Menu
Close

SQLインジェクションとは?被害例や対策をわかりやすく解説

「仮想デスクトップ」の製品比較表

※税込と表記されている場合を除き、全て税抜価格を記載しています

  • 製品名
  • 料金プラン
  • プラン名金額
  • 無料トライアル
  • 最低利用期間
  • 基本的な機能
    • ストリーミングプロトコル
    • パフォーマンスアナリティクス
    • セキュリティアナリティクス
    • プロビジョニングの自動化
    • オフライン利用可
    • 管理画面からPCの利用停止可
    • 外部デバイス対応
    • PC以外の端末対応
    • 国内メーカー
    • 永続的SSD
    • ファイルバックアップ
    • フルバックアップ
  • サービス資料
  • 無料ダウンロード
  • ソフト種別
  • サポート
初期費用 要相談
要相談 要相談
制限なし
なし 
電話 / メール / チャット /
要お問い合わせ 要お問い合わせ
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
料金 要相談
1年間
クラウド型ソフト オンプレミス型ソフト 
電話 / メール / チャット /
初期費用 要相談
要相談 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
Citrix DaaS Standard $10/月額/1ユーザ
Citrix DaaS Advanced Plus $13/月額/1ユーザ
Citrix DaaS Premium $20/月額/1ユーザ
Citrix DaaS Premium Plus $23/月額/1ユーザ
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
要相談 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /

価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!

目次

SQLインジェクションという言葉を聞いたことがあっても、正直よくわからず、不安を抱えている人は少なくないでしょう。

そこで本記事では、SQLインジェクションの仕組みや被害事例を紹介するとともに、効果的な対策方法についても詳しく解説します。
企業を守る脆弱性診断ツールについて詳しくはこちら

