最終更新日:2024-11-01
Webサービスやアプリの提供開始前に、セキュリティ診断サービスを利用して脆弱性を調べたいが、「費用が心配」「選び方がわからない」とお悩みの方へ。セキュリティ診断サービスの概要や価格の目安、価格帯別のサービスの比較、おすすめのサービスなどを解説します。
セキュリティ診断サービスとは、自社や顧客が使用するWebサイトやネットワークの脆弱性を診断するサービスです。
診断対象は幅広く、従業員が業務で使用するPC・スマホ・タブレットといった端末、自社や顧客が利用するWebサイト・スマホアプリなどのアプリケーション、サーバー・ネットワーク・OSなどのプラットフォームなど。対象に疑似攻撃を行うことで、セキュリティ上問題なく反応があるか、侵入できる欠陥がないかを確認します。
従来は、社内のセキュリティチームが脆弱性のチェックを担っていました。しかし、専門知識を持つ人材の不足、専門領域の分化・多様化や、マルウェアなど企業へのサイバー攻撃の巧妙化・複雑化といった要因から、近年では外部のセキュリティ診断サービスを利用する企業が増えています。
セキュリティ診断サービスの種類は、以下の2種類に大別できます。
自動診断ツール | サービスが提供するツールを利用して、機械的に診断・スキャンを行うタイプ。 自社内で効率よくセキュリティ診断ができる反面、専門知識が必要、診断前のシナリオ設定などに手間がかかる、隠れた脆弱性の見逃し・誤検出が発生するといったリスクも |
---|---|
技術者による診断 | 技術者が手動診断と診断ツールを組み合わせて診断するタイプ。 ツールでの診断に加えて、ホワイトハッカーと呼ばれるITスペシャリストらが、攻撃者目線で隠れた脆弱性を見つけ出す。専門家の経験や判断力、想像力を活かすことで、ツールよりも高い検出精度が期待できる |
セキュリティ診断サービスの内容は、以下の3つの観点から把握するのがおすすめです。
(1)診断範囲 | サーバー、ネットワーク、Webアプリケーション、モバイルアプリなど、診断の対象となる範囲。 価格に応じて脆弱性診断の対象とする範囲が異なり、無料・安価なサービスは狭く、高額なサービスはより広い範囲の診断ができるのが一般的だ。加えて、診断項目の数もサービス/価格によって様々 |
---|---|
(2)診断の深さ | 診断の深さとは、診断の範囲・精度・徹底度を指す指標。たとえば、無料の診断ツールだと、既知の脆弱性や基本的な設定ミスの検出といった浅い診断しかできない。 しかし、高機能な有料ツールを使ったり、技術者による手動診断を組み合わせたりすれば、より深い診断が可能に。扱う情報の内容によって、求められる診断の深さが異なる |
(3)診断後の対応 | 価格に応じて、レポート内容の充実度(対策の記載があるか)や、その後のサポートなどの有無などが異なる。無料ツールの場合、スキャン結果の読み解きや脆弱性の改修をユーザー自身で行う必要がある。 一方、有料ツール・サービスでは、診断結果をもとにしたレポートなどが受け取れるほか、期間内であれば再診断に対応してくれる場合も |
セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
セキュリティ診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。
脆弱性診断サービスの選び方ガイド
セキュリティ診断サービスの一回あたりの費用は、無料から100万円以上まで幅広い価格帯で設定されています。4つの価格帯+成果報酬型に分けた場合、それぞれのおすすめのサービスを以下の表にまとめました。
提供されるサービス内容は価格帯ごとに異なります。ここからは、「1.診断範囲」「2.診断の深さ」「3.診断後の対応」の3つの観点から、それぞれの価格帯で提供されているサービス事例を紹介します。
なお、システムの規模や診断内容、オプションによって、価格は大きく異なります。加えて、診断実施の曜日(平日/休日)や時間帯(昼間/夜間)、診断方法(リモート/訪問)も関係します。あくまでも一つの目安としてご参照ください。
※アスピック編集部では、経験者へのヒアリングや公開資料などをもとに調査しています。万一、価格に修正事項などがある場合は、お手数ですがアスピック編集部までご連絡をお願いいたします。
