【最新】セキュリティ診断サービス比較28選！重要視するポイント・目的別に解説

IT技術の発展が進むと同時に、サイバー攻撃は多種多様になりました。事態が複雑になったことで、自社で対策することが難しく、一度攻撃を受けると被害が拡大していく可能性があり、日々対策しかなければなりません。近年は各社で、外部サービスの導入や自動化サービスを活用し、セキュリティの内製化を進める動きが見られています。本記事では、セキュリティ診断を導入するメリットや比較検討するためのポイントについて解説します。

セキュリティ診断サービスの重要性と選ぶべきポイント

セキュリティ診断サービスは、システムやネットワークの脆弱性を特定し、悪意のある攻撃から保護するための重要な手段です。診断によって見つかった脆弱性を修正することで、潜在的なセキュリティリスクを軽減し、機密情報の漏洩やサービス停止のリスクを低減できます。

1. 診断の範囲と対応能力の比較
2. 診断の専門性と信頼性の比較
3. 診断のレポート内容と提供方法

1.診断の範囲と対応能力の比較

セキュリティ診断の範囲は、ウェブアプリケーション、ネットワークインフラ、モバイルアプリ、クラウド環境、IoTデバイスなど多岐にわたります。サービスの対応能力を比較する際には、診断対象の領域やプロトコル、サービス提供者の技術力を注目しましょう。

2. 診断の専門性と信頼性の比較

セキュリティ診断には専門知識が必要です。診断を行うエキスパートの資格や経験を確認しましょう。信頼性の高いサービスを選ぶためには、過去の実績や顧客の評価、セキュリティテストツールの使い勝手などを考慮しましょう。

3.診断レポートの内容と提供方法の比較

レポートの内容は診断結果や脆弱性の詳細、修正方法などが含まれます。分かりやすく具体的な情報が提供されているかを確認しましょう。レポートの提供方法も重要です。オンラインダッシュボードや定期的な報告書の提供など、自社のニーズに合った方法を選びましょう。

セキュリティ診断の進め方

セキュリティ診断方法には大きく分けてツール診断と手動診断の２種類あり、どちらが良いというわけでもなく、それぞれの特徴を生かして使い分けることが丁寧なセキュリティ診断の実行につながります。

1. ツール診断
2. 手動診断

1.ツール診断

自動検査サービスで、あらかじめ決められた診断項目からセキュリティのチェックを行う方法です。費用が安く、短時間で結果を得られるのが特徴。診断は、クラウド上で実施できる「クラウド型」とインストールして診断を行う「ソフトウェア 型」があります。

2.手動診断

セキュリティエンジニアなどの専門家が直接検査を行う方法。ツール診断より精度が高い分、コストや時間がかかりやすいのが特徴。診断結果後、今後の具体的なセキュリティ対策案などを提示してもらえることもあります。

💡基本的に、コストと診断の精度のバランスを考えてツール診断と手動診断を組み合わせる場合が多いです。 費用相場としては、ツール診断のみは無料から数十万円のものがあり、ツール診断と手動診断を組み合わせたサービスは、数十万円から数百万円のものまであります。

セキュリティ診断サービスの利用シーン

セキュリティ診断サービスが必要となる状況はどういったものでしょうか。社内で挙がるセキュリティ関連の問題としては、セキュリティ人材の不足やサイバー攻撃の多発などがあります。具体的に利用シーンを想定することで、導入後の最大活用が期待できます。自社の問題を洗い出し、どの利用シーンに当てはまっているか考えてみてください。

• 新たなアプリケーションのセキュリティレベルを確認したい
• サービスの拡張に伴いセキュリティ対策を強化したい
• 機能追加を行ったのでリリース前に安全性を確認したい
• 既存サービスのセキュリティ対策を確認したい

セキュリティ診断サービスの主な診断項目

セキュリティ診断には大きく分けて「Webアプリケーション診断」と「プラットフォーム診断」の2種類があります。それぞれの特徴と具体的な診断項目について以下にて紹介します。

