最終更新日: 2022/01/11
脆弱性診断ツール(サービス)22選比較|診断項目・選定時のポイント
脆弱性診断ツールとは、企業におけるWebサービスなどに対して攻撃シミュレーションを行い、安全性を診断できるツールの総称です。
自社で利用しているアプリケーションやシステムのセキュリティ対策状況は把握できているでしょうか?もしこれらのWebアプリケーションに何らかの情報セキュリティ上の欠陥、いわゆる「脆弱性」が存在し、それに対する十分な対策が為されていないとしたら危険です。
場合によってはこれらの脆弱性が原因で、外部から攻撃を受けWebサイトが改ざんされたり、ダウンさせられたり、自社が保有している個人情報の漏洩につながる可能性もあります。ビックデータの活用が必須な現代においては、現在この脆弱性診断ツールが注目視され始めています。
脆弱性診断ツールとは
脆弱性診断ツールとは、サイバー攻撃を受けやすいWebシステムに対してスキャンや模擬攻撃などを行い、そのシステムにセキュリティ上の欠陥がないかを診断することのできるサービスです。
脆弱性診断ツールが想定している損害とは
これまでは、自社のWebシステムの脆弱性に関しては、開発プロジェクトのチーム内で対処したり、社内の情報セキュリティ部門が調査したり、セキュリティ製品を購入したりなど、自社で安全性の確保を完結させるというのが定石でした。
しかし最近では、セキュリティ人材の不足や時代とともに進化するセキュリティの複雑化などにより、セキュリティ対策を社内で完結させることがおよそ困難になってきているといえます。サイバー攻撃により発生する損害として想定されるものには以下のようなものがあります。これらの被害を未然に防ぐために、脆弱性診断ツールの需要が高まっているといえます。
- 顧客情報の漏洩
- 顧客の遺失利益に対する補填・賠償
- 自社ECサイトの停止による売上機会の損失
- ブランドイメージの棄損
なぜ脆弱性診断ツールが必要なのか?
脆弱性診断ツールを利用するメリットとしては後程詳しく説明しますが、大きく分けて3つ「サイト改ざん・情報漏洩・なりすましなどの危険性をあらかじめ排除できる」「セキュリティ対策の一元化により無駄なコストをかけずに効率的に対策ができる」「セキュリティ向上による顧客からの信頼獲得」などがあります。
よって脆弱性診断ツールの導入を検討する際には、以下の事象が導入目的としてとして想定されます。
- 現在提供している既存のWebサービスのセキュリティレベルを調べたい
- 新たに開発したアプリケーションの脆弱性を確認したい
- サービスの拡張に伴ってセキュリティレベルを上げたい
ここまでで脆弱性診断ツールの必要性について理解していただけたのではないでしょうか。中には、実際に導入を考えている方や、もう少し詳しくサービスの概要を知りたいと思っている人もいると思います。今回はそれぞれに合った脆弱性診断ツールを利用できるように、サービスの特徴やポイントについて詳しく解説します。
脆弱性診断ツールの診断項目
脆弱性診断には大きく分けて「Webアプリケーション診断」と「プラットフォーム診断」の2種類があります。それぞれの特徴と具体的な診断項目について以下にて紹介します。
Webアプリケーション診断
Webアプリケーション診断は、インターネットブラウザ上で利用する「Webアプリケーション」を診断対象とする機能です。単に「アプリケーション診断」という場合はスマホアプリなども含まれます。主な診断項目として以下の7項目があります。
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- SQLインジェクション
- OSコマンドインジェクション
- ディレクトリトラバーサル
- 強制ブラウジング
- 認証機能・アクセス制御の不備
クロスサイトスクリプティング(XSS)
Webアプリケーションを介して、訪問者の個人情報などを盗むなどの不正なスクリプトが実行されないかを検査。
クロスサイトリクエストフォージェリ(CSRF)
Webサイト上に不正な書き込みを行うことでDoS攻撃などがなされる危険性がないかを検査。
SQLインジェクション
Webアプリケーションのデータベースを不正に操作される危険性がないように確認。
OSコマンドインジェクション
Webサイト側が想定していない命令文を強制的に実行させられないかの検査。
ディレクトリトラバーサル
アクセス権限を与えていないようなフォルダやファイルを不正に閲覧されることがないかの検査。
強制ブラウジング
公開するつもりのないディレクトリやファイルに対して不正にアクセスされないかを検査。
認証機能・アクセス制御の不備
適切なログインを行わずに、ログイン後のコンテンツにアクセスされることがないかの検査。
プラットフォーム診断
プットホーム診断は、サーバやOS、ネットワーク機器、ミドルウェアを診断対象とする機能です。これらの機器の設定に問題ないかやポートが不必要に開いていないかなど様々な項目を精査していきます。
そしてこのプラットフォーム診断には「リモート診断」「オンサイト診断」の2つの手法が存在します。リモート診断は主に、インターネット経由でネットワーク外部から診断するといった手法です。続いてオンサイト診断は、内部ネットワークから直接的に検査して、システム上の脆弱性や欠陥を発見します。