金融系システムや行政サービス系システム、医療系システムなど、機密性の高い情報を扱ううえ、攻撃を受けた場合の被害が甚大になりうるシステムの場合、広範かつ深いセキュリティ診断が求められます。
(1)診断範囲 |
|
---|---|
(2)診断の深さ |
|
(3)診断後の対応 |
|
クレジットカード情報や顧客情報を扱うECサイトや、社員情報を持つ人事・経理系の社内情報システムなども、ある程度深い診断ができるサービスが必要です。また、物理的な影響を及ぼす可能性を考えると、IoTシステムも高度な診断が求められます。
(1)診断範囲 |
|
---|---|
(2)診断の深さ |
|
(3)診断後の対応 |
|
決済機能が限定的な会員制Webページや、一般的な情報のみ扱う社内システム、モバイルアプリなどは、既知の脆弱性を中心に診断を行うのが一般的。また、セルフでこまめに診断を実施できるのもポイントです。
(1)診断範囲 |
|
---|---|
(2)診断の深さ |
|
(3)診断後の対応 |
|
新サービスのローンチ前検証など、限られた予算で効率的に診断を行いたい場合、もしくは得敵の脆弱性に焦点を当てて対策したい場合は、見つけた脆弱性に応じて報酬を支払う成果報酬型のサービスが適しています。コスト最適化に向いている一方で、体系的な診断が行われない可能性があるので、注意が必要です。
(1)診断範囲 |
|
---|---|
(2)診断の深さ |
|
(3)診断後の対応 |
|
個人開発のWebアプリケーションや小規模なコミュニティサイトなど、セキュリティ対策にかけられる予算が少ない場合は、無料ツールが選択肢となります。しかし、診断範囲が限定的で精度の保証もないため、個人情報などを扱う場合は、有料サービスの利用も視野に入れてください。
(1)診断範囲 |
|
---|---|
(2)診断の深さ |
|
(3)診断後の対応 |
|
ここからは、価格帯別のおすすめのセキュリティ診断サービスを、更に詳しくご紹介します。
まずは、導入価格が100万円以上のセキュリティ診断サービスを紹介します。
(出所:Webアプリケーション診断ハイブリッド公式Webサイト)
専門家による手動診断をメインとしつつ、ユーザーの要望に応じて、独自開発した診断ツールを組み合わせた診断にも対応。19,700団体以上と豊富な導入実績を持ち、蓄積した診断結果を統計データ化して、評価・分析に活用している点が強み。
診断報告書には脆弱性の確認方法と緊急度に加えて、総評、5段階の評価ランク、推奨する対策、更には業種別の統計情報も記載。同業他社と比較した自社のセキュリティレベルが把握できる。
報告書の納品から1カ月間のサポートとして、危険度の高い脆弱性の再診断も受けられる。再診断に際し、技術者が訪問する場合は、別途見積もりが必要。金額と作業スケジュールは「サイト数」と「画面遷移数」に依拠する。英語によるサービス提供もあり。
続いて、導入価格が100万円未満のセキュリティ診断サービスを紹介します。
(出所:脆弱性診断公式Webサイト)
海外金融・政府系機関を中心に、年間約3,000件以上利用されているセキュリティ診断サービス。高品質、短納期、定額制を掲げ、「簡易プラン」と「標準プラン」を用意。前者では独自のAIツールを使った自動診断「AIクリック・ツール診断」を、後者では更に手動診断を組み合わせた「AIリモート脆弱性診断」を提供する。「AIクリック・ツール診断」の場合も、検出結果をエンジニアが精査するため、ツール任せとは一線を画す、質の高い診断を得られる。
ページ数を問わないFQDN単位の定額価格体系(自動診断はFQDNあたり30〜40万円)も特徴。ページ数が多ければ多いほど1ページあたりの単価が安くなるため、大規模なECサイトにおすすめ。ページ数の多いECサイトでも1~5営業日の短期間診断が可能。
(出所:Cloudbric 脆弱性診断公式Webサイト)
70万以上のWebサイトを保護する韓国の情報セキュリティ企業が運営。「Webサイト診断」「Webアプリケーション診断」「API診断」「プラットフォーム診断」の4種類から選択。環境やニーズに合わせて専門家が手動で診断を行う。
「Webアプリケーション診断」では、多様な脆弱性を診断し、検知したリスクを「深刻度×悪用度」の評価スコアで優先順位付け。診断後のレポートはPDFとオンラインから確認でき、脆弱性への対策案の提案やサポートまで対応してくれる。攻撃の予兆となる最新の脅威情報をまとめた脅威インテリジェンスを確認すれば、未知の脅威に備えられる。
