「脆弱性診断ツール」の製品比較表
※税込と表記されている場合を除き、全て税抜価格を記載しています
-
- 製品名
- 料金プラン
- プラン名金額
- 無料トライアル
- 最低利用期間
- 基本的な機能
-
- オープンリダイレクタ
- SSL設定
- クロスサイトスクリプティング
- グラスボックス診断
- クラウド診断
- プラットフォーム診断
- スマホアプリ(iOS・Android)診断
- Webアプリケーション診断
- デスクトップアプリ診断
- HttpOnly属性が付与されていないCookieの利用
- ヘッダインジェクション
- ドメイン設定
- X-Frame-Optionsヘッダの未設定
- サーバ設定
- X-Content-Type-Optionsヘッダの未設定
- URL設定
- アプリケーションエラーの開示
- オートコンプリート機能有効化
- SQLインジェクション
- サービス資料
- 無料ダウンロード
- ソフト種別
- 推奨環境
- サポート
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談 備考
- 予算に応じてLight・Standard・Advancedの3つのコースがあります。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- なし
- PCブラウザ Windowsアプリ Macアプリ iOSアプリ Androidアプリ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 30日
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- プロフェッショナル 85,000円 備考
- ドメイン数:1~9個
- プロフェッショナル 118,400円 備考
- ドメイン数:100~199個
- プロフェッショナル 160,000円 備考
- ドメイン数:1000~2000個
- エキスパート 85,000円 備考
- ドメイン数:1~9個
- エキスパート 118,400円 備考
- ドメイン数:100~199個
- エキスパート 160,000円 備考
- ドメイン数:1000~2000個
- 制限なし
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 利用料金 0円 備考
- オープンソースのソフトウェアです。
- 制限なし
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- お試しプラン 90,000円(税込) 備考
- 1社1回限りです。3リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
- スタンダードプラン 440,000円(税込) 備考
- 10リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
- ボリュームプラン 1,408,000円(税込) 備考
- 50リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- エクスプレス診断 400,000円 備考
- Webアプリケーション診断は、10リクエストまたは6APIまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
- エキスパート診断 1,280,000円 備考
- Webアプリケーション診断は、50リクエストまたは25APIまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
- プラットフォーム診断 250,000円 備考
- プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
- エクスプレス診断 +プラットフォーム診断 550,000円 備考
- Webアプリケーション診断は、10リクエストまたは6APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
- エキスパート診断 +プラットフォーム診断 1,430,000円 備考
- Webアプリケーション診断は、50リクエストまたは25APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
- ペネトレーションテスト 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- デベロッパーライセンス 要相談 備考
- 自社で開発もしくは運営するWebアプリケーションの診断に利用する場合のライセンスです。各販売代理店から購入できます。
- オーディターライセンス 要相談 備考
- Vexを利用した脆弱性検査サービスを提供する場合には、こちらの契約が必要です。
- 制限なし
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 新規 300,000円 備考
- 期間限定で99,000円~にて提供の場合もあります。診断方法は遠隔で、診断対象は25ページまでです。
- フォローアップ診断 80,000円 備考
- 再診断メニューです。本診断のレポート提出後、20日以内までの依頼を対象とします。診断方法は遠隔で、診断対象は該当箇所だけです。
- 個別対応(ReCoVASプロ) 500,000円~ 備考
- 内容は要相談です。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- Webアプリケーション診断(手動) 240,000円~ 備考
- 1リクエストで、報告書を含みます。
- スマホWebAPI診断 250,000円~ 備考
- 1リクエスト当たりの料金で、(報告書を含みます。Androidのみの対応となります。
- おまかせプラン 要相談 備考
- 予算等に合わせて対象数を決定いただき、その数を上限にエンジニアが診断対象を選定し、診断を行うサービスです。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- nessus essentials $0 備考
- 教育関係者や、サイバーセキュリティのキャリアを始めようとしている学生、個人に理想的なサービスです。 IP アドレスを 16 個までスキャン可能です。
- nessus professional $3,729/年額 備考
- コンサルタント、ペンテスター、セキュリティ担当者向けのサービスです。サブスクリプションでスキャナー単位のライセンスです。
- 1年
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン1 $6,995/年額 備考
- Burp Suite Enterprise EditionのStarterプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。5の同時スキャンができます。
- プラン2 $ 14,480/年額 備考
- Burp Suite Enterprise EditionのGrowプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。20の同時スキャンができます。
- プラン3 $ 29,450~/年額 備考
- Burp Suite Enterprise EditionのAccelerateプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。50以上の同時スキャンができます。
- プラン4 $ 399/年額 備考
- Burp Suite Professionalです。主要なWebセキュリティおよび侵入テストツールキットです。
- 1年
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 無料診断 0円 備考
- 診断回数1回、リスク件数のみ表示です。
- ライトプラン 10,000円/月額 備考
- 1ドメインあたりの料金で、診断ページ数 は500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- スタンダードプラン 17,000円/月額 備考
- 1ドメインあたりの料金で、診断ページ数 は1,000ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- ビジネスプラン 24,000円/月額 備考
- 1ドメインあたりの料金で、診断ページ数 は1,500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- エンタープライズプラン 要相談 備考
- 診断ページ数 は1,501ページ以上です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- 最低利用期間は1年間(有料版)
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 要相談 要相談
- 制限なし
-
-
-
- クラウド型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 料金 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- AIリモート脆弱性診断 980,000円 備考
- FQDNあたりの料金です(3か月以内の再診断付き)。小規模サイトについては別途お問い合わせください。
- AIクイック・ツール診断 450,000円 備考
- FQDNあたりの料金です(3か月以内の再診断付き)。小規模サイトについては別途お問い合わせください。
- モバイルアプリ診断 400,000円~ 備考
- パッケージあたりの料金です(3か月以内の再診断付き)。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 要相談 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- ベーシックプラン 49,800円/月額 備考
- 1アプリケーションあたりの料金。手軽に続けられる高コストパフォーマンスプランです。
- 1年
-
-
-
- クラウド型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- Vuls OSS 0円 備考
- 脆弱性をスキャンします。
- FutureVuls standard 4,000円/月額 備考
- 脆弱性を管理します。1台の料金です。
- 複数システムの脆弱性を横断管理 要相談 備考
- 複数システムの脆弱性を横断管理します。最小100台からのプランです。
- 1ヵ月
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 0円 備考
- オープンソースのソフトウェアです。Greenboneのクラウドサービスなどの料金はお問い合わせください。
- 制限なし
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談 備考
- 問合わせの後個別見積
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!