Webアプリケーション診断

Webアプリケーション診断は、インターネットブラウザ上で利用する「Webアプリケーション」を診断対象とする機能です。単に「アプリケーション診断」という場合はスマホアプリなども含まれます。主な診断項目として以下の7項目があります。

1. クロスサイトスクリプティング（XSS）
2. クロスサイトリクエストフォージェリ（CSRF）
3. SQLインジェクション
4. OSコマンドインジェクション
5. ディレクトリトラバーサル
6. 強制ブラウジング
7. 認証機能・アクセス制御の不備

クロスサイトスクリプティング（XSS）

Webサイトの記述言語であるHTMLに悪意のあるスクリプトを埋め込んで攻撃する手法です。閲覧者のインターネット掲示板やショッピングサイトで特に発生しやすく、Webサイトのリンクやメールに含まれる不正なリンクをクリックすることで、パスワードや個人情報を盗まれるといった被害を受けてしまいます。Webサイトの脆弱性の中で非常に多い割合を占めているもので、対策の必要性が高まっている項目です。

クロスサイトリクエストフォージェリ（CSRF）

攻撃用のWebページを介してシステムに意図しないリクエストを送る攻撃のことです。意図していないリクエストにも関わらず、リクエストを送った側が悪意のある書き込みや犯行予告を行ったとされ誤認逮捕につながることもあります。Webサイトのリンクやメールに含まれる不正なリンクをクリックすることで、意図せず特定のWebサイトへ即座にリクエストが送られてしまうので、リクエスト強要とも呼ばれています。ユーザ側はその時点で何が起きたのかに気づくことはなく、後から被害にあったことを認識するのが特徴です。

SQLインジェクション

SQLはデータベースを操作する言語の名称のこと、インジェクションは注入を意味する単語です。検索ボックスや入力フォームなどに記入する文字列に不正な操作を行うSQL文を第三者が意図的に注入することで、データベース内のデータの消去や改ざん、盗用を図る攻撃のことです。データベースに保存されている個人情報や機密情報を攻撃者に抜き取られ、法的責任に問われることもあります。

OSコマンドインジェクション

Webサイトに向けて不正な入力を行うことで、Webサーバ側が想定していない動作をさせるサイバー攻撃のことです。ユーザがデータや数値を入力するのに紛れ込ませてOSへの命令文を渡し、命令文を受け取ったWebサーバが誤ってOSに対して攻撃を行ってしまうのです。攻撃者の意のままにサーバ上のデータベースなどを操ることができてしまうので、情報漏洩や改ざん、不正なシステム操作、ウイルス感染などが発生します。

ディレクトリトラバーサル

ファイルを参照する仕組みを悪用し、Webサーバの非公開ファイルにアクセスを行う攻撃のことです。非公開のファイルが保管されているディレクトリ（ファイルをグループ化するためのフォルダ）に「横断（トラバーサル）」し不正にファイルを閲覧することからディレクトリトラバーサルと呼ばれています。ファイルやディレクトリを操作する際に、不正なパスを挿入されることによって意図しないディレクトリやファイルを参照、操作されてしまいます。サーバ上の非公開ファイルを参照されてしまうので、機密情報が漏洩するなどの被害を受ける可能性があります。

強制ブラウジング

一般的なWeb閲覧ではWebブラウザに表示されたリンクをたどって他のページに移動しますが、アドレスバーに直接URLの文字列を入力することで、WEBサイト側が公開していない領域にあるディレクトリやファイル等を表示させる攻撃のことです。管理者しか使用できないメニューを操作されることでページを改ざんされたり、制作側が内部で共有しているデータを不正に抜き取られたりする可能性があります。

認証機能・アクセス制御の不備

ユーザに対して与える権限を制御するための認証機能やアクセス制御を適用する際に不備があると、許可されていない情報が公開されてしまったり、データの変更や破壊が勝手に行われたりすることがあります。個人情報を閲覧する機能にアクセスするにあたって、メールアドレスのみでログインできてしまうWebサイトが脆弱であると届出を受けた例もあります。一般にメールアドレスは他人にも知られる可能性のある情報であると判断できるため、アクセス制御が欠落しているといえるでしょう。

