脆弱性診断の費用を知りたい！相場や選定のポイントを徹底解説

IssueHuntは、バグバウンティプラットフォームや脆弱性報告受付窓口ツールの提供を通じ、お客様の顧客情報や情報資産をサイバー攻撃の脅威から守ります。既存の対策では検知できなかった、未知の脆弱性を炙り出し、お客様の安心安全な情報サービス提供に寄与します。社内にセキュリティの知見がある方がいない場合や、セキュリティチームが多忙の場合は、サポートチームが運用を代行いたします。お客様ごとに専属マネージャーをアサインし、お客様の開発チーム等と密に連携を取りながら、まるでチームの一員かのように運用を支援させて頂きます。

日本RA株式会社のWeb Doctorは、SaaS型の診断用ツールを利用したWebサイトの自動脆弱性診断サービスです。インターネット経由で疑似攻撃を行う形で診断します。Web サーバーへのアプリケーションのインストールや、専用ハードの設置などは一切不要で、簡単なお申し込みだけですぐに始められるのが特長です。診断開始から3～5営業日で診断レポートを提出するので、スピーディに現状を把握することができます。

IssueHuntは、バグバウンティプラットフォームや脆弱性報告受付窓口ツールの提供を通じ、お客様の顧客情報や情報資産をサイバー攻撃の脅威から守ります。既存の対策では検知できなかった、未知の脆弱性を炙り出し、お客様の安心安全な情報サービス提供に寄与します。社内にセキュリティの知見がある方がいない場合や、セキュリティチームが多忙の場合は、サポートチームが運用を代行いたします。お客様ごとに専属マネージャーをアサインし、お客様の開発チーム等と密に連携を取りながら、まるでチームの一員かのように運用を支援させて頂きます。

OWASPのOWASP ZAPは、オープンソースのWebアプリケーション脆弱性診断ツールです。OWASPは「Open Web Application Security Project（国際ウェブセキュリティ標準機構）」の略で、非営利団体としてWeb アプリケーションのセキュリティに関する研究や、ガイドラインの作成などの活動を行っている、セキュリティ業界のデファクトスタンダードとも言える存在です。

株式会社セキュアオンラインのWEBセキュリティ診断くんは、脆弱性を発見して、サイトの安全をサポートする脆弱性診断サービスです。簡単な登録作業で診断を開始できるのが特長で、診断後はサイトに潜むリスクを数値化して表示するので、エンジニアでない方も理解しやすい設計になっています。常に最新の脆弱性に対応し、サイトを診断します。有料プランであれば毎日診断が可能なので、問題発生した場合も迅速な対応が可能になります。

Vuls（バルス）は、GitHubで提供されているオープンソースの脆弱性スキャナです。脆弱性情報の収集、調査を自動化します。GitHubスターを8,000以上獲得するほどに支持されており、IPA（情報処理推進機構）で脆弱性対策を効果的に行うためのツールとして紹介されるなど、信頼性の高さがあります。フューチャー株式会社提供のFutureVulsなど、スキャンだけでなく、影響調査や対策検討などの管理可能でサポートが受けられるプランもあります。

OpenVASは、2006年からドイツのGreenbone Networksに開発支援されている、オープンソースの脆弱性評価スキャナーです。指定したホストの外部・内部からスキャンを実施することで、対象ホストのOSやソフトウェアに既知の脆弱性が含まれているかどうかについて自動でチェックを行い、詳細なレポートを作成します。日々更新が続けられているため、新たに出現する脆弱性に対しても有効なスキャンを行えるのが強みです。

株式会社信興テクノミストのABURIDA（アブリダ）は、ツールで脆弱性の可能性を洗い出し、手作業で精査するハイブリッドな脆弱性診断サービスです。「OWASP Top 10: 2021」やIPA（情報処理推進機構）の「安全なウェブサイトの作り方」･「セキュアプログラミング講座」など業界標準に準拠し診断項目を定めており、高い信頼性があります。また、日々変化する脅威の動向も把握し、最新のセキュリティにも対応しています。

株式会社ユービーセキュアのkomabatoは、開発プロセスにセキュリティテストを組み込むことで、安全で高速な開発プロセスを実現するセキュリティテスティングツールです。開発者にとっての「使いやすさ」を徹底追求し、安全で高速な開発プロセスを実現します。リリース直前でのセキュリティテストは、大幅な手戻りが発生するリスクがあるため、アプリの製造タイミングでもテストを実施する動きがありますが、そのトレンドに対応できるのがこのツールの強みです。