そして一般的には、これら2つの診断方法を併用することで、脆弱性診断の精度をより高めることができるとされています。主な診断項目としては以下の5項目が挙げられます。
- ホスト情報収集
- 脆弱性検査
- アカウント検査
- サービス設定検査
- ポートスキャン
ホスト情報収集
動作しているOSやアプリケーションのバナー情報を取得し、プロダクトバージョンなどに欠損がないかを検査。
脆弱性検査
OSやソフトウェアが持っている脆弱性の検査。
アカウント検査
推測可能なアカウントやパスワードが汎用サービスで利用されていないかを検査。
サービス設定検査
不要なディレクトリの公開、サーバの設定に不備がないかなどの検査。
ポートスキャン
サーバやネットワーク機器が利用しているTCPやUDPの検査。
脆弱性診断ツールの無料版・有料版のサービスの違い
この点は皆さんが最も気になっている点の一つではないかと思います。脆弱性診断ツールには無料で利用できるものと、費用が発生するものとがあります。
ここでは特に皆さんが気になっている無料版の脆弱性診断ツールについて、果たして皆さんの想定している利用形態に適したものなのか、問題点や利用シーンなどから判断していただければと思います。
無料版脆弱性診断ツール利用時の注意点とは?
脆弱性診断を行うには相応の費用が発生するため、無料のツールを利用しコストをかけずに、社内のセキュリティ対策を行えることは無料版の大きなメリットとして挙げられます。
また、無料版の診断ツールを利用する上での注意点として、「ツール利用後に有料の商品の購入を求められる」といったケースが存在します。具体的には、無料と謳って偽の脆弱性診断を行い、診断を行うと実際はシステム上に問題はなくとも「脆弱性が検出されました。非常に危険な状態です!」などと表示し、高額なセキュリティ製品の購入へ誘導するといったものです。
このように無料版の中には、欺罔行為を行い、金銭を騙し取ろうとするものも少なからず存在するので、その点に関しては慎重に製品選択を行う必要があります。その他の詳しい事例についてはこちらの記事をご参照ください。
以下はIPA(情報処理推進機構)が公表している偽セキュリティソフトの一覧です。
下記のソフトは危険ですのでインストールしないようにしてください。
- AVASoft Professional Antivirus
- System Repair
- System Progressive Protection
- Live Security Platinum
- Smart Fortress
- RegClean Pro
無料版・有料版のシーン別活用法
ここまでで無料版脆弱性診断ツールの中には、ユーザーを不用意にあおり、欺罔行為を行って高額の製品を購入させるといった悪質なものも少なからず存在することを説明しました。しかし、すべてが上記のような悪質なものばかりではなく、実績があり利用者も多数存在しているフリーツールも存在します。
そこで本項目では、無料版・有料版のそれぞれに適した利用シーンを解説しますので、皆さんの想定している利用シーンに適したものはどちらなのか参考にしてみてください。
「無料版」活用シーン
無料版の脆弱性診断ツールの活用シーンとしては、
1.取り扱っている個人情報が比較的少ない場合や、
2.すでにローンチされたサービスで新しく追加した機能のみを診断するなど診断範囲が狭い場合など、
があげられます。
「有料版」活用シーン
有料版の脆弱性診断ツールの活用シーンとしては、
1.取り扱っている個人情報が比較的多い場合や、
2.重要度の高い大規模なサービスのローンチ前のセキュリティ診断時など
は、精度が高くセキュリティ面でも信頼度の高い有料版の脆弱性診断ツールの利用をお勧めいたします。
また有料版製品では、無料版に対してサポート体制が厚く専門的な知識を有していなくても包括的にセキュリティ対策を行えます。そのためコストをかけてでも確実にセキュリティ対策を行いたい人や初心者の人にも有料の脆弱性診断ツールの導入をおすすめします。
以上のように、診断にかけるサービスの規模や取り扱っている情報の量などによって使い分けていただくことで、より効果的な脆弱性診断が期待できます。
| 無料版 | 有料版 | |
| メリット | ・初期費用やランニングコストが不要で手軽に利用できる。 ・有料版導入前の試験的導入として利用できる。 |
・セキュリティの専門家とコミュニケーションをとることができる。 ・脆弱性を発見した後の、セキュリティ対策までサポートが受けられる。 ・専門的な知識を有していなくても、包括的にセキュリティ対策が行える。 |
| デメリット | ・専門的な知識がないと、万全な診断が行えない。 ・診断の全工程において自己の責任で行う必要がある。 ・有料版購入の勧誘をされる場合がある。 |
・各種費用が発生する。 |
脆弱性診断ツールの導入メリット3つ
脆弱性診断ツールの導入によって期待される導入効果についてここでは紹介します。
自社で簡単にセキュリティ対策が行える
最近では様々なセキュリティ対策を行っている企業が大半であると考えられますが、それでも自社のWebアプリケーションのどの部分に欠陥があるのかを特定することは困難といえます。
その点において、脆弱性診断ツールの導入で脆弱性を発見できれば、その対策案について素早く対策を講じることができるため、社内で必要十分なセキュリティ対策を行うことができます。
コスト削減が見込める