脆弱性診断ツールとは
脆弱性診断ツールとは、サイバー攻撃を受けやすいWebシステムに対してスキャンや模擬攻撃などを行い、そのシステムにセキュリティ上の欠陥がないかを診断することのできるサービスです。
脆弱性診断ツールが想定している損害とは
これまで自社のWebシステムの脆弱性に関しては、開発プロジェクトのチーム内で対処したり、社内の情報セキュリティ部門が調査したり、セキュリティ製品を購入したりなど、自社で安全性の確保を完結させるというのが定石でした。
しかし最近では、セキュリティ人材の不足や時代とともに進化するシステムの複雑化により、セキュリティ対策を社内で完結させることがおよそ困難になってきているといえます。サイバー攻撃により発生する損害として想定されるものには以下のようなものがあります。これらの被害を未然に防ぐために、脆弱性診断ツールの需要が高まっていると考えられるでしょう。
- 顧客情報の漏洩
- 顧客の遺失利益に対する補填・賠償
- 自社ECサイトの停止による売上機会の損失
- ブランドイメージの棄損
なぜ脆弱性診断ツールが必要なのか?
脆弱性診断ツールを利用するメリットは、「サイト改ざん・情報漏洩・なりすましなどの危険性をあらかじめ排除できる」「セキュリティ対策の一元化により無駄なコストをかけずに効率的に対策ができる」「セキュリティ向上による顧客からの信頼獲得」の大きく3つに分けられます。よって、脆弱性診断ツールの導入を検討する際には、以下の事象が導入目的として想定されるでしょう。
- 現在提供している既存のWebサービスのセキュリティレベルを調べたい
- 新たに開発したアプリケーションの脆弱性を確認したい
- サービスの拡張に伴ってセキュリティレベルを上げたい
ここまでで脆弱性診断ツールの必要性について理解していただけたのではないでしょうか。今回はそれぞれの導入目的に合った脆弱性診断ツールを利用していただくため、サービスの特徴やポイントについて詳しく解説します。
脆弱性診断ツールの3つの種類とその選び方
ここでは脆弱性診断ツールの種類と選び方について詳細に説明します。まず初めに脆弱性診断ツールの種類は、提供形態という点で大きく3つに分けられます。
- 脆弱性診断サービス
- クラウド型脆弱性診断ツール
- ソフトウェア型脆弱性診断ツール
1.脆弱性診断サービス
脆弱性診断サービスとは、経験豊富なセキュリティ専門の技術者に依頼して、脆弱性を検査してもらう形のものです。ツールによる自動診断と技術者による手動診断を組み合わせて診断を行うため、多少時間を要しますが高精度の脆弱性診断が期待できるでしょう。サービス内容によっては検査に加え、今後の具体的な対策案をアドバイスしてくれるものもあります。
コストと時間はかかりますが、個人情報を多く取り扱うECサイトやSNS、または大規模なサービスのリリース前などのタイミングに利用することをおすすめします。
2.クラウド型脆弱性診断ツール
クラウド型脆弱性診断ツールとは、Web上から手軽に診断ができるクラウドタイプのツールです。利用手順はシンプルで、クラウドサービス上でアカウントを作成し、脆弱性を診断したいWebサービスのリンクやサーバ情報を登録して検査対象を選択するだけで利用できます。診断結果などはレポートとして表示されるので、それらを参照して脆弱性が検出された箇所を自分で修正する仕組みです。
クラウド型の脆弱性診断ツールはWebブラウザ上で気軽に安価(無料)で利用でき、開発者などが自身で診断を行える点が魅力といえます。
3.ソフトウェア型脆弱性診断ツール
ソフトウェア型脆弱性診断ツールとは、個々のコンソールにインストールして自動検知ツールなどから脆弱性診断を行うツールのことです。手動で行うと膨大な時間や手間がかかる作業を自動で行うことができますが、手動に比べると柔軟性には欠けるので細かな診断を行うのは難しいといえます。
基本的に誰でも使えるオープンソースなのでサポートなどはありません。自社にセキュリティエンジニアが在籍しているような環境で、コストをなるべくかけずに内製化などを考えている方におすすめです。
脆弱性診断ツールの比較ポイント6選
脆弱性診断ツールを比較するなかで重要となるポイントを6つ紹介します。これらの項目を参考にして自社に適した脆弱性診断ツールを選択してみてください。
- 診断範囲
- 診断精度
- 診断実績
- サポート体制
- 価格
- 導入時期
診断範囲
サービスやツールにより、Webアプリケーション・プラットフォームなど診断可能な範囲は異なります。先ほど診断項目の部分で説明しましたが、自社が「どのような脆弱性を調べたいのか」「検査したい内容を診断項目がカバーしているか」などを十分に検討したうえで製品選定を行いましょう。
診断精度
診断項目・範囲は同じであっても、どの精度で診断を行ってくれるかは製品によってそれぞれ異なります。例えば自動診断ツールと、専門家が手動にて様々なリスクを個別具体的に想定して行う脆弱性診断とでは、診断結果への信頼性は大きく異なります。セキュリティ対策をする際に「特にこの項目をしっかりと検査しておきたい」といった要望がある場合は、その診断項目を一番精査してくれるサービスを選択するとよいでしょう。
診断実績
診断範囲や診断の精度でも製品が絞り切れない場合は、その製品が持つ診断実績をもとに選定を行いましょう。導入事例を参考にすることで、その製品がどのような事象の診断に強いのかなどが傾向として読み取れる場合があります。導入事例やサンプルの報告書などを参考に、自社が提供するサービスの領域により近いものを取り扱う製品を選びましょう。
サポート体制
脆弱性診断を行う上で最も重要なのは脆弱性を見つけ出すことではなく、その診断結果をもとに危険性を回避する為の対策をいち早く講じることです。
社内にセキュリティの専門家がいる場合はコストを抑えて自動診断を行えるクラウド型・ソフトウェア型、社内に対応できるものが居ない場合は診断結果について技術者からのフィードバックやサポートをしっかりと受けられる脆弱性診断サービスを選択するなど、自社の環境に合わせた製品選定を行いましょう。
サポートが不安な場合は、情シス業務の外注も検討してみてください。
情シス・ヘルプデスクのアウトソーシング専門【トータルITヘルパー】
価格
料金体系は製品によって異なります。中にはWebアプリケーション、スマホアプリ、サーバなど診断項目ごとに料金が発生するものや、脆弱性診断として包括的に診断を行えるものもあります。価格帯が違うと診断範囲・診断精度・サポート体制が大きく違ってくるので、それぞれのツールの特徴を踏まえて適切な価格帯を検討してみましょう。
導入時期
専門の技術者を伴った大規模な脆弱性診断は主に、システムやサービスの開発後の総合テストの一環で行われることがほとんどです。しかし中には、開発プロセスの中に組み込んで開発者自身が必要に応じて任意のタイミングで利用できるツールもあります。「改修などにより追加された箇所のだけ診断したい」「脆弱性診断と開発を同時に行いたい」などの場合には、ツールなどの利用もおすすめです。
脆弱性診断ツールの無料版・有料版のサービスの違い
脆弱性診断ツールには無料で利用できるものと、有料のものとがあります。無料版の脆弱性診断ツールについて、果たして皆さんの想定している利用形態に適したものなのか、問題点や利用シーンなどから検討してみると良いでしょう。
無料版脆弱性診断ツール利用時の注意点とは?
