業種別の統計情報をまとめたレポートを提供
  • レポートをもとに報告会を実施するほか、1カ月間のサポートとして、危険度の高い脆弱性を希望に応じて再診断する

100万円未満のセキュリティ診断サービス(脆弱性診断(AIリモート脆弱性診断)/レイ・イージス・ジャパンの場合)

クレジットカード情報や顧客情報を扱うECサイトや、社員情報を持つ人事・経理系の社内情報システムなども、ある程度深い診断ができるサービスが必要です。また、物理的な影響を及ぼす可能性を考えると、IoTシステムも高度な診断が求められます。

(1)診断範囲
  • ECサイト、オンラインバンキング、ログインページなど、特別な機能を提供するサイトに対応
  • FQDN(絶対ドメイン名)単位で対象システムを隅々まで診断する
  • Webアプリケーションのセキュリティテストのガイドラインである「WSTG 4.2」に則り、105項目をチェックする
(2)診断の深さ
  • 独自のAIツールによる自動診断と、ベテランのホワイトハッカーによる手動診断の組み合わせを提供
  • 論理チェックや権限奪取、ゼロデイ攻撃などを短期間で診断
(3)診断後の対応
  • 世界中の320名以上の有資格者が診断プランの提案からアフターサポートまで伴走
  • 診断結果と、検出された脆弱性への対策方法はメールで報告
  • 報告会・アフターサポートを標準的に提供するほか、3カ月以内の再診断にも対応

30万円未満のセキュリティ診断サービス(Securifyの場合)

決済機能が限定的な会員制Webページや、一般的な情報のみ扱う社内システム、モバイルアプリなどは、既知の脆弱性を中心に診断を行うのが一般的。また、セルフでこまめに診断を実施できるのもポイントです。

(1)診断範囲
  • Webアプリケーション、SaaS、WordPress、コーポレートサイトなど
  • 米国政府が支援するMITRE社提供のデータベースに則ったCVEチェックにも対応
(2)診断の深さ
  • 使いやすさに定評のあるAIツールによるセルフ診断がメイン
  • 追加サービスを利用すれば、定期的な手動診断も加えたハイブリッドセキュリティを実現できる
(3)診断後の対応
  • ダッシュボードの診断結果画面にて、日本語によるわかりやすい評価を提示
  • スコアとともに、検出された脆弱性の背景や修正方法などを確認できる
  • 診断結果はSlack、Teams、メール、出力などで共有

成果報酬型のセキュリティ診断サービス(IssueHuntの場合)

新サービスのローンチ前検証など、限られた予算で効率的に診断を行いたい場合、もしくは得敵の脆弱性に焦点を当てて対策したい場合は、見つけた脆弱性に応じて報酬を支払う成果報酬型のサービスが適しています。コスト最適化に向いている一方で、体系的な診断が行われない可能性があるので、注意が必要です。

(1)診断範囲
  • 「情報漏えい対策」「認証部分に特化」「OWASP Top 10を対象」など、企業のニーズに沿った診断対象を設定
  • 多数のリサーチャーが脆弱性を探すので、網羅的な診断が可能
(2)診断の深さ
  • 脆弱性の発見をホワイトハッカーたちに広く募り、報告された脆弱性に応じて報酬を支払う(完全報酬型)
  • 軽微な設定不備から、SQLインジェクションなどの深刻な脆弱性まで検知し、サイバー攻撃を未然に防ぐ
(3)診断後の対応
  • 報告をもとに修正後、同社のサポートチームが確認
  • セキュリテイ担当者がいない場合に向けて、運用代行によるサポートも提供

無料のセキュリティ診断サービス(Vuls(バルス)の場)

個人開発のWebアプリケーションや小規模なコミュニティサイトなど、セキュリティ対策にかけられる予算が少ない場合は、無料ツールが選択肢となります。しかし、診断範囲が限定的で精度の保証もないため、個人情報などを扱う場合は、有料サービスの利用も視野に入れてください。