自社の提供するコンテンツのセキュリティ対策について、様々な方法からセキュリティ体制を整えることは確かに一つの策ではあります。しかし、このように様々なツールを導入することでコストもその分かさんでいきます。
この点において、脆弱性診断ツールを導入し脆弱性を発見することができれば、複数のツールやセキュリティ対策が不要となり、コスト削減につながります。
顧客からの信頼を高める
脆弱性診断ツールを導入することで、自社のコンテンツについて第三者的視点から検査を受けることができ、社内では把握できていなかったセキュリティ上の欠陥を発見することができます。
そして、このような万全のセキュリティ対策を行っていることは、顧客に対しても安心感を与えることにつながり、顧客の信頼の獲得やブランドイメージの向上につながります。
脆弱性診断ツール比較22選
日本RA株式会社のWeb Doctorは、SaaS型の診断用ツールを利用したWebサイトの自動脆弱性診断サービスです。インターネット経由で疑似攻撃を行う形で診断します。Web サーバーへのアプリケーションのインストールや、専用ハードの設置などは一切不要で、簡単なお申し込みだけですぐに始められるのが特長です。診断開始から3~5営業日で診断レポートを提出するので、スピーディに現状を把握することができます。
- 経済産業省が定めた、情報セキュリティサービス台帳の認可サービス
- 豊富な診断実績に加え、ツールによる自動診断で低コスト
- お問い合わせから診断まで丁寧なフローでサポート
| ソフト種別 | クラウド型ソフト |
|---|---|
| 基本的な機能 | オープンリダイレクタ クロスサイトスクリプティング サーバ設定 HttpOnly属性が付与されていないCookieの利用 Webアプリケーション診断 アプリケーションエラーの開示 X-Frame-Optionsヘッダの未設定 X-Content-Type-Optionsヘッダの未設定 SQLインジェクション プラットフォーム診断 ヘッダインジェクション デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | 電話 メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社スリーシェイクのSecurify Scan(セキュリファイ スキャン)は、URLだけで簡単にWebセキュリティ対策が行える脆弱性診断ツールです。Securify Scanはシンプルで操作性の高いUIと充実した診断項目、わかりやすいレポートによって、脆弱性対応の継続的なサイクルを生み出します。Securify Scanは多数の診断項目に対応しています。セキュリティチェックにおいて重要な多数の項目を、高い精度で何度でも診断できます。また専門家によるセキュリティ対策最前線の知見を取り込み、診断機能を常時アップデートしています。
- 最新のセキュリティ知見で診断機能をアップデート
- DevSecOpsへの取り組みをサポート
- シンプルで直感的な操作が可能なインターフェースと、詳細なレポート
| ソフト種別 | クラウド型ソフト |
|---|---|
| 基本的な機能 | オープンリダイレクタ クロスサイトスクリプティング Webアプリケーション診断 URL設定 SQLインジェクション ヘッダインジェクション ドメイン設定 |
| 推奨環境 | PCブラウザ |
| サポート | メール |
| トライアル | 有り |
| 最低利用期間 | 最低利用期間の制限なし |
この製品の導入事例掲載数2件
この製品の導入事例を見る
OWASPのOWASP ZAPは、オープンソースのWebアプリケーション脆弱性診断ツールです。OWASPは「Open Web Application Security Project(国際ウェブセキュリティ標準機構)」の略で、非営利団体としてWeb アプリケーションのセキュリティに関する研究や、ガイドラインの作成などの活動を行っている、セキュリティ業界のデファクトスタンダードとも言える存在です。
- GUIを備え、簡単に診断ができる手軽さを持つ
- 世界基準でありつつ、ドメスティックな情報交換も可能
- 練習用のWebアプリケーションで理解を深められる
| ソフト種別 | パッケージ型ソフト |
|---|---|
| 基本的な機能 | オープンリダイレクタ オートコンプリート機能有効化 X-Frame-Optionsヘッダの未設定 X-Content-Type-Optionsヘッダの未設定 アプリケーションエラーの開示 クロスサイトスクリプティング サーバ設定 クラウド診断 HttpOnly属性が付与されていないCookieの利用 SSL設定 SQLインジェクション URL設定 Webアプリケーション診断 ドメイン設定 プラットフォーム診断 ヘッダインジェクション スマホアプリ(iOS・Android)診断 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | チャット |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社信興テクノミストのABURIDA(アブリダ)は、ツールで脆弱性の可能性を洗い出し、手作業で精査するハイブリッドな脆弱性診断サービスです。「OWASP Top 10: 2021」やIPA(情報処理推進機構)の「安全なウェブサイトの作り方」・「セキュアプログラミング講座」など業界標準に準拠し診断項目を定めており、高い信頼性があります。また、日々変化する脅威の動向も把握し、最新のセキュリティにも対応しています。