脆弱性診断を行うには相応の費用が発生するため、無料のツールを利用しコストをかけずに、社内のセキュリティ対策を行えることは無料版の大きなメリットとして挙げられます。しかし、近年ではシステムの高度化が進んでいるため、無料版では専門的な知識を有している人でないと万全なセキュリティ対策を行えない可能性があります。
また、無料版の診断ツールを利用する上での注意点として、「ツール利用後に有料の商品の購入を求められる」といったケースが存在します。具体的には、無料と謳って偽の脆弱性診断を行い、診断を行うと実際はシステム上に問題はなくとも「脆弱性が検出されました。非常に危険な状態です!」などと表示し、高額なセキュリティ製品の購入へ誘導するといったものです。
このように無料版の中には、欺罔行為を行い、金銭を騙し取ろうとするものも少なからず存在するので、その点に関しては慎重に製品選択を行う必要があります。その他の詳しい事例についてはこちらの記事をご参照ください。
以下はIPA(情報処理推進機構)が公表している偽セキュリティソフトの一覧です。
下記のソフトは危険ですのでインストールしないようにしてください。
- AVASoft Professional Antivirus
- System Repair
- System Progressive Protection
- Live Security Platinum
- Smart Fortress
- RegClean Pro
無料版・有料版のシーン別活用法
ここまでで無料版脆弱性診断ツールの中には、ユーザーを不用意にあおり、欺罔行為を行って高額の製品を購入させるといった悪質なものも少なからず存在することを説明しました。しかし、すべてが上記のような悪質なものばかりではなく、実績があり利用者も多数存在しているフリーツールも存在します。
そこで本項目では、無料版・有料版のそれぞれに適した利用シーンを解説しますので、皆さんの想定している利用シーンに適したものはどちらなのか参考にしてみてください。
「無料版」活用シーン
無料版の脆弱性診断ツールの活用シーンとしては、以下が挙げられます。
- 取り扱っている個人情報が比較的少ない場合
- すでにローンチされたサービスで新しく追加した機能のみを診断するなど診断範囲が狭い場合
「有料版」活用シーン
有料版の脆弱性診断ツールの活用シーンとしては以下が挙げられます。
- 取り扱っている個人情報が比較的多い場合
- 重要度の高い大規模なサービスのローンチ前のセキュリティ診断時
精度が高くセキュリティ面でも信頼度の高い脆弱性診断ツールを求めている場合は、有料版の利用をお勧めします。
また有料版製品では、無料版に対してサポート体制が厚く専門的な知識を有していなくても包括的にセキュリティ対策を行えます。そのためコストをかけてでも確実にセキュリティ対策を行いたい方や初心者の方が利用する場合には、有料の脆弱性診断ツールの導入が確実です。
以上のように、診断にかけるサービスの規模や取り扱っている情報の量などによって使い分けていただくことで、より効果的な脆弱性診断が期待できます。
無料版 | 有料版 | |
---|---|---|
メリット | ・初期費用やランニングコストが不要で手軽に利用できる。 ・有料版導入前の試験的導入として利用できる。 |
・セキュリティの専門家とコミュニケーションをとることができる。 ・脆弱性を発見した後の、セキュリティ対策までサポートが受けられる。 ・専門的な知識を有していなくても、包括的にセキュリティ対策が行える。 |
デメリット | ・専門的な知識がないと、万全な診断が行えない。 ・診断の全工程において自己の責任で行う必要がある。 ・有料版購入の勧誘をされる場合がある。 |
・各種費用が発生する。 |
脆弱性診断ツール導入のメリット3つ
ここでは、脆弱性診断ツールの導入によって期待される導入のメリット3つについて紹介します。
- 自社で簡単にセキュリティ対策が行える
- コスト削減が見込める
- 顧客からの信頼を高める
1.自社で簡単にセキュリティ対策が行える
最近では様々なセキュリティ対策を行っている企業が大半であると考えられますが、それでも自社のWebアプリケーションのどの部分に欠陥があるのかを特定することは困難といえます。
その点において、脆弱性診断ツールの導入で脆弱性を早い段階で発見することができれば、脆弱性に対して素早く対策を講じることができ、社内で必要十分なセキュリティ対策を行うことができます。
2.コスト削減が見込める
自社の提供するコンテンツのセキュリティ対策について、様々な方法からセキュリティ体制を整えることは確かに一つの策として挙げられます。一方で、様々なツールを導入するとコストもその分かさんでいきます。
この点において、脆弱性診断ツールを導入し脆弱性を発見することができれば、複数のツールやセキュリティ対策が不要となり、コスト削減につながります。
3.顧客からの信頼を高める
脆弱性診断ツールを導入することで、自社のコンテンツについて第三者的視点から検査を受けることができ、社内では把握できていなかったセキュリティ上の欠陥を発見することができます。
そして、このような万全のセキュリティ対策を行っていることは、顧客に対しても安心感を与えることにつながり、顧客の信頼の獲得やブランドイメージの向上につながります。
無料で利用できる脆弱性診断ツール3選
数ある脆弱性診断ツールの中から、無料で利用できるツールを3つ紹介します。状況や目的に合わせて適切なツールを選択するようにしましょう。
- OWASP ZAP
- Nessus Essentials
- Open VAS
1.OWASP ZAP
世界基準で利用されているオープンソースのWebアプリケーション脆弱性診断ツールです。誰でも使いやすいグラフィカルインターフェースを備えており、簡単に脆弱性を洗い出すことができます。脆弱性診断練習用サイト「OWASP Juice Shop」では、意図的に発生させた脆弱性に対して診断を行うことができ、脆弱性診断の理解を深めることが可能です。
- 脆弱性の有無に加えて、弱点を示してくれる
- 誰でも使いやすいグラフィカルインターフェース
- 世界基準のツールが無料で利用できる
脆弱性の有無に加えて、弱点を示してくれる
脆弱性の有無をチェックするだけでは、どの部分が弱点となっているのか把握できない場合があります。具体的な弱点を示してくれることで、今後強化していくべき部分を明らかにすることが可能です。より有効な対策を行うことで万全なセキュリティ環境を構築することができるでしょう。
誰でも使いやすいグラフィカルインターフェース
グラフィカルインターフェース(GUI)を備えていることで誰でも使いやすいツールとなっています。簡易な脆弱性診断の場合、検索対象とするWebアプリケーションのURLを入力し、実行ボタンをクリックするだけで診断が可能です。Webアプリケーションに疑似的に攻撃することで、脆弱性を洗い出してくれます。
世界基準のツールが無料で利用できる
OWASP ZAPを運営しているのはアメリカにある財団ですが世界各地に支部があり、日本もプロジェクトに参加しているため「OWASP Japan」が存在します。無料でダウンロードすることができるので、コストをかけずに個人のネットショップなどでも利用することが可能です。現在も活動が継続的に行われているので、サイバー攻撃の最新情報を踏まえて脆弱性診断を行ってくれます。