「脆弱性診断ツール/サービス」の製品比較表

※税込と表記されている場合を除き、全て税抜価格を記載しています

  • 製品名
  • 料金プラン
  • プラン名金額
  • 無料トライアル
  • 最低利用期間
  • 基本的な機能
    • デスクトップアプリ診断
    • オートコンプリート機能有効化
    • HttpOnly属性が付与されていないCookieの利用
    • ドメイン設定
    • X-Frame-Optionsヘッダの未設定
    • サーバ設定
    • X-Content-Type-Optionsヘッダの未設定
    • URL設定
    • アプリケーションエラーの開示
    • ヘッダインジェクション
    • Webアプリケーション診断
    • オープンリダイレクタ
    • SQLインジェクション
    • クロスサイトスクリプティング
    • グラスボックス診断
    • クラウド診断
    • プラットフォーム診断
    • スマホアプリ(iOS・Android)診断
    • SSL設定
  • サービス資料
  • 無料ダウンロード
  • ソフト種別
  • サポート
簡易プラン 30万円(税別)
備考
機密情報や個人情報を扱わないサイトの診断をご希望のお客様
標準プラン 98万円(税別)
備考
ログイン認証や個人情報を扱うサイトの診断をご希望のお客様
モバイルアプリ診断 72万円(税別)~
備考
パッケージあたり72万円~
(15画面以下の小規模システムについては別途お問い合わせください)
3か月以内の再診断付き
制限なし
脆弱性診断(株式会社レイ・イージス・ジャパン)の資料サムネイル
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 300,000円
備考
1ライセンス1FQDNの診断の料金です。ページ数制限はありません。
制限なし
Web Doctorの資料サムネイル
クラウド型ソフト 
電話 / メール / チャット /
初期費用 無償
月額利用料 50,000円
1年間
クラウド型ソフト 
電話 / メール / チャット /
初期費用 10万円
利用料金 45,000円/月額
備考
※3カ月のアウトバウンドデータ量が0.5TBまで
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 無料
月額費用 無料~
手数料 ホワイトハッカーへの報奨金の20%
備考
成果報酬型でご提供しております。
制限なし
IssueHunt バグバウンティの資料サムネイル
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
備考
予算に応じてLight・Standard・Advancedの3つのコースがあります。
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
One Shotプラン お見積り
備考
まずは1サイト診断したい方
Businessプラン お見積り
備考
診断を内製化したい方
15日
クラウド型ソフト 
電話 / メール / チャット /
プロフェッショナル 85,000円
備考
ドメイン数:1~9個
プロフェッショナル 118,400円
備考
ドメイン数:100~199個
プロフェッショナル 160,000円
備考
ドメイン数:1000~2000個
エキスパート 85,000円
備考
ドメイン数:1~9個
エキスパート 118,400円
備考
ドメイン数:100~199個
エキスパート 160,000円
備考
ドメイン数:1000~2000個
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
利用料金 0円
備考
オープンソースのソフトウェアです。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
お試しプラン 90,000円(税込)
備考
1社1回限りです。3リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
スタンダードプラン 440,000円(税込)
備考
10リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
ボリュームプラン 1,408,000円(税込)
備考
50リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
エクスプレス診断 400,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 1,280,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
プラットフォーム診断 250,000円
備考
プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
エクスプレス診断 +プラットフォーム診断 550,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 +プラットフォーム診断 1,430,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
ペネトレーションテスト 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
デベロッパーライセンス 要相談
備考
自社で開発もしくは運営するWebアプリケーションの診断に利用する場合のライセンスです。各販売代理店から購入できます。
オーディターライセンス 要相談
備考
Vexを利用した脆弱性検査サービスを提供する場合には、こちらの契約が必要です。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
新規 300,000円
備考
期間限定で99,000円~にて提供の場合もあります。診断方法は遠隔で、診断対象は25ページまでです。
フォローアップ診断 80,000円
備考
再診断メニューです。本診断のレポート提出後、20日以内までの依頼を対象とします。診断方法は遠隔で、診断対象は該当箇所だけです。
個別対応(ReCoVASプロ) 500,000円~
備考
内容は要相談です。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Webアプリケーション診断(手動) 240,000円~
備考
1リクエストで、報告書を含みます。
スマホWebAPI診断 250,000円~
備考
1リクエスト当たりの料金で、(報告書を含みます。Androidのみの対応となります。
おまかせプラン 要相談
備考
予算等に合わせて対象数を決定いただき、その数を上限にエンジニアが診断対象を選定し、診断を行うサービスです。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
nessus essentials $0
備考
教育関係者や、サイバーセキュリティのキャリアを始めようとしている学生、個人に理想的なサービスです。 IP アドレスを 16 個までスキャン可能です。
nessus professional $3,729/年額
備考
コンサルタント、ペンテスター、セキュリティ担当者向けのサービスです。サブスクリプションでスキャナー単位のライセンスです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン1 $6,995/年額
備考
Burp Suite Enterprise EditionのStarterプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。5の同時スキャンができます。
プラン2 $ 14,480/年額
備考
Burp Suite Enterprise EditionのGrowプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。20の同時スキャンができます。
プラン3 $ 29,450~/年額
備考
Burp Suite Enterprise EditionのAccelerateプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。50以上の同時スキャンができます。
プラン4 $ 399/年額
備考
Burp Suite Professionalです。主要なWebセキュリティおよび侵入テストツールキットです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
無料診断 0円
備考
診断回数1回、リスク件数のみ表示です。
ライトプラン 10,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
スタンダードプラン 17,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,000ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
ビジネスプラン 24,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
エンタープライズプラン 要相談
備考
診断ページ数 は1,501ページ以上です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
最低利用期間は1年間(有料版)
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
要相談 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
要相談 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
ベーシックプラン 49,800円/月額
備考
1アプリケーションあたりの料金。手軽に続けられる高コストパフォーマンスプランです。
1年
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Vuls OSS 0円
備考
脆弱性をスキャンします。
FutureVuls standard 4,000円/月額
備考
脆弱性を管理します。1台の料金です。
複数システムの脆弱性を横断管理 要相談
備考
複数システムの脆弱性を横断管理します。最小100台からのプランです。
1ヵ月
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 0円
備考
オープンソースのソフトウェアです。Greenboneのクラウドサービスなどの料金はお問い合わせください。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問合わせの後個別見積
制限なし
なし 
電話 / メール / チャット /

価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!