- 最新攻撃に対応したツールと、手作業によるハイブリッドな診断
- セキュリティ品質を確保するための盤石な体制
- 高い技術と、診断後のサポートで顧客に寄り添う
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | オープンリダイレクタ クロスサイトスクリプティング SQLインジェクション SSL設定 Webアプリケーション診断 |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社セキュアスカイ・テクノロジーの脆弱性診断サービスは、システムのセキュリティ上の問題点を攻撃者の視点で診断し、潜在的な脆弱性を検出するサービスです。3つのカテゴリがあり、「Webアプリケーション診断」では診断サーバーを介してインターネット経由で脆弱性診断を実施。「プラットホーム診断」では、サーバやネットワーク機器にある既知の脆弱性をツールを用いて検出します。「ペネトレーションテスト」では独自ノウハウをもとに侵入テストを行います。
- 自社開発の診断ツールを活用した「Webアプリケーション診断」
- リモート診断もオンサイト診断も可能な「プラットホーム診断」
- 実際の攻撃を想定した「ペネトレーションテスト」
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | クロスサイトスクリプティング SSL設定 SQLインジェクション Webアプリケーション診断 ドメイン設定 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社ユービーセキュアのVexは、優れた脆弱性検出率を持つ、純国産のWebアプリケーション脆弱性検査ツールです。 国産のため、導入から運用までのサポートが整っているのが魅力です。事前の知識や経験がなくても安心してスタートできる支援サービスもあります。また、2007年のリリース以来、多くの企業に利用されており、診断チームや各セキュリティベンダーが数千サイトに及ぶ診断実績をフィードバックすることで、常に進化を続けています。
- 多くのセキュリティ専門技術者が認める、脆弱性検出率
- シナリオ作成からレポートまで、実績で磨き上げられた充実のフロー
- 国産ゆえの、導入後も見据えた充実のサポート
| ソフト種別 | パッケージ型ソフト |
|---|---|
| 基本的な機能 | オープンリダイレクタ アプリケーションエラーの開示 クロスサイトスクリプティング サーバ設定 SSL設定 SQLインジェクション URL設定 Webアプリケーション診断 ドメイン設定 ヘッダインジェクション スマホアプリ(iOS・Android)診断 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール チャット |
| トライアル | 有り |
| 最低利用期間 | 最低利用期間の制限なし |
この製品の導入事例掲載数9件
この製品の導入事例を見る
レンジフォース株式会社のReCoVASは、Webサイトに対してリモートでの手軽な診断と、専門スタッフによる手動診断を組み合わせたセキュリティ診断サービスです。遠隔で脆弱性診断を行い、判明した脆弱性や、それに対する適切な対策をまとめたレポートを作成します。レンジフォースでは、セキュリティ人材のトレーニングや、セキュリティに関する研究を行っており、その知見を持った人材が診断を行うので、具体的なフィードバックを提供することが可能です。
- 自動診断ツールと専門スタッフの手動診断を組み合わせる
- 診断実施から報告まで、シンプルなフローで問題が把握できる
- 優秀なセキュリティのスペシャリストによる診断
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | オープンリダイレクタ アプリケーションエラーの開示 クロスサイトスクリプティング サーバ設定 SSL設定 SQLインジェクション Webアプリケーション診断 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社日立ソリューションズ・クリエイトのセキュリティ診断サービスは、ホワイトハッカーによる診断サービスです。ホワイトハッカーによるツールの実行結果の検証や、手動診断を組み合わせることで、詳細なセキュリティ診断が可能です。「ネットワーク型診断サービス」と「Webアプリケーション診断サービス」から成り、多種多様なOS/アプリケーションに対応したサービスを提供します。潜在的な脆弱性を発見し、セキュリティ対策を実施するために有効です。
- 高度な知識を持つホワイトハッカーによる診断
- 高度なセキュリティ診断ツールによる網羅的な診断が可能
- サービス構成は、ネットワーク型診断サービスと、Webアプリケーション診断サービス
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | アプリケーションエラーの開示 クロスサイトスクリプティング SSL設定 SQLインジェクション URL設定 Webアプリケーション診断 ドメイン設定 ヘッダインジェクション デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