2.Nessus Essentials
世界中で3万以上の企業がダウンロードしているNessusの脆弱性診断ツールです。非商用として個人で利用する場合、無料で利用することができます。サイバー・セキュリティのキャリアを始めた学生や専門家向けにデザインされており、脆弱性診断を容易にマスターすることができる製品です。精度が高く、問題を正確かつ迅速に対処することができます。
- 高いレベルで広範囲の脆弱性をカバー
- 450個以上のテンプレートによって効率化
- 世界中での導入実績あり
高いレベルで広範囲の脆弱性をカバー
Nessusの誤検出率はスキャン100万回当たり0.32回と業界最低レベルで、脆弱性を深く広範囲でほぼ発見することができます。毎週100件以上の新しいプラグインを脆弱性の開示から24時間以内に追加するので、迅速な課題解決が実現可能です。
450個以上のテンプレートによって効率化
豊富なテンプレートによって簡単にスキャンを行い、脆弱性のある場所を迅速に把握することができます。検査結果はカテゴリごとにグループ化されているので状況が一目で分かりやすいのも特徴です。テンプレートや自動評価によって効率的に脆弱性に対応しましょう。
世界中での導入実績あり
世界中で3万以上の企業・組織が導入しており、累計ダウンロード数は200万回を突破している実績があります。提供社であるTenableは、ガートナーによって2021年の脆弱性評価の代表ベンダーにも指定されており、信頼のおけるツールであるといえるでしょう。
【引用】https://jp.tenable.com/solutions/vulnerability-assessment
3.OpenVAS
日々情報が更新され続けているオープンソースの脆弱性診断ツールです。45000件以上の診断項目にならって定期的に診断が行われるので、新たな脆弱性に対しても有効な診断を行うことができます。ユーザビリティに優れているので簡単な操作で診断を行い、診断結果に対して脆弱性対策をレポート出力できるので、対策の検討を容易に行うことが可能です。
- 豊富な診断項目により様々な脆弱性に対応
- 定期的に診断を行いレポート出力が可能
- 新しい脆弱性に対して迅速に対応できる
豊富な診断項目により様々な脆弱性に対応
45000件以上という幅広い診断項目を持っているため、ソフトウェアのバグ・欠陥・設定など多くの脆弱性に対応することができます。また、ウェブインタフェースも備わっているので、診断対象にするシステム・診断する項目などを設定して利用することが可能です。
定期的に診断を行いレポート出力が可能
スキャンした診断結果をレポートにして出力する機能が備わっています。定期診断レポートを簡単に作成することができるので、システムに問題がないかどうかを高頻度で明らかにすることが可能です。対象となる脆弱性対策がレポートに記載されているので、状況把握と今後の対策を容易に検討できます。ユーザビリティに優れているので、操作が簡単なのも魅力的です。
新しい脆弱性に対して迅速に対応できる
オープンソースのソフトウェアとして提供されているため、セキュリティの専門家をはじめ世界中から迅速に診断項目が追加されます。脆弱性データベースは日々更新が続けられているため、新たに出現する脆弱性や攻撃パターンに対しても有効なスキャンが可能です。
【引用】https://www.greenbone.net/en/
脆弱性診断ツールおすすめ23製品比較表
製品名や製品ロゴをクリックすると、製品ページで詳細を確認することができます。
製品名 | 製品ロゴ | クラウド診断 | デスクトップアプリ診断 | Webアプリ診断 | プラットフォーム診断 | グラスボックス診断 | 報告書形式 | 対応言語 | 対応プロトコル |
---|---|---|---|---|---|---|---|---|---|
Web Doctor |
![]() |
○ | - | ○ | - | - | PDF HTML |
英語 | HTTP HTTPS |
Securify Scan |
![]() |
○ | - | ○ | - | ○ | PDF CSV XML JSON |
英語 | HTTP HTTPS |
AEGIS-EW(イージスEW) |
![]() |
○ | ○ | ○ | ○ | ○ | PDF HTML |
英語 | TCP UDP ICMP HTTP HTTPS FTP SSH SMTP SNMP DNS |
OWASP ZAP |
![]() |
- | ○ | ○ | - | ○ | HTML | 英語 | HTTP HTTPS |
ABURIDA |
![]() |
○ | - | ○ | - | - | PDF HTML |
日本語 | HTTP HTTPS |
脆弱性診断サービス(株式会社セキュアスカイ・テクノロジー) |
![]() |
○ | - | ○ | ○ | ○ | PDF HTML |
日本語 | HTTP HTTPS |
Vex |
![]() |
- | ○ | - | - | - | PDF HTML |
英語 | HTTP HTTPS |
ReCoVAS |
![]() |
- | ○ | - | - | - | PDF HTML |
日本語 | HTTP HTTPS |
セキュリティ診断サービス(株式会社日立ソリューションズ・クリエイト) |
![]() |
○ | ○ | ○ | - | - | 日本語 | HTTP HTTPS |
|
バックドア検証サービス |
![]() |
- | - | - | ○ | ○ | 日本語 | HTTP HTTPS |
|
セキュリティ診断サービス(株式会社アルファネット) |
![]() |
○ | - | ○ | - | - | PDF HTML |
日本語 | HTTP HTTPS |
Nessus |
![]() |
- | ○ | - | - | - | PDF HTML |
英語 | HTTP HTTPS SMTP FTP SSH Telnet SNMP SMB RDP IMAP |
Burp Suite |
![]() |
- | ○ | ○ | - | ○ | HTML XML JSON |
英語 | HTTP HTTPS |
WEBセキュリティ診断くん |
![]() |
- | ○ | ○ | - | - | PDF HTML |
日本語 | HTTP HTTPS |
セキュリティ脆弱性診断サービス(株式会社セキュアイノベーション) |
![]() |
○ | ○ | ○ | - | ○ | PDF HTML |
日本語 | HTTP HTTPS |
SCT SECURE クラウドスキャン |
![]() |
○ | - | ○ | - | - | PDF CSV XML JSON |
日本語 | HTTP HTTPS |
Webアプリケーション診断(GMOサイバーセキュリティ byイエラエ株式会社) |
![]() |
○ | - | ○ | ○ | ○ | 日本語 | HTTP HTTPS |
|
脆弱性診断(株式会社レイ・イージス・ジャパン) |
![]() |