プラットフォーム診断

プラットフォーム診断は、サーバやOS、ネットワーク機器、ミドルウェアを診断対象とする機能です。これらの機器の設定に問題ないかやポートが不必要に開いていないかなど様々な項目を精査していきます。

そしてこのプラットフォーム診断には「リモート診断」「オンサイト診断」の2つの手法が存在します。リモート診断は主に、インターネット経由でネットワーク外部から診断するといった手法です。続いてオンサイト診断は、内部ネットワークから直接的に検査して、システム上の脆弱性や欠陥を発見する手法です。
そして一般的には、これら2つの診断方法を併用することで、脆弱性診断の精度をより高めることができるとされています。主な診断項目としては以下の5項目が挙げられます。

1. ホスト情報収集
2. 脆弱性検査
3. アカウント検査
4. サービス設定検査
5. ポートスキャン

ホスト情報収集

動作しているOSやアプリケーションのバナー情報を取得し、プロダクトバージョンなどに欠損がないかを検査。

脆弱性検査

OSやソフトウェアが持っている脆弱性の検査。

アカウント検査

推測可能なアカウントやパスワードが汎用サービスで利用されていないかを検査。

サービス設定検査

不要なディレクトリの公開、サーバの設定に不備がないかなどの検査。

ポートスキャン

サーバやネットワーク機器が利用しているTCP（「Transmission Control Protocol」1対1の信頼性の高い通信を行うためのプロトコル）やUDP（「User Datagram Protocol」データ到達の確認を行わずにデータ送信を行うプロトコル）の検査。

セキュリティ診断サービスの具体的な費用

セキュリティ診断サービスを利用する場合、診断の内容や頻度、あるいは診断対象の規模に応じて料金が変わるため、具体的に「この価格でできる」という基準はありません。もちろん使用するツールによっても価格は異なってきます。例えば、ある診断サービスで、アプリケーション診断を実行する場合、30万円程度の費用で依頼し、それ以外の診断も含めるとさらに費用が上乗せされるなど、診断の依頼数に応じてその額も増減します。そのため、自社で必要としている診断内容や、セキュリティ診断のために割ける予算を逆算し、診断費用を固めていくことが重要です。

セキュリティ診断サービス有料と無料の違い

セキュリティ診断サービスは大きく分かれて２種類あります。有料と無料の違いを解説します。

有料

サービスの導入、設定などの使い方のサポート、診断結果に基づくアドバイスが受けられるため、セキュリティ関係者でなくてもセキュリティ診断をすることが容易となります。診断範囲が広く、価格によって、ツールによる自動診断と技術者による手動診断を組み合わせて行うと深さも異なってきます。

💡サービスを利用する際には、まず何を診断対象にするか、どの脆弱性を診断したいかをチェックしておくことで、スムーズに導入検討することができます。

無料

コストがかからないので手軽に始めることができます。しかし、サポートが不足しているため、導入や設定が難しいことがあります。そして、診断範囲が狭く、最低限のセキュリティ診断となります。診断結果レポートがない場合もあるため、対策に向けて次のアクションを起こしにくいといったデメリットがあります。

セキュリティ内製化について

プロダクトによって開発スピードが早いものや頻繁に改修されるたびに、毎度外部にセキュリティ診断を依頼すると、コストが高額になってしまいがちです。また、短い開発期間ということからスケジュール調整が難しいことがあります。その場合、自社でセキュリティ内製化をすることで、スケジュール調整負担軽減し、コストが抑えます。内製化に伴い、社内教育が必要となってきますが、自社のセキュリティ人材の獲得にも繋げることができます。