富士ソフト株式会社のバックドア検証サービスは、セキュリティ上の大きな脅威となりうるバックドアに被害を未然に防ぐための、IoT機器向けの検証サービスです。使用している製品や機器に対して、ホワイトハッカーがあらゆる可能性から侵入を試みることで、バックドアの有無を調査します。検証により発覚したバックドアに関しては、詳細な再現手段を共有されるので、より確実にセキュリティ対策を行う上で非常に有効なサービスです。
- IoT機器のバックドア検証サービスとして特化
- ハッカーの目線で検証し、対策込みのレポートを提出
- あらゆるセキュリティの脅威に対応する富士ソフトのサービス
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | サーバ設定 |
| 推奨環境 | なし |
| サポート | 電話 メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社アルファネットのセキュリティ診断サービスは、セキュリティスペシャリストが、実際にハッキングで使われる技術と同じ手法を用いてWebサイトやネットワーク機器へ外部ネットワークから擬似攻撃を行い、ハッキング 耐性を診断、報告書に纏める脆弱性診断サービスです。複数の診断ツールを使用することで検出精度を高めることを基本に、さらに独自開発スクリプトや手動診断を取り入れ、ホームページやサーバ/ネットワーク機器に潜む脆弱性を洗い出します。
- 情報セキュリティサービス基準に適合した安心の体制
- 手作業による細部に渡る診断で精度高く検出する
- トリアージして対策を記載した、分かりやすい診断報告書
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | オープンリダイレクタ アプリケーションエラーの開示 クロスサイトスクリプティング HttpOnly属性が付与されていないCookieの利用 SSL設定 SQLインジェクション Webアプリケーション診断 プラットフォーム診断 ヘッダインジェクション スマホアプリ(iOS・Android)診断 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
Tenable, Inc.のNessusは、世界で最も多く導入されているセキュリティ技術の 1 つである脆弱性評価ツールです。セキュリティ担当者の業務内容に対する深い理解に基づき、ゼロから構築されているので、脆弱性評価を分かりやすく、簡単かつ直感的に表します。そのため、評価、優先度付け、問題の修正にかかる時間と労力が削減できます。また、Raspberry Pi を含む多様なプラットフォームに導入が可能で、広い対応範囲を持ちます。
- 精度の高さに定評があり、多くの組織で導入されている
- テンプレートの用意や自動評価など効率化を助ける仕組み
- カバレッジの範囲が広く、日々更新されていく脅威にも対応
| ソフト種別 | パッケージ型ソフト |
|---|---|
| 基本的な機能 | オープンリダイレクタ オートコンプリート機能有効化 X-Frame-Optionsヘッダの未設定 X-Content-Type-Optionsヘッダの未設定 アプリケーションエラーの開示 クロスサイトスクリプティング サーバ設定 クラウド診断 HttpOnly属性が付与されていないCookieの利用 SSL設定 SQLインジェクション URL設定 Webアプリケーション診断 ドメイン設定 プラットフォーム診断 ヘッダインジェクション スマホアプリ(iOS・Android)診断 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | 電話 メール チャット |
| トライアル | 有り |
| 最低利用期間 | 1年 |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
PortSwiggerのBurp Suiteは、Webアプリケーションのセキュリティテストを行うためのセキュリティ診断サービスです。Webサイトやアプリケーションをクローリングして、情報漏洩や不正アクセスなどのセキュリティリスクにを検知することができるため、世界中で利用されています。最先端の研究により、攻撃者が脆弱性を悪用する前に定期的に新しい脆弱性を発見するため、ユーザーはゼロデイ脅威などに対応できるようになります。
- 世界中の16,000を超える組織で信頼されているテクノロジー
- エンジニアに有用な、セキュリティと開発の統合
- Webセキュリティアカデミーでトレーニングが可能
| ソフト種別 | パッケージ型ソフト |
|---|---|
| 基本的な機能 | オープンリダイレクタ アプリケーションエラーの開示 クロスサイトスクリプティング サーバ設定 HttpOnly属性が付与されていないCookieの利用 SQLインジェクション SSL設定 Webアプリケーション診断 URL設定 ヘッダインジェクション ドメイン設定 スマホアプリ(iOS・Android)診断 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール チャット |