SQLインジェクションとは

SQLインジェクションとは、Webアプリケーションのセキュリティ上の弱点を突く攻撃手法の一種です。攻撃者は、アプリケーションに意図的に不正なSQL文の断片を注入し、実行させることでデータベースに不正にアクセスします。その結果、データベース内のデータが不正に読み取られたり、改ざんされたり、最悪の場合は削除されたりする可能性があります。

SQL(Structured Query Language)は、データベースを操作するための国際標準化された言語で、多くのWebアプリケーションで広く使用されています。通常、ユーザーがWebアプリケーションに入力した情報に基づいてSQL文(クエリとも呼ばれる)が生成され、データベースで処理された結果がユーザーに返されます。

しかし、SQLインジェクションが行われた場合、攻撃者はWebアプリケーションのセキュリティホールを悪用し、不正な入力を行います。この不正入力によって、本来意図されていない誤ったSQL文が生成され、データベースに送信されてしまうのです。その結果、攻撃者はデータベースを不正に操作し、データベース内に格納された機密情報を読み取ったり、データを改ざんしたりすることが可能になります。

SQLインジェクションの仕組み

SQLインジェクションは、攻撃者がSQLサーバー(データベースサーバー)を操作するための不正な命令文を作成することで発生します。ECサイトやポータルサイトなどでは、ユーザーIDやパスワードの入力を通じてSQLサーバーが利用されているため、これらのWebサイトがSQLインジェクションの主な標的となるのです。

通常、WebサイトではユーザーIDやパスワードの入力時に不正な文字列のチェックが行われますが、入力エリアに脆弱性がある場合、攻撃者はSQL文を含む不正な文字列を入力することができます。その結果、本来意図されていない不適切なSQLが実行され、データベースの操作が可能になってしまうのです。

SQLインジェクションの被害

SQLインジェクション攻撃を受けるといくつかの被害を受けてしまいます。

本章では「情報の漏えい」「Webサイトの改ざん」「データベースの破壊」の3つに分けて解説します。

  • 情報が漏えいする
  • Webサイトが改ざんされる
  • データベースが破壊される

情報が漏えいする

情報漏えいは、SQLインジェクション攻撃の中でもとくに深刻な被害の一つです。企業が大切にしている機密情報や、お客様の個人情報が盗み出されてしまうと、信用失墜につながるだけでなく、法的な責任を問われることもあります。とくに、クレジットカード情報が保存されている場合、カード番号や名義人の情報が漏れると、不正利用による二次被害が発生する恐れがあるのです。

Webサイトが改ざんされる

最近では、SQLインジェクション攻撃により、企業や政治団体のWebサイトが改ざんされるケースが増えています。攻撃者によって、Webサイトの内容が書き換えられたり、削除されたりする被害が目立ちます。さらに悪質なのは、Webサイトにコンピュータウイルスを仕込み、閲覧者がそのウイルスに感染してしまうという手口です。この手の被害も増加傾向にあるのです。

データベースが破壊される

データベースの破壊は、SQLインジェクション攻撃によって引き起こされる最も深刻な被害の一つです。攻撃者は、脆弱性のあるWebサイトを通じて不正なSQL文を注入し、データベースに直接アクセスします。そして、データベース内のテーブルやレコードを削除したり、改ざんしたりすることで、データの完全性や可用性を損なうのです。

データベースが破壊されると、企業は業務に必要な情報を失ってしまいます。顧客情報や取引記録、在庫管理データなど、ビジネスを運営する上で欠かせないデータが消失すれば、業務が停滞し、収益に大きな影響が出ることでしょう。さらに、バックアップが適切に取られていない場合、データの復旧に多大な時間と費用がかかってしまいます。