(出所:脆弱性診断(Web/モバイル/IoT)公式Webサイト)
経済産業省が定めた「情報セキュリティサービス基準」に準拠した3つのサービスを用意。「Webセキュリティ診断」「スマホアプリセキュリティ診断」「IoTセキュリティ診断」から、品質保証専門会社ならではの高品質なサービスを提供する。IoTセキュリティ診断では、「電子錠の不正開錠」や「ネットワークカメラの盗聴・盗撮」など、IoTに携わるセキュリティリスクを検出する。
診断内容や費用の明瞭化に努めており、診断前には診断項目・期間を明示した見積書に加え、診断箇所を記載した遷移図を提示。ツール診断と手動診断の長所を組み合わせて迅速かつ確実な診断を行い、診断後には、リスクの対策方法まで詳細に記載した報告書を作成する。診断報告会は、オプションで実施可能。報告された脆弱性の修正後の再診断も料金に含まれる。
診断完了後にはサイバーリスク保険として、最大1,000万円の保証を1年間無料で提供。不正アクセスや改ざんなどの事故があった場合、被害調査やデータ復旧などにかかる費用を補償してくれる。
続いて、導入価格が30万円未満のセキュリティ診断サービスを紹介します。
(出所:Vex公式Webサイト)
国内各診断ベンダーにも利用されている高精度のWebアプリケーション脆弱性検査ツール。97.5%の継続率を誇り、経済産業省による推奨セキュリティツールへの選出実績を持つ。
3タイプのシナリオ作成機能と、脆弱性を網羅した充実な検査機能で、高精度かつ丁寧な診断を実施。自動・手動を組み合わせ、平易なサイトは自動巡回、複雑なサイトは自動と手動を組み合わせた検査シナリオでの診断など、柔軟に対応する。シナリオは視覚的にわかりやすい画面遷移図で作成するため、手間がかからない。
ライセンスは「トライアル」、自社向けの「デベロッパー」、他社システム向けの「オーディター」の3つのから選択。導入から運用までワンストップで支援するパッケージやトレーニングメニューもあり、初めてでも安心して運用できる。
(出所:Securify公式Webサイト)
手軽さや継続性を求める方におすすめのアプリケーション脆弱性診断ツール。無料のアカウント一つでWebからネットワーク、SaaSまで、網羅的な診断をワンストップで行える。AIツールによるセルフ診断をベースに、高精度な手動診断である「Securify マニュアル脆弱性診断」を追加サービスとして用意している。
URLや連携対象サービスの認証情報などを登録するだけで簡単に診断開始。クローリングにより診断対象を自動抽出し、複雑な事前設定の必要がない。診断項目もSQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクションをはじめ約2,000項目と多岐にわたる。診断結果画面では、発見された脆弱性の詳細、背景、修正方法などをわかりやすく提示し、専門知識がなくても安心。スケジュール診断により、定期的でこまめな運用も容易。
シンプルで使いやすいUI、高い操作性も特徴で、社内の開発・保守担当に引き継ぎやすい。Slack、Teams連携やレポート出力などを利用して共有すれば、チーム内外でスムーズに脆弱性対策ができる。フリープランを含む3種の料金プランは、いずれも診断回数、診断時間に上限がない。
(出所:AeyeScan公式Webサイト)
AIとRPA(業務自動化技術)を活用したSaaS型Webアプリケーション脆弱性診断サービス。スタートガイドを利用した導入とテストシナリオの自動作成で、知識がなくても最短10分で診断をスタートできる。サイトの規模を問わない簡単・高精度な診断により、セキュリティ診断の内製化をサポート。
CI/CDツールとのAPI連携で自動巡回・スキャンのシームレスな自動化を実現するほか、APIの脆弱性診断も可能。AIによる自動巡回に手動巡回機能を組み合わせることで、「修正を行なった場所だけ」など効率的・柔軟な診断ができる。自動診断ツールでは難しいとされるシングルサインオンをはじめ、最新のWebサイトにも対応。
診断ベンダーも認める充実の検査項目と検出率、視覚的に理解できる画面遷移図も魅力。診断後は、全体の状況を素早く把握できる総評や、修正に関する個別アドバイスを含むレポートでセキュリティレベルを底上げする。
(出所:VAddy公式Webサイト)