| トライアル | 有り |
| 最低利用期間 | 1年 |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社セキュアオンラインのWEBセキュリティ診断くんは、脆弱性を発見して、サイトの安全をサポートする脆弱性診断サービスです。簡単な登録作業で診断を開始できるのが特長で、診断後はサイトに潜むリスクを数値化して表示するので、エンジニアでない方も理解しやすい設計になっています。常に最新の脆弱性に対応し、サイトを診断します。有料プランであれば毎日診断が可能なので、問題発生した場合も迅速な対応が可能になります。
- 初心者にも分かりやすいデザインと、簡単な登録
- 150項目以上の検査項目でリスクをあぶり出す
- 対象Webサイトや人の負担を減らす、毎日のサイト診断を実施
| ソフト種別 | パッケージ型ソフト |
|---|---|
| 基本的な機能 | クラウド診断 オートコンプリート機能有効化 クロスサイトスクリプティング HttpOnly属性が付与されていないCookieの利用 Webアプリケーション診断 SSL設定 アプリケーションエラーの開示 X-Content-Type-Optionsヘッダの未設定 X-Frame-Optionsヘッダの未設定 SQLインジェクション ヘッダインジェクション |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 有り |
| 最低利用期間 | 最低利用期間は1年間(有料版) |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社セキュアイノベーションのセキュリティ脆弱性診断サービスは、Webアプリケーション診断とプラットフォーム診断から成るセキュリティ診断サービスです。ツール診断と手動診断を行い、OWASPといった代表的なセキュリティ団体が掲げる脆弱性項目もカバーしています。また、診断レポートでは、脆弱性の有無やレベルだけではなく、具体的な対処方法までも含め、実際に技術者の方が改善対応に繋げやすい内容を報告します。
- 経済産業省の「情報セキュリティサービス基準」登録事業
- 最新トレンドを組み込む、Webアプリケーション診断
- SOCのノウハウを活かしたプラットフォーム診断
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | サーバ設定 クロスサイトスクリプティング SQLインジェクション Webアプリケーション診断 プラットフォーム診断 |
| 推奨環境 | なし |
| サポート | 電話 メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
三和コムテック株式会社のSCT SECURE クラウドスキャンは、世界中で200万IP以上の診断に利用されている、実績のあるエンジンを使用したクラウド型セキュリティサービスです。定期的な診断が可能で、継続的なセキュリティケアができることが特長です。脆弱性が無いと診断されたサイトに安全証明マークを配信し、そのマークには最終診断日付が表示されるので、最新の診断を受けていることを外部にアピールできます。
- ASV資格を持つ診断エンジンを採用しているので、信頼性が高い
- ポータル画面のダッシュボードで脆弱性を管理
- 毎日の診断で、最新の脆弱性情報に基づいた検査が可能
| ソフト種別 | クラウド型ソフト |
|---|---|
| 基本的な機能 | クラウド診断 クロスサイトスクリプティング サーバ設定 SQLインジェクション SSL設定 Webアプリケーション診断 |
| 推奨環境 | なし |
| サポート | 電話 メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
GMOサイバーセキュリティ byイエラエ株式会社のWebアプリケーション診断は、高精度の診断技術を有するハッカーがWebアプリケーションに内在する脆弱性を検出します。クロスサイトスクリプティングやSQLインジェクション、なりすましなどの脆弱性を検出し、セキュリティリスクの排除に寄与します。診断方法の調整や診断対象の洗い出し支援など、総合的なサポートが可能です。詳細でわかりやすい報告書で状況の把握が容易になります。
- 最新の脆弱性から、一般的な脆弱性まで幅広く診断
- 経験豊かなセキュリティ診断員が診断する屈強な体制
- 詳細な診断報告レポートに、緊急対応の体制も充実
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | クラウド診断 クロスサイトスクリプティング サーバ設定 SQLインジェクション SSL設定 URL設定 Webアプリケーション診断 オープンリダイレクタ アプリケーションエラーの開示 ヘッダインジェクション |
| 推奨環境 | なし |
| サポート | 電話 メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
この製品の導入事例掲載数5件
この製品の導入事例を見る