セキュリティ診断サービスを導入するメリット4つ

企業がセキュリティ診断を導入すると、安全で高品質なプロダクト開発に効果的です。具体的なメリットについて4つ解説します。

1. 第三者目線でのセキュリティ診断によりアプリやネットワークの改善点が明確になる
2. 無駄のないセキュリティ対策が実現し、コストを低く抑える
3. 自社の社会的信頼獲得に繋がる
4. 開発者のセキュリティレベルが向上する

1.第三者目線でのセキュリティ診断によりアプリやネットワークの改善点が明確になる

診断前までは、セキュリティに配慮して安全なものを構築したいと考えていても、問題点を把握できなければ改善することは難しいです。セキュリティに精通する専門家が社内にいるとも限りませんので、セキュリティ診断を行うことで素早くこの脆弱性を見つけ、改善に向けて動き出すことができるようになります。

2.無駄のないセキュリティ対策が実現し、コストを低く抑える

自社でセキュリティ対策を施すと、余計な作業が生まれ、コストパフォーマンスは下がってしまいます。診断範囲やツールか手動診断の深さによってコストはかかりますが、同様の効果を専門家抜きで得ようとするとさらにコストがかかってしまうことが予想されます。無駄な作業を省き、早期に判断しツールや専門家を利用することでセキュリティコストを削減することに繋げられます。

3.自社の社会的信頼獲得に繋がる

サイバー攻撃で顧客情報が漏えいすると、たとえ外部による漏洩でも社会的信用が低下してしまいます。重要な情報を扱う場合それだけセキュリティレベルが求められることを考慮するべきです。診断後のレポートを用いて、定期的なセキュリティ診断を受けているということを示せばそれだけで信頼関係を保ちやすくなります。

4.開発者のセキュリティレベルが向上する

Webセキュリティ診断結果の報告書では、脆弱性の有無だけでなく危険度や再現方法、対策を知ることができ、開発者自身のセキュリティへの理解度・知識が深まります。開発者自身のセキュリティレベルが向上することで、今後の設計や開発に生かすこともできます。

セキュリティ診断サービスのデメリット3つ

セキュリティ診断を受ける上でのデメリットとして、以下の3つが挙げられます。

1. 全ての脆弱性が見つけられるわけではない
2. 診断用の環境の準備が必要
3. 脆弱性が検出された場合、対策のためにシステムの修正が必要になる場合がある

1.全ての脆弱性が見つけられるわけではない

サイバー攻撃も日々進歩しているため、予想外の部分で脆弱性となることがあるからです。セキュリティ診断を受けたら終わりなのではなく、対策は常に行い続けるべきです。

2.診断用の環境の準備が必要

セキュリティ診断を受ける場合、診断用の環境の準備がいる場合があります。診断では実際の攻撃に近い方法で、脆弱性の検出を行うため、大量アクセスや大量データの作成、メールの送信などが行われます。そのため、開発中の環境や本番環境ではなく、診断用に環境を用意することを推奨します。

3.脆弱性が検出された場合、対策のためにシステムの修正が必要になる場合がある

診断により脆弱性が検出されると、修正を検討する必要があります。修正は、危険度やWebアプリケーションの仕様、ユーザビリティが著しく損なわれることがないかなどを考慮しつつ、決定する必要があります。

セキュリティ診断サービス選定ポイント4選

適切なセキュリティ診断サービスの選び方について注目するべきポイントを４つ解説します。

1. 評価と信頼性
2. 診断結果レポートのわかりやすさ
3. 連絡手段の豊富さ
4. プライバシーと機密保持

1. 評価と信頼性

過去の評価やクライアントのフィードバックを確認し、信頼性の高いサービスプロバイダを選びましょう。実績や業界での評判を調査することで、信頼性のある選択が可能です。

2. 診断結果レポートのわかりやすさ

診断結果レポートの項目には以下のものがあります。

• 診断結果のサマリレポート
• 脆弱性の改善に必要な技術情報
• 脆弱性のチェックリスト

提供される診断レポートの詳細度や解析の質が、セキュリティ問題の特定と対策立案に大きな影響を与えます。詳細内容や表示方法はツールごとに異なるため、デモやサンプルがある場合は、レポートの見やすさ・わかりやすさも確認しておきましょう。