(1)診断範囲
  • 各種サーバーや、コンテナ・コンテナイメージ、ソフトウェア、プログラミング言語のライブラリなどのスキャンに対応
  • ユーザーに影響が大きいとみなしたもののみを自動抽出し、可視化
(2)診断の深さ
  • NVDやJVNのほか、各ディストリビューションなどが提供する脆弱性情報を自動で取得
  • それらの情報をもとに、自動で脆弱性診断を実施する
(3)診断後の対応
  • スキャン・診断結果をSkackやメールで通知
  • Cronの設定により、定期的なスキャンから通知までを自動化できる

ここからは、価格帯別のおすすめのセキュリティ診断サービスを、更に詳しくご紹介します。

 

おすすめのセキュリティ診断サービス(価格:100万円以上)

まずは、導入価格が100万円以上のセキュリティ診断サービスを紹介します。

セキュリティ診断サービスの資料をDL

Webアプリケーション診断ハイブリッド(株式会社ラック)

Webアプリケーション診断公式Webサイト 株式会社ラック

(出所:Webアプリケーション診断ハイブリッド公式Webサイト)

専門家による手動診断をメインとしつつ、ユーザーの要望に応じて、独自開発した診断ツールを組み合わせた診断にも対応。19,700団体以上と豊富な導入実績を持ち、蓄積した診断結果を統計データ化して、評価・分析に活用している点が強み。
診断報告書には脆弱性の確認方法と緊急度に加えて、総評、5段階の評価ランク、推奨する対策、更には業種別の統計情報も記載。同業他社と比較した自社のセキュリティレベルが把握できる。
報告書の納品から1カ月間のサポートとして、危険度の高い脆弱性の再診断も受けられる。再診断に際し、技術者が訪問する場合は、別途見積もりが必要。金額と作業スケジュールは「サイト数」と「画面遷移数」に依拠する。英語によるサービス提供もあり。

  • 料金:要問い合わせ(参考価格は20画面遷移の1サイトで100万円~)

サービス詳細へ

 

おすすめのセキュリティ診断サービス(価格:100万円未満)

続いて、導入価格が100万円未満のセキュリティ診断サービスを紹介します。

セキュリティ診断サービスの資料をDL

脆弱性診断(株式会社レイ・イージス・ジャパン)

脆弱性診断公式Webサイト

(出所:脆弱性診断公式Webサイト)

海外金融・政府系機関を中心に、年間約3,000件以上利用されているセキュリティ診断サービス。高品質、短納期、定額制を掲げ、「簡易プラン」と「標準プラン」を用意。前者では独自のAIツールを使った自動診断「AIクリック・ツール診断」を、後者では更に手動診断を組み合わせた「AIリモート脆弱性診断」を提供する。「AIクリック・ツール診断」の場合も、検出結果をエンジニアが精査するため、ツール任せとは一線を画す、質の高い診断を得られる。
ページ数を問わないFQDN単位の定額価格体系(自動診断はFQDNあたり30〜40万円)も特徴。ページ数が多ければ多いほど1ページあたりの単価が安くなるため、大規模なECサイトにおすすめ。ページ数の多いECサイトでも1~5営業日の短期間診断が可能。

  • 料金:30万円〜(簡易プランの場合)、98万円〜(標準プランの場合)
    ※各プランFQDNあたり(モバイルアプリ診断はアプリ単位)いずれも3カ月以内の再診断付き

今すぐ資料をダウンロードする(無料)

サービス詳細へ

Cloudbric 脆弱性診断(ペンタセキュリティ株式会社)

Cloudbric 脆弱性診断公式Webサイト

(出所:Cloudbric 脆弱性診断公式Webサイト)

70万以上のWebサイトを保護する韓国の情報セキュリティ企業が運営。「Webサイト診断」「Webアプリケーション診断」「API診断」「プラットフォーム診断」の4種類から選択。環境やニーズに合わせて専門家が手動で診断を行う。
「Webアプリケーション診断」では、多様な脆弱性を診断し、検知したリスクを「深刻度×悪用度」の評価スコアで優先順位付け。診断後のレポートはPDFとオンラインから確認でき、脆弱性への対策案の提案やサポートまで対応してくれる。攻撃の予兆となる最新の脅威情報をまとめた脅威インテリジェンスを確認すれば、未知の脅威に備えられる。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