株式会社レイ・イージス・ジャパンの脆弱性診断は、「AIリモート脆弱性診断」「AIクイック・ツール診断」「モバイルアプリ診断」からなる脆弱性診断サービスです。AIを利用したサイバー攻撃が高度化する中、レイ・イージスが独自に開発したAIエンジン搭載の脆弱性探査ツールを活用して、 効率的なツール診断とベテランのホワイトハッカーである診断エンジニアによる手動診断を組み合わせることで 、脆弱性を高速かつ網羅的に診断します。
- 高速で網羅性の高い「AIリモート脆弱性診断」
- 状況に合わせ「AIクイック・ツール診断」「モバイルアプリケーション診断」の選択も
- 豊富な提供実績と、専任のホワイトハッカーの存在による信頼性
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | クロスサイトスクリプティング スマホアプリ(iOS・Android)診断 SQLインジェクション Webアプリケーション診断 デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
三井物産セキュアディレクション株式会社のWebアプリケーション診断は、セキュリティエンジニアが手動診断と独自ツールを組み合わせて診断・分析を行い、脆弱性を検証するサービスです。Webアプリシステムに対して、疑似攻撃を行い、存在する情報漏えいや改ざんといったリスクを調査します。2001年から他社に先駆けてサービスをスタートして、2017年4月~2020年3月の実績では2,000サイト以上の診断を超えており、その経験と実績が強みです。
- 200以上の脆弱性発見実績を持つ、高い診断力
- 優秀なプロフェッショナルが集うホワイトハッカー集団
- 事前準備段階から周到な、サービス提供フロー
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | クロスサイトスクリプティング SQLインジェクション SSL設定 HttpOnly属性が付与されていないCookieの利用 Webアプリケーション診断 オープンリダイレクタ アプリケーションエラーの開示 ヘッダインジェクション デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
株式会社ユービーセキュアのkomabatoは、開発プロセスにセキュリティテストを組み込むことで、安全で高速な開発プロセスを実現するセキュリティテスティングツールです。開発者にとっての「使いやすさ」を徹底追求し、安全で高速な開発プロセスを実現します。リリース直前でのセキュリティテストは、大幅な手戻りが発生するリスクがあるため、アプリの製造タイミングでもテストを実施する動きがありますが、そのトレンドに対応できるのがこのツールの強みです。
- アジャイル開発に最適なスキャン方式で、ブラウザで簡単操作
- リスクの対処を見据えたトータル管理と、チームのセキュリティ力を高める情報共有
- 多数のWebアプリケーションも横断でまとめて管理
| ソフト種別 | クラウド型ソフト |
|---|---|
| 基本的な機能 | クロスサイトスクリプティング SQLインジェクション |
| 推奨環境 | なし |
| サポート | 電話 メール |
| トライアル | 有り |
| 最低利用期間 | 1年 |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
Vuls(バルス)は、GitHubで提供されているオープンソースの脆弱性スキャナです。脆弱性情報の収集、調査を自動化します。GitHubスターを8,000以上獲得するほどに支持されており、IPA(情報処理推進機構)で脆弱性対策を効果的に行うためのツールとして紹介されるなど、信頼性の高さがあります。フューチャー株式会社提供のFutureVulsなど、スキャンだけでなく、影響調査や対策検討などの管理可能でサポートが受けられるプランもあります。
- 自社状況に合わせた効率的な脆弱性診断が行える
- コンテナの脆弱性診断や日本語への対応が可能
- 検出した脆弱性を、自動でチケット化し管理できるFutureVulsプラン
| ソフト種別 | パッケージ型ソフト |
|---|---|
| 基本的な機能 | オートコンプリート機能有効化 クロスサイトスクリプティング サーバ設定 SQLインジェクション Webアプリケーション診断 ヘッダインジェクション デスクトップアプリ診断 |
| 推奨環境 | なし |
| サポート | チャット |
| トライアル | 有り |
| 最低利用期間 | 1ヵ月 |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
OpenVASは、2006年からドイツのGreenbone Networksに開発支援されている、オープンソースの脆弱性評価スキャナーです。指定したホストの外部・内部からスキャンを実施することで、対象ホストのOSやソフトウェアに既知の脆弱性が含まれているかどうかについて自動でチェックを行い、詳細なレポートを作成します。日々更新が続けられているため、新たに出現する脆弱性に対しても有効なスキャンを行えるのが強みです。
- 自動かつ定期的にセキュリティ診断を行える
- オープンソースなので、コミュニティに情報が集まりやすい
- レポーティング機能やユーザビリティに優れる
| ソフト種別 | パッケージ型ソフト |
|---|---|