専門知識不要で手軽に利用できるクラウド型Webアプリケーション脆弱性診断ツール。アカウント作成、スキャン、レポートの簡単3ステップで完了し、セキュリティ担当者がいなくても安心して利用できる。Web-APIを利用すれば、検査の定期・自動実行にも対応。
ツールのインストールといった事前準備は不要で、すべての基本操作がWebブラウザで完結する手軽さも魅力。一つの契約で3つのFQDNを登録でき、更にそれらのサーバーに検査を実行するユーザーを紐付けられる。複数のユーザーでの診断ができるため、テレワーク環境や複数拠点間の利用にもおすすめ。
月額固定料金のため、何度も脆弱性診断を実施可能。利用シーン(診断項目数)に応じた複数の料金プランを用意しており、1カ月単位でアップグレード/ダウングレードできるので、「診断を実施するタイミングだけ契約する」という使い方も。
そのほか、VAddyの年間契約に、OWASP TOP10に準拠した手動診断などに使える診断チケットを付加したプランも用意。一般的なWebアプリケーションのすべてに対応し、ログイン機能などがあっても追加料金がかからない。
(出所:GMOサイバー攻撃ネットde診断ASM公式Webサイト)
IT資産を可視化し、組織全体の脆弱性対策を底上げする国産ASM。ホワイトハッカーがIT資産を棚卸しし、ツールが定期的に脆弱性情報を自動収集。ランクをもとにセキュリティコンサルタントが優先順位をつけてリスクに対応する、ツールとコンサルティングをミックスしたフローになっている。ドメイン等を洗い出す手間も削減可能。
プラットフォーム、Webアプリ、CMSなどに対応する汎用性の高さも強み。GMOインターネットグループならではの大規模なシステム基盤の強みを生かしてコストを抑えつつ、組織全体の脆弱性管理・対策を実現する。
1ドメインの場合は無料で利用可能。10ドメイン以上の企業に向けて、その場で診断結果がわかる無料相談会を実施している。
(出所:イージスEW公式Webサイト)
ASM(攻撃対象領域管理)+ペネトレーションテストで幅広い診断項目からリスクを顕在化できる脆弱性診断ツール。メールサーバー、Webサーバー・アプリケーション、ポートスキャン、クラウドアプリ環境などを対象に、外部からのデータ侵害、情報漏えい、メールのなりすましなどが起きていないかを診断・攻撃防御の実行状況の把握が可能。サブドメイン・野良端末も検出・診断できるのも強み。専門知識がなくても、色分けやグラフで診断結果や脆弱性の深刻度がわかりやすく可視化され、改修すべき箇所を一目で判断できるのもうれしい。
1回限り(1Shot)、1年間・3年間で毎日1回/週1回/月1回と、診断実施の頻度に合わせた料金体系になっており、コストを調整できるのもメリット。その他、無料のASM脆弱性診断や、有料サービスのセミナー・研修も利用可能。診断結果に基づき、発見された脆弱性を改修するまでサポートする伴走サービスも提供し、自社の状況やニーズに合わせてリスク対策ができる。
脆弱性が検出された場合のみ費用がかかる完全成果報酬型のセキュリティ診断サービスを紹介します。
(出所:IssueHunt公式Webサイト)
初期費用、固定料金、契約期間すべて不要のセキュリティプラットフォーム。日本を代表する上場企業から急成長のベンチャー企業まで、豊富な導入実績を持つ。
自社のサービスやWebサイトの脆弱性に関する報告を広く募り、有効なものには報奨金を支払う「バグバウンティ(脆弱性報奨金制度)」を取り入れ、サイバー攻撃を広く防いでいる。従来APIエンドポイント数などを基準に算定されていた脆弱性診断を、高コストパフォーマンスで実施できる。
従来型のセキュリティ診断と異なり、「成果報酬型のため予算を無駄なく使える」「幅広い視点で診断できる」「面倒な準備が不要で、最短即日開始が可能」などのメリットがある。オプションで、報告の一次受付や報告の確認・トリアージ、報告者への対応も代行してくれるため、運用負担がかからないのもポイント。料金はホワイトハッカーへの支払い額から計上する。
(出所:サイバーレスキュー公式Webサイト)
長年、デジタルマーケティングの課題解決に取り組んできた同社が手掛ける、完全成果報酬型のサイバーセキュリティコンサルティングサービス。国内外のホワイトハッカーから成る熟練の合同チームが、実戦経験豊富な攻撃者の目線で診断する。診断後は脆弱性レベルや概要、診断箇所、対策などをレポートで提出。