AEGIS-EW（イージスEW）は、エンドユーザが所有するドメインに含まれるサーバ群に対して、脆弱性診断を行うためのプラットフォームです。エンドユーザは悪意ある攻撃が行われる前に、サーバに含まれる脆弱性リスクを知ることができます。それを「専門知識不要で運用できる」高機能Web脆弱性診断ツールです。
現在お使いのドメイン名だけで開示IPアドレス、サブドメイン等の自動検索をして診断実行、調査してくれるため、ドメインに紐づく情報の総合的な脆弱性診断が可能となります。特に調査の重要ポイントである既に管理されていない昔のテストサーバ、忘れ去られた「野良IPアドレス」、「野良ドメイン＆サブドメイン」の検知に大変優れています。診断結果は、グラフや色分けによるグラフィカルな表示で分かりやすく、これにより納品時の資料作成の際にも、大きな説得力をプラスすることが可能です。

日本RA株式会社のWeb Doctorは、SaaS型の診断用ツールを利用したWebサイトの自動脆弱性診断サービスです。インターネット経由で疑似攻撃を行う形で診断します。Web サーバーへのアプリケーションのインストールや、専用ハードの設置などは一切不要で、簡単なお申し込みだけですぐに始められるのが特長です。診断開始から3～5営業日で診断レポートを提出するので、スピーディに現状を把握することができます。

レンジフォース株式会社のReCoVASは、Webサイトに対してリモートでの手軽な診断と、専門スタッフによる手動診断を組み合わせたセキュリティ診断サービスです。遠隔で脆弱性診断を行い、判明した脆弱性や、それに対する適切な対策をまとめたレポートを作成します。レンジフォースでは、セキュリティ人材のトレーニングや、セキュリティに関する研究を行っており、その知見を持った人材が診断を行うので、具体的なフィードバックを提供することが可能です。

株式会社アルファネットのセキュリティ診断サービスは、セキュリティスペシャリストが、実際にハッキングで使われる技術と同じ手法を用いてWebサイトやネットワーク機器へ外部ネットワークから擬似攻撃を行い、ハッキング 耐性を診断、報告書に纏める脆弱性診断サービスです。複数の診断ツールを使用することで検出精度を高めることを基本に、さらに独自開発スクリプトや手動診断を取り入れ、ホームページやサーバ/ネットワーク機器に潜む脆弱性を洗い出します。

株式会社セキュアスカイ・テクノロジーの脆弱性診断サービスは、システムのセキュリティ上の問題点を攻撃者の視点で診断し、潜在的な脆弱性を検出するサービスです。３つのカテゴリがあり、「Webアプリケーション診断」では診断サーバーを介してインターネット経由で脆弱性診断を実施。「プラットホーム診断」では、サーバやネットワーク機器にある既知の脆弱性をツールを用いて検出します。「ペネトレーションテスト」では独自ノウハウをもとに侵入テストを行います。

株式会社レイ・イージス・ジャパンの脆弱性診断は、ページ数が多くても網羅的なセキュリティ診断を早く・定額制で・全面委託ができる脆弱性診断サービスです。AIを利用したサイバー攻撃が高度化する中、レイ・イージスが独自に開発したAIエンジン搭載の脆弱性探査ツールを活用して、 効率的なツール診断とベテランのホワイトハッカーである診断エンジニアによる手動診断を組み合わせることで 、脆弱性を高速かつ網羅的に診断します。

株式会社トインクスのセキュリティ診断サービスは、脆弱性の有無を診断した上で、対策を提案するサービスで、官公庁や金融業界、インフラ業界などから幅広く支持されています。有資格者を含むチームがホワイトハッカーとしてテスト攻撃を行うことで、実際に攻撃を受ける前に脆弱性を見つけることができます。問題が見つかった際には推奨する対策を受けることができるため、自社の環境に適したセキュリティに見直すことが可能となっています。

デジタル・インフォメーション・テクノロジー株式会社の脆弱性診断ツールDIT Securityは、セキュリティ対策が重要ともいえる銀行で国内80%のシェアを誇り、検知、診断、防止といった幅広い方向からのセキュリティー対策を可能にしています。目的に合った機能をカスタマイズして利用することも可能で、導入までのオンライン相談や打ち合わせはもちろん、電話相談やチャットなど、導入後のアフターケアも充実しています。

株式会社サイバージムジャパンのセキュリティ検査サービスImmuniWebは、世界でトップクラスの実績数と高い評価を得ており、現在、日本国内で独占販売権を有しながらサービスを提供しています。ImmuniWebは、国内だけでなく、世界中の様々なセキュリティガイドラインとあらゆる最新攻撃手法に対応しており、その実績数はWebアプリケーションで4,000万件、モバイルアプリで52万件の実績を誇っています。

NECソリューションイノベータ株式会社のセキュリティ診断サービスは、幅広い業種または規模の異なるシステムの開発により、蓄積された多様なノウハウがお客様のニーズに合わせていくことができる体制が整っています。診断後には、検出された脆弱性を分析しながら、具体的な対策・方針を提案のみにとどまらず、さらに改善策の導入・実施までといったNECグループ内でのトータルサービスを受けることが可能なため、他社よりもサービス幅の広さが期待できます。