○ | - | ○ | - | ○ | PDF HTML |
日本語 | HTTP HTTPS |
Webアプリケーション診断(三井物産セキュアディレクション株式会社) |
![]() |
- | - | ○ | - | ○ | PDF HTML |
日本語 | HTTP HTTPS |
komabato |
![]() |
- | - | ○ | - | ○ | PDF HTML |
日本語 | HTTP HTTPS |
Vuls |
![]() |
- | - | ○ | - | ○ | JSON | 英語 | HTTP HTTPS FTP SSH Telnet SMTP LDAP RDP Redis MongoDB ElasticSearch PostgreSQL MySQL Oracle MSSQL |
OpenVAS |
![]() |
○ | - | - | ○ | - | PDF HTML |
英語 | HTTP HTTPS FTP SSH Telnet SMTP LDAP NFS SNMP SMB RDP PostgreSQL MySQL Oracle MSSQL |
NRI SECURE |
![]() |
○ | ○ | ○ | - | ○ | PDF HTML |
英語 | HTTP HTTPS |
「脆弱性診断ツール」の製品比較表
※税込と表記されている場合を除き、全て税抜価格を記載しています
-
- 製品名
- 料金プラン
- プラン名金額
- 無料トライアル
- 最低利用期間
- 基本的な機能
-
- オープンリダイレクタ
- SSL設定
- クロスサイトスクリプティング
- グラスボックス診断
- クラウド診断
- プラットフォーム診断
- スマホアプリ(iOS・Android)診断
- Webアプリケーション診断
- デスクトップアプリ診断
- HttpOnly属性が付与されていないCookieの利用
- ヘッダインジェクション
- ドメイン設定
- X-Frame-Optionsヘッダの未設定
- サーバ設定
- X-Content-Type-Optionsヘッダの未設定
- URL設定
- アプリケーションエラーの開示
- オートコンプリート機能有効化
- SQLインジェクション
- サービス資料
- 無料ダウンロード
- ソフト種別
- 推奨環境
- サポート
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談 備考
- 予算に応じてLight・Standard・Advancedの3つのコースがあります。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- なし
- PCブラウザ Windowsアプリ Macアプリ iOSアプリ Androidアプリ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 利用料金 要相談
- 30日
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- プロフェッショナル 85,000円 備考
- ドメイン数:1~9個
- プロフェッショナル 118,400円 備考
- ドメイン数:100~199個
- プロフェッショナル 160,000円 備考
- ドメイン数:1000~2000個
- エキスパート 85,000円 備考
- ドメイン数:1~9個
- エキスパート 118,400円 備考
- ドメイン数:100~199個
- エキスパート 160,000円 備考
- ドメイン数:1000~2000個
- 制限なし
-
-
-
- クラウド型ソフト
- PCブラウザ
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 利用料金 0円 備考
- オープンソースのソフトウェアです。
- 制限なし
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- お試しプラン 90,000円(税込) 備考
- 1社1回限りです。3リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
- スタンダードプラン 440,000円(税込) 備考
- 10リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
- ボリュームプラン 1,408,000円(税込) 備考
- 50リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- エクスプレス診断 400,000円 備考
- Webアプリケーション診断は、10リクエストまたは6APIまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
- エキスパート診断 1,280,000円 備考
- Webアプリケーション診断は、50リクエストまたは25APIまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
- プラットフォーム診断 250,000円 備考
- プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
- エクスプレス診断 +プラットフォーム診断 550,000円 備考
- Webアプリケーション診断は、10リクエストまたは6APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
- エキスパート診断 +プラットフォーム診断 1,430,000円 備考
- Webアプリケーション診断は、50リクエストまたは25APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
- ペネトレーションテスト 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- デベロッパーライセンス 要相談 備考
- 自社で開発もしくは運営するWebアプリケーションの診断に利用する場合のライセンスです。各販売代理店から購入できます。
- オーディターライセンス 要相談 備考
- Vexを利用した脆弱性検査サービスを提供する場合には、こちらの契約が必要です。
- 制限なし
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 新規 300,000円 備考
- 期間限定で99,000円~にて提供の場合もあります。診断方法は遠隔で、診断対象は25ページまでです。
- フォローアップ診断 80,000円 備考
- 再診断メニューです。本診断のレポート提出後、20日以内までの依頼を対象とします。診断方法は遠隔で、診断対象は該当箇所だけです。
- 個別対応(ReCoVASプロ) 500,000円~ 備考
- 内容は要相談です。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- Webアプリケーション診断(手動) 240,000円~ 備考
- 1リクエストで、報告書を含みます。