また、データベースの破壊は、企業の信頼性を大きく損ねる可能性があります。顧客情報が失われたり、サービスが停止したりすれば、顧客からの信頼を失い、ビジネスチャンスを逃してしまうかもしれません。

SQLインジェクションの被害事例3選

本章では、SQLインジェクションの実際に発生した被害事例を紹介します。「情報漏えい」「Webサイト改ざん」「データベース破壊」に分けて見ていきましょう。

  • 情報漏えい
  • Webサイト改ざん
  • データベース破壊

情報漏えい

2017年、米国の大手クレジット報告会社Equifaxが、大規模なデータ漏えい事件を発表しました。この事件では、SQLインジェクションの脆弱性が悪用され、1億4300万人以上の顧客情報が流出しました。流出した情報には、氏名、社会保障番号、生年月日、住所、運転免許証番号などの個人情報が含まれていました。

2016年、米国の大手ホテルチェーンMarriott Internationalが、サイバー攻撃を受けました。この攻撃では、SQLインジェクションによって顧客データベースにアクセスされ、5億人以上の顧客情報が流出しました。流出した情報には、パスポート番号やクレジットカード情報なども含まれていました。

Webサイト改ざん

2010年、米国の複数の政府機関のWebサイトがSQLインジェクション攻撃を受け、改ざんされました。米国郵政公社(USPS)、連邦取引委員会(FTC)、サイバーセキュリティ・通信統合センター(NCC)などのサイトが影響を受けたそうです。攻撃者は、これらのサイトのデータベースにアクセスし、Webページのコンテンツを書き換えました。

2011年、インドの国家情報センター(NIC)のWebサイトがSQLインジェクション攻撃を受け、改ざんされました。攻撃者は、「パキスタン・サイバー軍(Pakistan Cyber Army)」を名乗り、インドの国旗を燃やす画像をサイトに掲載したのです。

データベース破壊

2016年、ロシアの最大手銀行の一つであるSberbankが、SQLインジェクション攻撃を受けました。攻撃者は、銀行のデータベースにアクセスし、顧客情報を含む大量のデータを削除したのです。この事件により、銀行のサービスが一時的に停止し、顧客に大きな影響が出ました。

2012年、サウジアラビアの石油会社Saudi Aramcoが、サイバー攻撃を受けました。この攻撃では、SQLインジェクションによってデータベースが破壊され、3万台以上のコンピュータがウイルスに感染しました。同社は、世界最大の石油会社の一つであり、この事件は石油産業に大きな衝撃を与えた事例です。

SQLインジェクションの対策とは

SQLインジェクションを防ぐためには、対策を講じる必要があります。

本章では、有効な対策として「エスケープ処理する」「アプリのアップデート」「データベースの監視と分析」「WAFの導入」の4つを紹介します。参考にしてください。

  1. エスケープ処理する
  2. アプリをこまめにアップデートする
  3. データベースログの監視と解析
  4. WAFを導入する

エスケープ処理する

エスケープ処理は、SQLインジェクション対策として非常に有効な方法の一つといえるでしょう。プログラミングの世界では、特別な意味を持つ文字や記号があります。例えば、セミコロン(;)やシングルクォート(’)などがその代表例ですね。エスケープ処理では、これらの特殊文字を別の文字列に置き換えることで、通常の文字として扱うようにします。

つまり、もし攻撃者が悪意を持って不正なSQLを送り込んできたとしても、エスケープ処理によってその脅威を無力化できるのです。特殊文字が本来の意味を失い、単なる文字列の一部として認識されるため、SQLインジェクション攻撃は効果を発揮できなくなります。