脆弱性診断(Web/モバイル/IoT)(バルテス株式会社)

セキュリティ・脆弱性診断サービス公式Webサイト

(出所:脆弱性診断(Web/モバイル/IoT)公式Webサイト)

経済産業省が定めた「情報セキュリティサービス基準」に準拠した3つのサービスを用意。「Webセキュリティ診断」「スマホアプリセキュリティ診断」「IoTセキュリティ診断」から、品質保証専門会社ならではの高品質なサービスを提供する。IoTセキュリティ診断では、「電子錠の不正開錠」や「ネットワークカメラの盗聴・盗撮」など、IoTに携わるセキュリティリスクを検出する。
診断内容や費用の明瞭化に努めており、診断前には診断項目・期間を明示した見積書に加え、診断箇所を記載した遷移図を提示。ツール診断と手動診断の長所を組み合わせて迅速かつ確実な診断を行い、診断後には、リスクの対策方法まで詳細に記載した報告書を作成する。診断報告会は、オプションで実施可能。報告された脆弱性の修正後の再診断も料金に含まれる。
診断完了後にはサイバーリスク保険として、最大1,000万円の保証を1年間無料で提供。不正アクセスや改ざんなどの事故があった場合、被害調査やデータ復旧などにかかる費用を補償してくれる。

  • 料金:要問い合わせ

サービス詳細へ

 

おすすめのセキュリティ診断サービス(価格:30万円未満)

続いて、導入価格が30万円未満のセキュリティ診断サービスを紹介します。

セキュリティ診断サービスの資料をDL

Vex(株式会社ユービーセキュア)

vex公式Webサイト

(出所:Vex公式Webサイト)

国内各診断ベンダーにも利用されている高精度のWebアプリケーション脆弱性検査ツール。97.5%の継続率を誇り、経済産業省による推奨セキュリティツールへの選出実績を持つ。
3タイプのシナリオ作成機能と、脆弱性を網羅した充実な検査機能で、高精度かつ丁寧な診断を実施。自動・手動を組み合わせ、平易なサイトは自動巡回、複雑なサイトは自動と手動を組み合わせた検査シナリオでの診断など、柔軟に対応する。シナリオは視覚的にわかりやすい画面遷移図で作成するため、手間がかからない。
ライセンスは「トライアル」、自社向けの「デベロッパー」、他社システム向けの「オーディター」の3つのから選択。導入から運用までワンストップで支援するパッケージやトレーニングメニューもあり、初めてでも安心して運用できる。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

Securify(株式会社スリーシェイク)

Securify公式Webサイト

(出所:Securify公式Webサイト)

手軽さや継続性を求める方におすすめのアプリケーション脆弱性診断ツール。無料のアカウント一つでWebからネットワーク、SaaSまで、網羅的な診断をワンストップで行える。AIツールによるセルフ診断をベースに、高精度な手動診断である「Securify マニュアル脆弱性診断」を追加サービスとして用意している。
URLや連携対象サービスの認証情報などを登録するだけで簡単に診断開始。クローリングにより診断対象を自動抽出し、複雑な事前設定の必要がない。診断項目もSQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクションをはじめ約2,000項目と多岐にわたる。診断結果画面では、発見された脆弱性の詳細、背景、修正方法などをわかりやすく提示し、専門知識がなくても安心。スケジュール診断により、定期的でこまめな運用も容易。
シンプルで使いやすいUI、高い操作性も特徴で、社内の開発・保守担当に引き継ぎやすい。Slack、Teams連携やレポート出力などを利用して共有すれば、チーム内外でスムーズに脆弱性対策ができる。フリープランを含む3種の料金プランは、いずれも診断回数、診断時間に上限がない。

  • 料金:月額10万円(BASICの場合)※年契約のみ ※無料プランあり

今すぐ資料をダウンロードする(無料)

サービス詳細へ

AeyeScan(株式会社エーアイセキュリティラボ)

AeyeScan_公式Webサイト

(出所:AeyeScan公式Webサイト)