- スマホWebAPI診断 250,000円~ 備考
- 1リクエスト当たりの料金で、(報告書を含みます。Androidのみの対応となります。
- おまかせプラン 要相談 備考
- 予算等に合わせて対象数を決定いただき、その数を上限にエンジニアが診断対象を選定し、診断を行うサービスです。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- nessus essentials $0 備考
- 教育関係者や、サイバーセキュリティのキャリアを始めようとしている学生、個人に理想的なサービスです。 IP アドレスを 16 個までスキャン可能です。
- nessus professional $3,729/年額 備考
- コンサルタント、ペンテスター、セキュリティ担当者向けのサービスです。サブスクリプションでスキャナー単位のライセンスです。
- 1年
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン1 $6,995/年額 備考
- Burp Suite Enterprise EditionのStarterプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。5の同時スキャンができます。
- プラン2 $ 14,480/年額 備考
- Burp Suite Enterprise EditionのGrowプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。20の同時スキャンができます。
- プラン3 $ 29,450~/年額 備考
- Burp Suite Enterprise EditionのAccelerateプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。50以上の同時スキャンができます。
- プラン4 $ 399/年額 備考
- Burp Suite Professionalです。主要なWebセキュリティおよび侵入テストツールキットです。
- 1年
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 無料診断 0円 備考
- 診断回数1回、リスク件数のみ表示です。
- ライトプラン 10,000円/月額 備考
- 1ドメインあたりの料金で、診断ページ数 は500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- スタンダードプラン 17,000円/月額 備考
- 1ドメインあたりの料金で、診断ページ数 は1,000ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- ビジネスプラン 24,000円/月額 備考
- 1ドメインあたりの料金で、診断ページ数 は1,500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- エンタープライズプラン 要相談 備考
- 診断ページ数 は1,501ページ以上です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
- 最低利用期間は1年間(有料版)
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- 要相談 要相談
- 制限なし
-
-
-
- クラウド型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 料金 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- AIリモート脆弱性診断 980,000円 備考
- FQDNあたりの料金です(3か月以内の再診断付き)。小規模サイトについては別途お問い合わせください。
- AIクイック・ツール診断 450,000円 備考
- FQDNあたりの料金です(3か月以内の再診断付き)。小規模サイトについては別途お問い合わせください。
- モバイルアプリ診断 400,000円~ 備考
- パッケージあたりの料金です(3か月以内の再診断付き)。
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談
- 要相談 要相談
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- ベーシックプラン 49,800円/月額 備考
- 1アプリケーションあたりの料金。手軽に続けられる高コストパフォーマンスプランです。
- 1年
-
-
-
- クラウド型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- Vuls OSS 0円 備考
- 脆弱性をスキャンします。
- FutureVuls standard 4,000円/月額 備考
- 脆弱性を管理します。1台の料金です。
- 複数システムの脆弱性を横断管理 要相談 備考
- 複数システムの脆弱性を横断管理します。最小100台からのプランです。
- 1ヵ月
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 0円 備考
- 初期費用は発生しません。
- プラン 0円 備考
- オープンソースのソフトウェアです。Greenboneのクラウドサービスなどの料金はお問い合わせください。
- 制限なし
-
-
-
- パッケージ型ソフト
- なし
- 電話 / メール / チャット /
-
-
-
-
- 初期費用 要相談 備考
- 問合わせの後個別見積
- 制限なし
-
-
-
- なし
- なし
- 電話 / メール / チャット /
-
価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!
脆弱性診断ツール比較31選
製品のおすすめポイント
- 経済産業省が定めた、情報セキュリティサービス台帳の認可サービス
- 豊富な診断実績に加え、ツールによる自動診断で低コスト
- お問い合わせから診断まで丁寧なフローでサポート
製品のおすすめポイント
- リソースに不安があっても安心して利用できる
- コア業務に集中したまま診断実施できる
- コストメリットに優れた成果報酬型
- 日本のサイバー空間を安全に
製品のおすすめポイント
- サブドメインも自動で検出可能、脆弱性診断へ活用
- サーバの安全度を数値化し、脆弱性リスクを軽減
- 忘れられ、放置されたサーバを検知し、把握可能
- ペンテストにより、システムを深くまで検証
- 分かりやすい料金体制と低価格な導入コストを
製品のおすすめポイント
- 情報システム(IT)の脆弱性を診断しセキュリティを守る
- 制御システム(OT)に対してペネトレーションテストを行う
- 豊富な診断メニューで状況に適した対策を講じる
製品のおすすめポイント
- 総合的なセキュリティー対策を行うサービス
- Webサイトの改ざんを瞬時に検知し復旧させる
- 予算に合わせてプランをカスタマイズできる
製品のおすすめポイント