このように、エスケープ処理は比較的シンプルな仕組みながら、SQLインジェクション対策に大きな効果を発揮する手法だといえます。プログラマーにとって、エスケープ処理を適切に行うことは、セキュアなWebアプリケーションを開発する上で欠かせないスキルの一つといえるでしょう。特殊文字の取り扱いに十分な注意を払い、ルールに沿ったエスケープ処理を行うことが重要です。

アプリをこまめにアップデートする

SQLインジェクションのリスクを最小限に抑えるには、OSやアプリケーションを最新の状態に保つことが不可欠だといえます。一般的に、バージョンアップには脆弱性を修正した内容が含まれていることが多いのです。つまり、常に最新版を使用することで、攻撃者に付け入る隙を与えにくくなるでしょう。

もし自社のOSやアプリケーションに新たな脆弱性が見つかったら、速やかに対応することが求められます。バージョンアップや修正パッチの適用、場合によってはアプリケーションの改修など、適切な対策を迅速に実施することが重要です。脆弱性を放置することは、SQLインジェクション攻撃の格好のターゲットになってしまいますから、注意が必要ですね。

こうした地道な努力の積み重ねが、SQLインジェクションのリスクを抑える上で欠かせません。最新のセキュリティ情報を常にキャッチアップし、適切な対策を講じることで、安全なWebアプリケーションを維持していくことができるのです。

データベースログの監視と解析

データベースサーバーのログを注意深く監視し、分析することは、SQLインジェクション攻撃の被害を把握する上で非常に重要な作業といえるでしょう。ログを詳しく調べることで、どのようなデータが改ざんされたのか、また、どの範囲のデータが抜き取られてしまったのかを知ることができます。

具体的には、まず不正なSQL文が送信されていないかをチェックします。通常使われることのないような不自然なSQL文が記録されていれば、それは攻撃者による悪意あるクエリかもしれません。また、データベースサーバーのユーザーが、通常のSQL文の送信以外の操作を行っていないかも確認しましょう。

ただし、ログの監視と分析は、専門的な知識と経験を必要とする作業です。セキュリティの専門家と連携し、効果的なログ管理体制を整えることが重要でしょう。また、ログの保管期間や分析の頻度についても、組織のセキュリティポリシーに基づいて適切に設定する必要があります。

WAFを導入する

SQLインジェクション対策として、WAF(Web Application Firewall)の導入は非常に効果的な選択肢の一つといえます。WAFは、Webアプリケーションの脆弱性を狙ったサイバー攻撃から、Webサイトを守るためのセキュリティツールです。

WAFは、アプリケーションへの通信内容を一つひとつ細かくチェックし、不正な通信を見つけ出して遮断する働きを持っています。例えば、もし通信の中にSQLインジェクション攻撃に使われるような不正なSQL文が含まれていれば、WAFがそれを検知して通信を遮断し、Webアプリケーションを守ってくれるのです。

WAFは、Webアプリケーションとインターネットの間に設置され、通信内容をリアルタイムで監視します。不正な通信を発見した場合は、即座にそれをブロックし、Webアプリケーションへの影響を最小限に抑えてくれるのが特徴です。また、多くのWAFには、攻撃の傾向や手口を学習する機能も備わっており、新たな脅威にも柔軟に対応できるようになっています。

ただし、WAFの導入には一定のコストがかかることや、設定の複雑さなどの課題も。組織のセキュリティ要件やリソースに合わせて、適切なWAFを選択し、効果的に運用していくことが重要でしょう。

SQLインジェクションの対策をしよう

SQLインジェクションが、Webアプリケーションの脆弱性を突く非常に危険な攻撃手法であることを解説しました。

適切な対策を講じることが重要ですが、一方で過剰な対策は開発効率を下げてしまいます。自社のWebサイトのセキュリティ要件とリソースを考慮しつつ、効果的かつ効率的な対策を選択し、継続的に運用していくことが求められます。