株式会社Flatt Securityのセキュリティ診断サービスは、脆弱性に対する知見と実績の蓄積あってこその技術力から、ツールと主導を組み合わせた柔軟な診断を行っています。サービスは、様々な技術面の制約と予算などに合わせて、オーダーメイドのセキュリティ診断プランを提供しています。早期の段階から、slackでセキュリティエンジニアを含む柔軟なコミュニケーションを取りながら、スピード感のある進行が期待できます。

株式会社NTTビジネスソリューションズのセキュリティ診断サービスは、ＮＴＴ西日本グループの大規模なWebシステムのセキュリティーに携わるエキスパートにより実施されています。その実績は10年以上あり、現在も年間100システム以上、インターネットに公開されているホームページについてセキュリティ診断（脆弱性診断）を行っています。診断はお客様のニーズに合わせてリーズナブルな診断から高度な診断まで柔軟に対応しています。

株式会社エーアイセキュリティラボのセキュリティ診断サービスAeyeScanは、国内市場シェアNO.1の実績を誇っています。その理由として、セキュリティ担当者でなくても、社内の誰でも扱いやすい操作性と診断作業負担を解消してくれるAIによる自動診断や自動巡回機能が備わっているためです。また、高コストかつ短期間での診断が可能となり、スムーズにセキュリティの内製化につなげることができるのも魅力の一つです。

株式会社ユービーセキュアのVexは、優れた脆弱性検出率を持つ、純国産のWebアプリケーション脆弱性検査ツールです。 国産のため、導入から運用までのサポートが整っているのが魅力です。事前の知識や経験がなくても安心してスタートできる支援サービスもあります。また、2007年のリリース以来、多くの企業に利用されており、診断チームや各セキュリティベンダーが数千サイトに及ぶ診断実績をフィードバックすることで、常に進化を続けています。

株式会社日立ソリューションズ・クリエイトのセキュリティ診断サービスは、ホワイトハッカーによる診断サービスです。ホワイトハッカーによるツールの実行結果の検証や、手動診断を組み合わせることで、詳細なセキュリティ診断が可能です。「ネットワーク型診断サービス」と「Webアプリケーション診断サービス」から成り、多種多様なOS/アプリケーションに対応したサービスを提供します。潜在的な脆弱性を発見し、セキュリティ対策を実施するために有効です。

富士ソフト株式会社のバックドア検証サービスは、セキュリティ上の大きな脅威となりうるバックドアに被害を未然に防ぐための、IoT機器向けの検証サービスです。使用している製品や機器に対して、ホワイトハッカーがあらゆる可能性から侵入を試みることで、バックドアの有無を調査します。検証により発覚したバックドアに関しては、詳細な再現手段を共有されるので、より確実にセキュリティ対策を行う上で非常に有効なサービスです。

株式会社セキュアイノベーションのセキュリティ脆弱性診断サービスは、Webアプリケーション診断とプラットフォーム診断から成るセキュリティ診断サービスです。ツール診断と手動診断を行い、OWASPといった代表的なセキュリティ団体が掲げる脆弱性項目もカバーしています。また、診断レポートでは、脆弱性の有無やレベルだけではなく、具体的な対処方法までも含め、実際に技術者の方が改善対応に繋げやすい内容を報告します。

三和コムテック株式会社のSCT SECURE クラウドスキャンは、世界中で200万IP以上の診断に利用されている、実績のあるエンジンを使用したクラウド型セキュリティサービスです。定期的な診断が可能で、継続的なセキュリティケアができることが特長です。脆弱性が無いと診断されたサイトに安全証明マークを配信し、そのマークには最終診断日付が表示されるので、最新の診断を受けていることを外部にアピールできます。

GMOサイバーセキュリティ byイエラエ株式会社のWebアプリケーション診断は、高精度の診断技術を有するハッカーがWebアプリケーションに内在する脆弱性を検出します。クロスサイトスクリプティングやSQLインジェクション、なりすましなどの脆弱性を検出し、セキュリティリスクの排除に寄与します。診断方法の調整や診断対象の洗い出し支援など、総合的なサポートが可能です。詳細でわかりやすい報告書で状況の把握が容易になります。

三井物産セキュアディレクション株式会社のWebアプリケーション診断は、セキュリティエンジニアが手動診断と独自ツールを組み合わせて診断・分析を行い、脆弱性を検証するサービスです。Webアプリシステムに対して、疑似攻撃を行い、存在する情報漏えいや改ざんといったリスクを調査します。2001年から他社に先駆けてサービスをスタートして、2017年4月～2020年3月の実績では2,000サイト以上の診断を超えており、その経験と実績が強みです。

NRIセキュアテクノロジーズのNRIセキュアはWebアプリケーションに潜在するセキュリティ上の問題点を発見し、適切な対策の実施を支援します。Webアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮しさまざまな項目について診断を行い、お客様のビジネスの安全性を脅かす要因への対策が適切に行われているかを診断します。ブラウザを利用するWebアプリケーションだけでなくSOAPを利用したWebサービスへの診断も可能です。