- 世界トップクラスの評価を得ているサービス
- 品質とスピード、コスト重視を備えたサービス
- サイバーセキュリティのリーディングカンパニーならではのサポート
製品のおすすめポイント
- 豊富な経験と実績から培った柔軟な体制へ
- NECグループならではの最初から最後までの手厚いサポート
- 安心安全の高品質なサービスづくりの確立を図る
製品のおすすめポイント
- 幅広いセキュリティ診断方法とプランでニーズに合わせる
- 実績と技術力から培ったセキュリティ診断サービス
- プロダクト開発者寄りの支援体制が整っています
製品のおすすめポイント
- お客様のニーズに合わせた診断方法の柔軟なカスタマイズ
- NTT西日本グループWEBサイトのセキュリティーで培った実績
- 最初から最後まできめ細かく手厚いサポート体制
製品のおすすめポイント
- 専門的な知識不要!誰でも始められるセキュリティ診断
- 診断作業のほとんどを自動化し、効率化を促進
- 分かりやすいレポートでスムーズなセキュリティ対策に
製品のおすすめポイント
- ユーザに優しいGUIで簡単に診断ができる手軽さが魅力
- 世界基準でありつつ、ドメスティックな情報交換も可能
- 練習用のWebアプリケーションで理解を深められる
製品のおすすめポイント
- 最新攻撃に対応したツールと、手作業によるハイブリッドな診断
- セキュリティ品質を確保するための盤石な体制
- 高い技術と、診断後のサポートで顧客に寄り添う
製品のおすすめポイント
- 自社開発の診断ツールを活用した「Webアプリケーション診断」
- リモート診断もオンサイト診断も可能な「プラットホーム診断」
- 実際の攻撃を想定した「ペネトレーションテスト」
製品のおすすめポイント
- 多くのセキュリティ専門技術者が認める、脆弱性検出率
- シナリオ作成からレポートまで、実績で磨き上げられた充実のフロー
- 国産ゆえの、導入後も見据えた充実のサポート
製品のおすすめポイント
- 自動診断ツールと専門スタッフの手動診断を組み合わせる
- 診断実施から報告まで、シンプルなフローで問題が把握できる
- 優秀なセキュリティのスペシャリストによる診断
製品のおすすめポイント
- 高度な知識を持つホワイトハッカーによる診断
- 高度なセキュリティ診断ツールによる網羅的な診断が可能
- サービス構成は、ネットワーク型診断サービスと、Webアプリケーション診断サービス
製品のおすすめポイント
- IoT機器のバックドア検証サービスとして特化
- ハッカーの目線で検証し、対策込みのレポートを提出
- あらゆるセキュリティの脅威に対応する富士ソフトのサービス
製品のおすすめポイント
- 情報セキュリティサービス基準に適合した安心の体制
- 手作業による細部に渡る診断で精度高く検出する
- トリアージして対策を記載した、分かりやすい診断報告書
製品のおすすめポイント
- 精度の高さに定評があり、多くの組織で導入されている
- テンプレートの用意や自動評価など効率化を助ける仕組み
- カバレッジの範囲が広く、日々更新されていく脅威にも対応
製品のおすすめポイント
- 世界中の16,000を超える組織で信頼されているテクノロジー
- エンジニアに有用な、セキュリティと開発の統合
- Webセキュリティアカデミーでトレーニングが可能
製品のおすすめポイント
- 初心者にも分かりやすいデザインと、簡単な登録
- 150項目以上の検査項目でリスクをあぶり出す
- 対象Webサイトや人の負担を減らす、毎日のサイト診断を実施
製品のおすすめポイント
- 経済産業省の「情報セキュリティサービス基準」登録事業
- 最新トレンドを組み込む、Webアプリケーション診断
- SOCのノウハウを活かしたプラットフォーム診断
製品のおすすめポイント
- ASV資格を持つ診断エンジンを採用しているので、信頼性が高い
- ポータル画面のダッシュボードで脆弱性を管理
- 毎日の診断で、最新の脆弱性情報に基づいた検査が可能
製品のおすすめポイント
- 最新の脆弱性から、一般的な脆弱性まで幅広く診断
- 経験豊かなセキュリティ診断員が診断する屈強な体制
- 詳細な診断報告レポートに、緊急対応の体制も充実
製品のおすすめポイント
- 高速で網羅性の高い「AIリモート脆弱性診断」
- 状況に合わせ「AIクイック・ツール診断」「モバイルアプリケーション診断」の選択も
- 豊富な提供実績と、専任のホワイトハッカーの存在による信頼性
製品のおすすめポイント
- 200以上の脆弱性発見実績を持つ、高い診断力
- 優秀なプロフェッショナルが集うホワイトハッカー集団
- 事前準備段階から周到な、サービス提供フロー
製品のおすすめポイント
- アジャイル開発に最適なスキャン方式で、ブラウザで簡単操作
- リスクの対処を見据えたトータル管理と、チームのセキュリティ力を高める情報共有
- 多数のWebアプリケーションも横断でまとめて管理
製品のおすすめポイント
- 自社状況に合わせた効率的な脆弱性診断が行える
- コンテナの脆弱性診断や日本語への対応が可能
- 検出した脆弱性を、自動でチケット化し管理できるFutureVulsプラン
製品のおすすめポイント
- 自動かつ定期的にセキュリティ診断を行える
- オープンソースなので、コミュニティに情報が集まりやすい
- レポーティング機能やユーザビリティに優れる
脆弱性診断ツールの診断項目
脆弱性診断には大きく分けて「Webアプリケーション診断」と「プラットフォーム診断」の2種類があります。それぞれの特徴と具体的な診断項目について以下にて紹介します。
Webアプリケーション診断
Webアプリケーション診断は、インターネットブラウザ上で利用する「Webアプリケーション」を診断対象とする機能です。単に「アプリケーション診断」という場合はスマホアプリなども含まれます。主な診断項目として以下の7項目があります。
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- SQLインジェクション
- OSコマンドインジェクション
- ディレクトリトラバーサル
- 強制ブラウジング
- 認証機能・アクセス制御の不備
クロスサイトスクリプティング(XSS)
Webサイトの脆弱性につけこんで記述言語であるHTMLに悪意のあるスクリプトを埋め込んで攻撃する手法です。閲覧者のインターネット掲示板やショッピングサイトで特に発生しやすく、Webサイトのリンクやメールに含まれる不正なリンクをクリックすることで、パスワードや個人情報を盗まれるといった被害を受けてしまいます。Webサイトの脆弱性の中で非常に多い割合を占めているもので、対策の必要性が高まっている項目です。
クロスサイトリクエストフォージェリ(CSRF)
攻撃用のWebページを介してシステムに意図しないリクエストを送る攻撃のことです。意図していないリクエストにも関わらず、リクエストを送った側が悪意のある書き込みや犯行予告を行ったとされ誤認逮捕につながることもあります。Webサイトのリンクやメールに含まれる不正なリンクをクリックすることで、意図せず特定のWebサイトへ即座にリクエストが送られてしまうので、リクエスト強要とも呼ばれています。ユーザ側はその時点で何が起きたのかに気づくことはなく、後から被害にあったことを認識するのが特徴です。