AIとRPA(業務自動化技術)を活用したSaaS型Webアプリケーション脆弱性診断サービス。スタートガイドを利用した導入とテストシナリオの自動作成で、知識がなくても最短10分で診断をスタートできる。サイトの規模を問わない簡単・高精度な診断により、セキュリティ診断の内製化をサポート。
CI/CDツールとのAPI連携で自動巡回・スキャンのシームレスな自動化を実現するほか、APIの脆弱性診断も可能。AIによる自動巡回に手動巡回機能を組み合わせることで、「修正を行なった場所だけ」など効率的・柔軟な診断ができる。自動診断ツールでは難しいとされるシングルサインオンをはじめ、最新のWebサイトにも対応。
診断ベンダーも認める充実の検査項目と検出率、視覚的に理解できる画面遷移図も魅力。診断後は、全体の状況を素早く把握できる総評や、修正に関する個別アドバイスを含むレポートでセキュリティレベルを底上げする。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

VAddy(株式会社ビットフォレスト)

VAddy公式Webサイト

(出所:VAddy公式Webサイト)

専門知識不要で手軽に利用できるクラウド型Webアプリケーション脆弱性診断ツール。アカウント作成、スキャン、レポートの簡単3ステップで完了し、セキュリティ担当者がいなくても安心して利用できる。Web-APIを利用すれば、検査の定期・自動実行にも対応。
ツールのインストールといった事前準備は不要で、すべての基本操作がWebブラウザで完結する手軽さも魅力。一つの契約で3つのFQDNを登録でき、更にそれらのサーバーに検査を実行するユーザーを紐付けられる。複数のユーザーでの診断ができるため、テレワーク環境や複数拠点間の利用にもおすすめ。
月額固定料金のため、何度も脆弱性診断を実施可能。利用シーン(診断項目数)に応じた複数の料金プランを用意しており、1カ月単位でアップグレード/ダウングレードできるので、「診断を実施するタイミングだけ契約する」という使い方も。
そのほか、VAddyの年間契約に、OWASP TOP10に準拠した手動診断などに使える診断チケットを付加したプランも用意。一般的なWebアプリケーションのすべてに対応し、ログイン機能などがあっても追加料金がかからない。

  • 料金:月額19,800円(診断項目が5項目のProfessionalプランの場合)、月額59,800円(診断項目が11項目のEnterpriseプランの場合)、月額99,800円(診断項目が17項目のAdvancedプランの場合)

今すぐ資料をダウンロードする(無料)

詳細はこちら(インタビューあり)

GMOサイバー攻撃ネットde診断ASM(GMOサイバーセキュリティ byイエラエ株式会社)

GMOサイバー攻撃 ネットde診断ASM公式Webサイト

(出所:GMOサイバー攻撃ネットde診断ASM公式Webサイト)

IT資産を可視化し、組織全体の脆弱性対策を底上げする国産ASM。ホワイトハッカーがIT資産を棚卸しし、ツールが定期的に脆弱性情報を自動収集。ランクをもとにセキュリティコンサルタントが優先順位をつけてリスクに対応する、ツールとコンサルティングをミックスしたフローになっている。ドメイン等を洗い出す手間も削減可能。
プラットフォーム、Webアプリ、CMSなどに対応する汎用性の高さも強み。GMOインターネットグループならではの大規模なシステム基盤の強みを生かしてコストを抑えつつ、組織全体の脆弱性管理・対策を実現する。
1ドメインの場合は無料で利用可能。10ドメイン以上の企業に向けて、その場で診断結果がわかる無料相談会を実施している。

  • 料金:要問い合わせ

今すぐ資料をダウンロードする(無料)

サービス詳細へ

イージスEW(株式会社未来研究所)

イージスEW公式Webサイト

(出所:イージスEW公式Webサイト)

ASM(攻撃対象領域管理)+ペネトレーションテストで幅広い診断項目からリスクを顕在化できる脆弱性診断ツール。メールサーバー、Webサーバー・アプリケーション、ポートスキャン、クラウドアプリ環境などを対象に、外部からのデータ侵害、情報漏えい、メールのなりすましなどが起きていないかを診断・攻撃防御の実行状況の把握が可能。サブドメイン・野良端末も検出・診断できるのも強み。専門知識がなくても、色分けやグラフで診断結果や脆弱性の深刻度がわかりやすく可視化され、改修すべき箇所を一目で判断できるのもうれしい。
1回限り(1Shot)、1年間・3年間で毎日1回/週1回/月1回と、診断実施の頻度に合わせた料金体系になっており、コストを調整できるのもメリット。その他、無料のASM脆弱性診断や、有料サービスのセミナー・研修も利用可能。診断結果に基づき、発見された脆弱性を改修するまでサポートする伴走サービスも提供し、自社の状況やニーズに合わせてリスク対策ができる。