3.連絡手段の豊富さ

初めてのセキュリティ診断には、進行の際、細かなコミュニケーションをとることができた方が安心です。連絡手段が多ければ多いほど、早期の段階から充実したサポートを受けやすいといったメリットがあります。

4. プライバシーと機密保持

セキュリティ診断では機密情報が関与する場合がありますので、プロバイダのプライバシーポリシーや機密保持の取り組みを確認しましょう。データの保護や情報漏洩のリスクを最小限に抑えるために、信頼できるプロバイダを選択しましょう。

セキュリティ診断サービスの選択後の手続き注意点

適切なセキュリティ診断サービスプランを選び、プロバイダとの契約手続きを進めましょう。契約書や利用規約を注意深く確認し、サービス内容や料金に関する明確な理解を持つことが重要です。

1. ネットワークまたはアプリケーションの設定
2. 対策の実施と追跡
3. 定期的な診断のスケジューリング

1.ネットワークまたはアプリケーションの設定

セキュリティ診断に先立ち、対象となるネットワークまたはアプリケーションの設定を整える必要があります。必要な権限やアクセス情報を提供し、スムーズな診断実施のための準備を行いましょう。

2. 対策の実施と追跡

セキュリティ診断の結果に基づき、特定された脆弱性や提案された対策を実施していきましょう。実施した対策の効果を定期的に監視し、必要に応じて追加の対策を行うことでセキュリティを強化します。

3. 定期的な診断のスケジューリング

セキュリティ診断は一度だけではなく、定期的に実施することが重要です。プロバイダとスケジュールを調整し、定期的な診断を実施することで、セキュリティの持続的な改善を図りましょう。