SQLインジェクションの脅威を正しく理解し、適切な対策を実施することで、安全なWebアプリケーションを維持していきましょう。

「脆弱性診断ツール/サービス」の製品比較表

※税込と表記されている場合を除き、全て税抜価格を記載しています

  • 製品名
  • 料金プラン
  • プラン名金額
  • 無料トライアル
  • 最低利用期間
  • 基本的な機能
    • デスクトップアプリ診断
    • オートコンプリート機能有効化
    • HttpOnly属性が付与されていないCookieの利用
    • ドメイン設定
    • X-Frame-Optionsヘッダの未設定
    • サーバ設定
    • X-Content-Type-Optionsヘッダの未設定
    • URL設定
    • アプリケーションエラーの開示
    • ヘッダインジェクション
    • Webアプリケーション診断
    • オープンリダイレクタ
    • SQLインジェクション
    • クロスサイトスクリプティング
    • グラスボックス診断
    • クラウド診断
    • プラットフォーム診断
    • スマホアプリ(iOS・Android)診断
    • SSL設定
  • サービス資料
  • 無料ダウンロード
  • ソフト種別
  • サポート
簡易プラン 30万円(税別)
備考
機密情報や個人情報を扱わないサイトの診断をご希望のお客様
標準プラン 98万円(税別)
備考
ログイン認証や個人情報を扱うサイトの診断をご希望のお客様
モバイルアプリ診断 72万円(税別)~
備考
パッケージあたり72万円~
(15画面以下の小規模システムについては別途お問い合わせください)
3か月以内の再診断付き
制限なし
脆弱性診断(株式会社レイ・イージス・ジャパン)の資料サムネイル
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 300,000円
備考
1ライセンス1FQDNの診断の料金です。ページ数制限はありません。
制限なし
Web Doctorの資料サムネイル
クラウド型ソフト 
電話 / メール / チャット /
初期費用 無償
月額利用料 50,000円
1年間
クラウド型ソフト 
電話 / メール / チャット /
初期費用 10万円
利用料金 45,000円/月額
備考
※3カ月のアウトバウンドデータ量が0.5TBまで
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 無料
月額費用 無料~
手数料 ホワイトハッカーへの報奨金の20%
備考
成果報酬型でご提供しております。
制限なし
IssueHunt バグバウンティの資料サムネイル
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
備考
予算に応じてLight・Standard・Advancedの3つのコースがあります。
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
One Shotプラン お見積り
備考
まずは1サイト診断したい方
Businessプラン お見積り
備考
診断を内製化したい方
15日
クラウド型ソフト 
電話 / メール / チャット /
プロフェッショナル 85,000円
備考
ドメイン数:1~9個
プロフェッショナル 118,400円
備考
ドメイン数:100~199個
プロフェッショナル 160,000円
備考
ドメイン数:1000~2000個
エキスパート 85,000円
備考
ドメイン数:1~9個
エキスパート 118,400円
備考
ドメイン数:100~199個
エキスパート 160,000円
備考
ドメイン数:1000~2000個
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
利用料金 0円
備考
オープンソースのソフトウェアです。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
お試しプラン 90,000円(税込)
備考
1社1回限りです。3リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
スタンダードプラン 440,000円(税込)
備考
10リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
ボリュームプラン 1,408,000円(税込)
備考
50リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
エクスプレス診断 400,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 1,280,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
プラットフォーム診断 250,000円
備考
プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
エクスプレス診断 +プラットフォーム診断 550,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 +プラットフォーム診断 1,430,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
ペネトレーションテスト 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
デベロッパーライセンス 要相談
備考
自社で開発もしくは運営するWebアプリケーションの診断に利用する場合のライセンスです。各販売代理店から購入できます。
オーディターライセンス 要相談
備考
Vexを利用した脆弱性検査サービスを提供する場合には、こちらの契約が必要です。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
新規 300,000円
備考
期間限定で99,000円~にて提供の場合もあります。診断方法は遠隔で、診断対象は25ページまでです。
フォローアップ診断 80,000円
備考
再診断メニューです。本診断のレポート提出後、20日以内までの依頼を対象とします。診断方法は遠隔で、診断対象は該当箇所だけです。
個別対応(ReCoVASプロ) 500,000円~
備考
内容は要相談です。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Webアプリケーション診断(手動) 240,000円~
備考
1リクエストで、報告書を含みます。
スマホWebAPI診断 250,000円~
備考
1リクエスト当たりの料金で、(報告書を含みます。Androidのみの対応となります。
おまかせプラン 要相談
備考
予算等に合わせて対象数を決定いただき、その数を上限にエンジニアが診断対象を選定し、診断を行うサービスです。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
nessus essentials $0
備考
教育関係者や、サイバーセキュリティのキャリアを始めようとしている学生、個人に理想的なサービスです。 IP アドレスを 16 個までスキャン可能です。
nessus professional $3,729/年額
備考
コンサルタント、ペンテスター、セキュリティ担当者向けのサービスです。サブスクリプションでスキャナー単位のライセンスです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン1 $6,995/年額
備考
Burp Suite Enterprise EditionのStarterプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。5の同時スキャンができます。
プラン2 $ 14,480/年額
備考
Burp Suite Enterprise EditionのGrowプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。20の同時スキャンができます。
プラン3 $ 29,450~/年額
備考
Burp Suite Enterprise EditionのAccelerateプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。50以上の同時スキャンができます。
プラン4 $ 399/年額
備考
Burp Suite Professionalです。主要なWebセキュリティおよび侵入テストツールキットです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
無料診断 0円
備考
診断回数1回、リスク件数のみ表示です。
ライトプラン 10,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
スタンダードプラン 17,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,000ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
ビジネスプラン 24,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
エンタープライズプラン 要相談
備考
診断ページ数 は1,501ページ以上です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
最低利用期間は1年間(有料版)
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
要相談 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
要相談 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
ベーシックプラン 49,800円/月額
備考
1アプリケーションあたりの料金。手軽に続けられる高コストパフォーマンスプランです。
1年
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Vuls OSS 0円
備考
脆弱性をスキャンします。
FutureVuls standard 4,000円/月額
備考
脆弱性を管理します。1台の料金です。
複数システムの脆弱性を横断管理 要相談
備考
複数システムの脆弱性を横断管理します。最小100台からのプランです。
1ヵ月
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 0円
備考
オープンソースのソフトウェアです。Greenboneのクラウドサービスなどの料金はお問い合わせください。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問合わせの後個別見積
制限なし
なし 
電話 / メール / チャット /