初期費用のいらない完全報酬型かつ予算に応じて柔軟なサービス内容を提供。ほか、社員のサイバーセキュリティに関するリテラシーの向上・意識改革など、一貫したコンサルテーションにも対応している。毎月10社限定で無料の「簡易脆弱性診断」も行っているため、まずは試してみるのもおすすめ。
最後に、無料で利用できるオープンソース型の脆弱性診断ツールをご紹介します。いずれも診断対象を設定すると結果が得られるツールで、自社内で脆弱性診断を実施する場合に役立ちます。
オープンソースで、エージェントレスタイプの脆弱性診断ツール。LinuxやFreeBSDに対応し、広範囲なOSを対象としている。NVD・JVDをはじめとした、多種多様な脆弱性データベースを入手して診断するため、最新の情報を含んだ診断が可能。複数の脆弱性データベースを活かして高精度のスキャンができる。独立行政法人情報処理推進機構(IPA)の「脆弱性対策の効果的な進め方(ツール活用編)」に選出されたことで注目が高まっている。
対象サーバーにあまり負荷がかからないFastモードと、精度重視のDeepモードから選べる。スキャン結果をSlackや電子メールに通知可能。日本語マニュアルがあるほか、診断結果の日本語出力にも対応する。
かつてリリース・公開されていたセキュリティスキャナー「Nessus」のソースコードをベースに開発された脆弱性スキャナー。Linux、Windows、MacといったOSのほか、ソフトウェア、ポートなどの脆弱性を確認する。
GUIの設定画面で、対象サーバーのIPアドレスを設定する程度でスキャンを実行可能。実行結果はレポート出力できる。脆弱性データベースは日々更新されており、最新の脆弱性にも有効。開発支援を行うドイツのGreenbone Networks社による商用サポートも提供されている。
イギリスのNetsparker社が支援するWeb脆弱性スキャナー。Webアプリケーションとミドルウェアに対応。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかなどをチェックできる。
Webサイトやネットワークにおけるセキュリティ上の欠陥(脆弱性)をチェックし、安心・安全なIT環境を整備するセキュリティ診断サービス。大きく分けて、以下の2タイプが存在します。
(1)ツールで自動診断するタイプ
(2)技術者が専門知識・スキルを駆使して診断するタイプ
最適なサービスを選ぶためには、上記のタイプと合わせて、以下の3点と価格を検討します。
(1)診断範囲…サーバー、ネットワーク、Webアプリケーション、モバイルアプリなど診断の対象
(2)診断の深さ…自動/手動、組み合わせなど診断の手段とレベル
(3)診断後の対応…レポートの充実度、サポートの有無など
価格帯は無料から100万円以上かかるサービスまで幅広く、価格に比例して「診断範囲」「診断の深さ」「診断後の対応」が充実していくのが一般的です。
こまめなセキュリティ診断の実施は、自社の従業員はもちろん、顧客・ユーザーの安心・信頼の獲得につながります。具体的な脆弱性を発見し、適切な対策を施すために、まずは予算に応じたサービス選びから始めてみてください。
セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
セキュリティ診断サービスのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。
脆弱性診断サービスの選び方ガイド
ペンタセキュリティ株式会社
企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...
株式会社スリーシェイク
導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続...
株式会社ビットフォレスト
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
GMOサイバーセキュリティbyイエラエ株式会社
世界No.1(※)ホワイトハッカーの知見を詰め込んだASMツールです。全社的な脆弱性管理の効率化におすすめ。外部からの攻撃面になる未把握のIT資産を発見し、組織...
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。