  • 料金:85,000円/回(プロフェッショナルプランの場合、9ドメインまで)

今すぐ資料をダウンロードする(無料)

サービス詳細へ

 

おすすめのセキュリティ診断サービス(成果報酬型)

脆弱性が検出された場合のみ費用がかかる完全成果報酬型のセキュリティ診断サービスを紹介します。

IssueHunt(IssueHunt株式会社)

IssueHunt公式Webサイト

(出所:IssueHunt公式Webサイト)

初期費用、固定料金、契約期間すべて不要のセキュリティプラットフォーム。日本を代表する上場企業から急成長のベンチャー企業まで、豊富な導入実績を持つ。
自社のサービスやWebサイトの脆弱性に関する報告を広く募り、有効なものには報奨金を支払う「バグバウンティ(脆弱性報奨金制度)」を取り入れ、サイバー攻撃を広く防いでいる。従来APIエンドポイント数などを基準に算定されていた脆弱性診断を、高コストパフォーマンスで実施できる。
従来型のセキュリティ診断と異なり、「成果報酬型のため予算を無駄なく使える」「幅広い視点で診断できる」「面倒な準備が不要で、最短即日開始が可能」などのメリットがある。オプションで、報告の一次受付や報告の確認・トリアージ、報告者への対応も代行してくれるため、運用負担がかからないのもポイント。料金はホワイトハッカーへの支払い額から計上する。

  • 料金:月額・初期費用なし、成果報酬型

サービス詳細へ

サイバーレスキュー(株式会社シングラ)

サイバーレスキュー公式Webサイト

(出所:サイバーレスキュー公式Webサイト)

長年、デジタルマーケティングの課題解決に取り組んできた同社が手掛ける、完全成果報酬型のサイバーセキュリティコンサルティングサービス。国内外のホワイトハッカーから成る熟練の合同チームが、実戦経験豊富な攻撃者の目線で診断する。診断後は脆弱性レベルや概要、診断箇所、対策などをレポートで提出。
初期費用のいらない完全報酬型かつ予算に応じて柔軟なサービス内容を提供。ほか、社員のサイバーセキュリティに関するリテラシーの向上・意識改革など、一貫したコンサルテーションにも対応している。毎月10社限定で無料の「簡易脆弱性診断」も行っているため、まずは試してみるのもおすすめ。

  • 料金:要問い合わせ

サービス詳細へ

 

無料のセキュリティ診断サービス

最後に、無料で利用できるオープンソース型の脆弱性診断ツールをご紹介します。いずれも診断対象を設定すると結果が得られるツールで、自社内で脆弱性診断を実施する場合に役立ちます。

Vuls

オープンソースで、エージェントレスタイプの脆弱性診断ツール。LinuxやFreeBSDに対応し、広範囲なOSを対象としている。NVD・JVDをはじめとした、多種多様な脆弱性データベースを入手して診断するため、最新の情報を含んだ診断が可能。複数の脆弱性データベースを活かして高精度のスキャンができる。独立行政法人情報処理推進機構(IPA)の「脆弱性対策の効果的な進め方(ツール活用編)」に選出されたことで注目が高まっている。
対象サーバーにあまり負荷がかからないFastモードと、精度重視のDeepモードから選べる。スキャン結果をSlackや電子メールに通知可能。日本語マニュアルがあるほか、診断結果の日本語出力にも対応する。

OpenVAS

かつてリリース・公開されていたセキュリティスキャナー「Nessus」のソースコードをベースに開発された脆弱性スキャナー。Linux、Windows、MacといったOSのほか、ソフトウェア、ポートなどの脆弱性を確認する。
GUIの設定画面で、対象サーバーのIPアドレスを設定する程度でスキャンを実行可能。実行結果はレポート出力できる。脆弱性データベースは日々更新されており、最新の脆弱性にも有効。開発支援を行うドイツのGreenbone Networks社による商用サポートも提供されている。