価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!

よくある質問

Q1: SQLインジェクションとは何ですか?

A1: SQLインジェクションは、Webアプリケーションの脆弱性を突き、不正なSQL文を注入してデータベースを操作する攻撃手法です。

Q2: SQLインジェクションの主な被害は?

A2: 情報漏えい、Webサイト改ざん、データベース破壊などが主な被害です。個人情報や機密データが盗まれるリスクがあります。

Q3: SQLインジェクション対策にはどのような方法がありますか?

A3: エスケープ処理の実施、アプリケーションの定期アップデート、データベースログの監視、WAFの導入などが有効です。

Q4: SQLインジェクション対策にWAFを導入するメリットは?

A4: WAFは、不正なSQL文を含む通信をリアルタイムで検知・遮断し、Webアプリケーションを守ります。設定次第で新しい脅威にも対応可能です。

Q5: SQLインジェクションのリスクを減らすには何が重要ですか?

A5: 定期的な脆弱性診断と対策の実施、セキュリティ意識の向上が重要です。また、最新の攻撃手法に対応できる体制を整えることも大切です。

目次

おすすめ比較一覧から、
最適な製品をみつける

カテゴリーから、IT製品の比較検索ができます。
1908件の製品から、ソフトウェア・ビジネスツール・クラウドサービス・SaaSなどをご紹介します。

すべてみる