セキュリティ診断サービス28選比較表

製品名	製品ロゴ	提供形態	診断範囲	トライアル期間	ツールor　　　手動診断	連絡手段	レポート形式	費用・プラン	対応プロトコル
NRI SECURE		ー	WEBアプリ　　　 スマホアプリ プラットフォーム　　 コンテナ API AWS Microsoft Azure, GCP エンドポイント端末 　ブロックチェーン	なし	ツール・手動	メール	PDF HTML	個別見積もり	HTTP HTTPS
Web Doctor		SasS型	Webサイト Webアプリ	なし	ツール 手動診断（オプション）	電話・メール	PDF HTML	300,000円 （ページ制限なし）	HTTP HTTPS
Securify Scan		クラウド型	Webアプリ API	2週間	ツール 手動診断（オプション）	Slack Microsoft Teams メール	PDF CSV XML JSON	2つのプランあり 月額性	HTTP HTTPS
AEGIS-EW(イージスEW)		クラウド型	WEBアプリ　　サーバ　IoT	あり	手動・ツール	メール	PDF HTML	2つのプランあり 月額性	TCP UDP ICMP HTTP HTTPS FTP SSH SMTP SNMP DNS
ImmuniWeb		ー	WEBアプリ　サーバAndroid, iOS	なし	ツール	電話・メール	PDF HTML	要相談	HTTP HTTPS
セキュリティ診断サービス（NECソリューションイノベータ株式会社）		＿	Webアプリケーション サーバ、ネットワーク	なし	ツール・手動	メール	PDF HTML	要相談	HTTP HTTPS
セキュリティ診断サービス（株式会社Flatt Security）		クラウド型	WEBアプリ　スマホアプリ　AWS　GCP　Firebase IoT GraphQL	なし	ツール	メール・チャット Slack　 Facebook Messenger	PDF Markdown	要相談	HTTP HTTPS
セキュリティ診断サービス(株式会社NTTビジネスソリューションズ)		ー	Webアプリ	あり		メール	PDF HTML	要相談	HTTP HTTPS
AeyeScan		SaaS型	WebアプリAPI	なし	ツール	メール	PDF　HTML	要相談	HTTP HTTPS
OWASP ZAP		パッケージ型	Webアプリ OS、ミドルウェア	なし	ツール・手動	チャット	HTML	無料・オープンソース ソフトウェア	HTTP HTTPS
ABURIDA		ー	Webアプリケーション	２週間	ツール	メール・チャット	PDF HTML	要相談	HTTP HTTPS
セキュリティ診断サービス（株式会社セキュアスカイ・テクノロジー）		ー	Webサイト	なし	ツール・手動	メール	PDF HTML	300,000円（新規）	HTTP HTTPS
Vex		パッケージ型	Webアプリサーバ	２週間	ツール・手動	メール・チャット	PDF　HTML	要相談	HTTP HTTPS
ReCoVAS		ー	Webアプリサーバ	なし	ツール・手動	メール	PDF HTML	３つのプランあり	HTTP HTTPS
セキュリティ診断サービス（株式会社日立ソリューションズ・クリエイト）		ー	Webアプリルータ　　ファイアウォールなど９万種類以上	なし	ツール・手動	メール	PDF	要相談	HTTP HTTPS
バックドア検証サービス/		ー	IoT	なし	ー	電話・メール	PDF	要相談	HTTP HTTPS
セキュリティ診断サービス（株式会社アルファネット）		ー	Webサイト　サーバ　　　ネットワーク機器	あり	ツール・手動	電話・メール チャット	PDF HTML	1 年間 – $3,729* 2 年間 – $7,271.55* (割引 $186.45) 3 年間 – $10,627.65* (割引 $559.35)	HTTP HTTPS SMTP FTP SSH Telnet SNMP SMB RDP IMAP
Nessus		パッケージ型	Windows、Linux、Macなどのサーバ	あり	ツール	電話・メール・チャット	PDF HTML	$3,729/年額	HTTP HTTPS
Burp suite		パッケージ型	Webサイト　アプリ	あり	ツール・手動	メール・チャット	HTML XML JSON	<１ドメイン１２万円	HTTP HTTPS
WEBセキュリティ診断くん		パッケージ型	Webサイト	なし	ツール・手動	電話・メール	PDF HTML	要相談	HTTP HTTPS
セキュリティ脆弱性診断サービス（株式会社セキュアイノベーション）		クラウド型	Webサイト ルーター、DNS ファイアーウォール	なし	ツール 手動	電話・メール	PDF HTML	要相談	HTTP HTTPS
SCT SECURE クラウドスキャン		クラウド型	Webアプリ	なし	ツール 手動	電話・メール	PDF CSV XML JSON	要相談	HTTP HTTPS
Webアプリケーション診断（GMOサイバーセキュリティbyイエラエ株式会社）		ー	Webアプリ	なし	ツール 手動	電話・メール	PDF	要相談	HTTP HTTPS
脆弱性診断（株式会社レイ・イージス・ジャパン）		ー	Webアプリ スマホアプリ	なし	ツール 手動	メール	PDF HTML	３つのプランあり	HTTP HTTPS
Webアプリケーション診断（三井物産セキュアディレクション株式会社）		ー	Webアプリ	なし	手動がメイン ツール	メール	PDF HTML	要相談	HTTP HTTPS
komabato		クラウド型	Webアプリ ソースコード	２週間	ツール	電話・メール	PDF HTML	49,800円/月額	HTTP　HTTPS
Vuls		パッケージ型	Linuxサーバ コンテナ ネットワーク機器	あり	ツール	チャット	JSON	オープンソースソフトウェア 4,000円 / 台	HTTP　HTTPS FTP　SSH Telnet　SMTP LDAP　RDP Redis　MongoDB ElasticSearch PostgreSQL MySQL　Oracle MSSQL
OpenVAS		パッケージ型	Webアプリ	あり	ツール	チャット	PDF HTML	オープンソース ソフトウェア	HTTP　HTTPS　FTP SSH Telnet SMTP　LDAP NFS　SNMP SMB　　RDP PostgreSQL MySQL   Oracle MSSQL