Nikto

イギリスのNetsparker社が支援するWeb脆弱性スキャナー。Webアプリケーションとミドルウェアに対応。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかなどをチェックできる。

 

まとめ

Webサイトやネットワークにおけるセキュリティ上の欠陥(脆弱性)をチェックし、安心・安全なIT環境を整備するセキュリティ診断サービス。大きく分けて、以下の2タイプが存在します。

(1)ツールで自動診断するタイプ
(2)技術者が専門知識・スキルを駆使して診断するタイプ

最適なサービスを選ぶためには、上記のタイプと合わせて、以下の3点と価格を検討します。

(1)診断範囲…サーバー、ネットワーク、Webアプリケーション、モバイルアプリなど診断の対象
(2)診断の深さ…自動/手動、組み合わせなど診断の手段とレベル
(3)診断後の対応…レポートの充実度、サポートの有無など

価格帯は無料から100万円以上かかるサービスまで幅広く、価格に比例して「診断範囲」「診断の深さ」「診断後の対応」が充実していくのが一般的です。

こまめなセキュリティ診断の実施は、自社の従業員はもちろん、顧客・ユーザーの安心・信頼の獲得につながります。具体的な脆弱性を発見し、適切な対策を施すために、まずは予算に応じたサービス選びから始めてみてください。

セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

セキュリティ診断サービスの資料をDL

セキュリティ診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。

脆弱性診断サービスの選び方ガイド

 

インタビューやサービス詳細はこちら

脆弱性診断

株式会社レイ・イージス・ジャパン

独自開発のプラグイン・AIツールによる「自動診断」と高い専門性をもったセキュリティエンジニアによる「手動診断」で脆弱性診断。安価な定額制でページ数の多いサイトも...

Cloudbric 脆弱性診断

ペンタセキュリティ株式会社

企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...

Vex

株式会社ユービーセキュア

国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールにも選出。国内シェ...

Securify(セキュリファイ)

株式会社スリーシェイク

導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続...

AeyeScan

株式会社エーアイセキュリティラボ

AIとRPAを活用したクラウド型Webアプリケーション脆弱性診断ツールです。Webセキュリティに詳しくないユーザーも最短10分で診断を開始することが可能、高精度...

VAddy|インタビュー掲載

株式会社ビットフォレスト

セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...

GMOサイバー攻撃ネットde診断ASM

GMOサイバーセキュリティbyイエラエ株式会社

世界No.1(※)ホワイトハッカーの知見を詰め込んだASMツールです。全社的な脆弱性管理の効率化におすすめ。外部からの攻撃面になる未把握のIT資産を発見し、組織...

イージスEW

株式会社未来研究所

幅広い範囲の診断項目に強みを持つインフラ脆弱性診断ツール。ASM診断に加え、ペネトレーションテストもラインナップ。わかりやすいGUIで、セキュリティ強化を支援し...

記事をシェア

  • Facebook
  • Twitter
  • LINE


CLOSE
ログイン

<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。

会員パスワード変更

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

再設定依頼メール送信完了

パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。

メールが届かない場合

ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。

ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE
登録完了

ご登録いただき、ありがとうございました。
資料ダウンロードを選んだ方は、送信されたメールのURLをクリックして資料をダウンロードしてください。

CLOSE
更新完了

登録内容を変更しました。

CLOSE
アンケートにご回答ください。

サービスの導入検討状況を教えて下さい。

本資料に含まれる企業(社)よりご案内を差し上げる場合があります。

  • 資料請求後に、当該資料に含まれる「サービス提供会社」や弊社よりご案内を差し上げる場合があります。
  • ご案内のため、アスピックにご登録いただいた会員情報を弊社より「サービス提携会社」に対して電子データにて提供いたします。
  • 利用規約とプライバシーポリシーに同意の上、ダウンロードいただきます。
CLOSE
ご回答ありがとうございました。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。
ご確認ください。