SQLインジェクション
SQLはデータベースを操作する言語の名称のこと、インジェクションは注入を意味する単語です。検索ボックスや入力フォームなどに記入する文字列に不正な操作を行うSQL文を第三者が意図的に注入することで、データベース内のデータの消去や改ざん、盗用を図る攻撃のことです。データベースに保存されている個
人情報や機密情報を攻撃者に抜き取られ、法的責任に問われることもあります。
OSコマンドインジェクション
Webサイトに向けて不正な入力を行うことで、Webサーバ側が想定していない動作をさせるサイバー攻撃のことです。ユーザがデータや数値を入力するのに紛れ込ませてOSへの命令文を渡し、命令文を受け取ったWebサーバが誤ってOSに対して攻撃を行ってしまうのです。攻撃者の意のままにサーバ上のデータベースなどを操ることができてしまうので、情報漏洩や改ざん、不正なシステム操作、ウイルス感染などが発生します。
ディレクトリトラバーサル
ファイルを参照する仕組みを悪用し、Webサーバの非公開ファイルにアクセスを行う攻撃のことです。非公開のファイルが保管されているディレクトリ(ファイルをグループ化するためのフォルダ)に「横断(トラバーサル)」し不正にファイルを閲覧することからディレクトリトラバーサルと呼ばれています。ファイルやディレクトリを操作する際に、不正なパスを挿入されることによって意図しないディレクトリやファイルを参照、操作されてしまいます。サーバ上の非公開ファイルを参照されてしまうので、機密情報が漏洩するなどの被害を受ける可能性があります。
強制ブラウジング
一般的なWeb閲覧ではWebブラウザに表示されたリンクをたどって他のページに移動しますが、アドレスバーに直接URLの文字列を入力することで、WEBサイト側が公開していない領域にあるディレクトリやファイル等を表示させる攻撃のことです。管理者しか使用できないメニューを操作されることでページを改ざんされたり、制作側が内部で共有しているデータを不正に抜き取られたりする可能性があります。
認証機能・アクセス制御の不備
ユーザに対して与える権限を制御するための認証機能やアクセス制御を適用する際に不備があると、許可されていない情報が公開されてしまったり、データの変更や破壊が勝手に行われたりすることがあります。個人情報を閲覧する機能にアクセスするにあたって、メールアドレスのみでログインできてしまうWebサイトが脆弱であると届出を受けた例もあります。一般にメールアドレスは他人にも知られる可能性のある情報であると判断できるため、アクセス制御が欠落しているといえるでしょう。
プラットフォーム診断
プラットフォーム診断は、サーバやOS、ネットワーク機器、ミドルウェアを診断対象とする機能です。これらの機器の設定に問題ないかやポートが不必要に開いていないかなど様々な項目を精査していきます。
そしてこのプラットフォーム診断には「リモート診断」「オンサイト診断」の2つの手法が存在します。リモート診断は主に、インターネット経由でネットワーク外部から診断するといった手法です。続いてオンサイト診断は、内部ネットワークから直接的に検査して、システム上の脆弱性や欠陥を発見する手法です。
そして一般的には、これら2つの診断方法を併用することで、脆弱性診断の精度をより高めることができるとされています。主な診断項目としては以下の5項目が挙げられます。
- ホスト情報収集
- 脆弱性検査
- アカウント検査
- サービス設定検査
- ポートスキャン
ホスト情報収集
動作しているOSやアプリケーションのバナー情報を取得し、プロダクトバージョンなどに欠損がないかを検査。
脆弱性検査
OSやソフトウェアが持っている脆弱性の検査。
アカウント検査
推測可能なアカウントやパスワードが汎用サービスで利用されていないかを検査。
サービス設定検査
不要なディレクトリの公開、サーバの設定に不備がないかなどの検査。
ポートスキャン
サーバやネットワーク機器が利用しているTCP(「Transmission Control Protocol」1対1の信頼性の高い通信を行うためのプロトコル)やUDP(「User Datagram Protocol」データ到達の確認を行わずにデータ送信を行うプロトコル)の検査。
認知度が高まるバグバウンティ
ここ数年、認知度が非常に高まっているバグバウンティやバグ報奨金制度について知っていますか?バグバウンティ(バグ報奨金制度)とは、世界中のホワイトハッカーが製品やサービスの脆弱性を発見すると、企業側が重要度に応じてハッカーに報酬金を支う仕組みのことです。海外のIT企業や政府機関を中心に浸透しつつあります。
バグバウンティのメリットとは?
外部のハッカーに調査を依頼することに対して危機感を持つ方も多くいるかもしれません。しかし、バグバウンティは最低限の公開情報に対して多数の攻撃者視点からテストを行うことができるシステムであり、安全により多角的な視点で脆弱性の発見が期待できます。外部の専門企業に依頼するよりも固定費として発生するコストを削減することができ、高いコストパフォーマンスでセキュリティ対策を行うことが可能となるでしょう。
バグバウンティを行えるサービス「IssueHunt」

「日本のサイバーセキュリティのレベルを一段階引き上げる」ことをビジョンに掲げ、開発・運用・サポートを全て国内自社で対応しています。欧米では既に一般化しているバグバウンティを国内でも拡大し、日本のサイバー空間を安全にするために日々改善を行っているサービスです。脆弱性の報告への対応も行ってくれるので、社内の人員やリソースに不安がある場合でも安心して利用することができます。
- 日本製プラットフォームで安心
- 基本料金なしの成果報酬型
- 脆弱性に関する報告の集約による効率化
日本製プラットフォームで安心
開発から運用、サポートといったところまですべて国内の自社対応を行っているプラットフォームです。日本のビジネススタイルに適応した機能を提供することで、日本製バウンディングプラットフォームのリーディングカンパニーを目指しています。急成長しているベンチャー企業から上場企業まで幅広い導入が見られ、今後積極的に利用されるツールだといえるでしょう。
基本料金なしの成果報酬型
企業側が報酬金の支払い対象に設定した脆弱性報告にのみ支払いが発生する仕組みなので、有効な報告が無ければ料金は一切発生しません。初期費用や基本料金もなく利用への壁が低いため、気軽に利用を開始することができます。柔軟なコスト体系により無駄な出費を防ぐことが可能です。
脆弱性に対する報告の集約による効率化
カスタマーサポートやセキュリティチームへの報告、担当者のSNSへの報告などこれまで分散していた窓口を集約することで、効率的に対応することが可能です。報告はダッシュボード内に蓄積され、対応待ちの報告や改善済みの報告を一覧にしてチームで共有することができます。
必要な診断項目を明確にし、最適な脆弱性診断ツール選びを
Webアプリケーションなどの脆弱性をいち早く発見しリスクの回避につなげる脆弱性診断ツールについて、その概要から比較・選定の方法まで解説してきましたがいかがだったでしょうか。今回紹介したポイントを参考にして、自社に必要な機能や性能を満たした最適な脆弱性診断ツールを見つけていただければと思います。