| 基本的な機能 | クロスサイトスクリプティング サーバ設定 SQLインジェクション Webアプリケーション診断 オープンリダイレクタ プラットフォーム診断 ヘッダインジェクション デスクトップアプリ診断 ドメイン設定 |
| 推奨環境 | なし |
| サポート | チャット |
| トライアル | 有り |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している業種
- よく導入している企業の規模
この製品の導入事例掲載数0件
この製品の導入事例を見る
NRIセキュアテクノロジーズのNRIセキュアはWebアプリケーションに潜在するセキュリティ上の問題点を発見し、適切な対策の実施を支援します。Webアプリケーションの実装方式、開発言語、利用プラットフォームなどを考慮しさまざまな項目について診断を行い、お客様のビジネスの安全性を脅かす要因への対策が適切に行われているかを診断します。ブラウザを利用するWebアプリケーションだけでなくSOAPを利用したWebサービスへの診断も可能です。
- 担当者のスキル・経験に裏付けられた高い技術力
- 大手金融機関からも認められた実績あるサービス
- 充実した診断のサポートや報告・フィードバックと評価
| ソフト種別 | なし |
|---|---|
| 基本的な機能 | グラスボックス診断 クロスサイトスクリプティング スマホアプリ(iOS・Android)診断 サーバ設定 SQLインジェクション SSL設定 HttpOnly属性が付与されていないCookieの利用 Webアプリケーション診断 オートコンプリート機能有効化 オープンリダイレクタ X-Content-Type-Optionsヘッダの未設定 X-Frame-Optionsヘッダの未設定 アプリケーションエラーの開示 プラットフォーム診断 ヘッダインジェクション |
| 推奨環境 | なし |
| サポート | メール |
| トライアル | 無し |
| 最低利用期間 | 最低利用期間の制限なし |
- よく導入している企業の規模
- 1,001名以上
この製品の導入事例掲載数2件
この製品の導入事例を見る脆弱性診断ツールの3つの種類とその選び方
ここでは脆弱性診断ツールの種類と選び方について詳細に説明します。まず初めに脆弱性診断ツールの種類ですが提供形態という点で大きく3つに分けられます。
脆弱性診断サービス
これは経験豊富なセキュリティ専門の技術者に依頼して、脆弱性を検査してもらうタイプです。ツールによる自動診断と技術者による手動診断を組み合わせて診断を行うため、多少時間を要しますが高精度の脆弱性診断が期待できます。サービス内容によっては検査に加え、今後の具体的な対策案をアドバイスしてくれるものもあります。
コストと時間はかかりますが、個人情報を多く取り扱うECサイトやSNS、または大規模なサービスのリリース前などのタイミングに利用することがおすすめです。
クラウド型脆弱性診断ツール
まずはWeb上から手軽に診断ができるクラウドタイプです。利用手順はシンプルで、クラウドサービス上でアカウントを作成し、脆弱性を診断したいWebサービスのリンクやサーバ情報を登録して詳細さ検査対象を選択するだけです。診断結果などはレポートとして表示されるので、それらを参照して脆弱性が検出された箇所を自分で修正します。
クラウド型の脆弱性診断ツールはWebブラウザ上で気軽にかつ安価(無料)で利用できるため、開発者などが自身で診断を行える点が魅力です。
ソフトウェア型脆弱性診断ツール
次に個々のコンソールにインストールして脆弱性診断を行うソフトウェア型脆弱性診断ツールです。基本的に誰でも使えるオープンソースなのでサポートなどはありません。自社にセキュリティエンジニアが在籍しているような環境で、コストをなるべくかけずに内製化などを考えている方におすすめです。
脆弱性診断ツールの比較ポイント
ここまでの説明で大体の種類、特性、導入メリットなどが理解していただけたかと思います。ここではそれらの情報をもとに製品を選んでいくときの要点をお伝えしていきます。
診断範囲
サービスやツールにより、Webアプリケーション・プラットフォームなど診断可能な範囲は異なります。先ほど診断項目の部分で説明しましたが、自社が「どのような脆弱性を調べたいのか」「検査したい内容を診断項目がカバーしているか」などを十分に検討したうえで製品選定を行いましょう。
診断精度
診断項目・範囲は同じであっても、どの精度で診断を行ってくれるかは製品によってそれぞれ異なります。例えば自動診断ツールと、専門家が手動にて様々なリスクを個別具体的に想定して行う脆弱性診断とでは、診断結果への信頼性は大きく異なります。セキュリティ対策をする際に「特にこの項目をしっかりと検査しておきたい」といった要望がある場合は、その診断項目を一番精査してくれるサービスを選択するとよいでしょう。
診断実績
診断範囲や診断の精度でも製品が絞り切れない場合は、その製品が持つ診断実績をもとに選定を行いましょう。導入事例を参考にすることで、その製品がどのような事象の診断に強いのかなどが傾向として読み取れる場合があります。導入事例やサンプルの報告書などを参考に、自社が提供するサービスの領域により近いものを取り扱う製品を選びましょう。
サポート体制
脆弱性診断を行う上で最も重要なのは脆弱性を見つけ出すことではなく、その診断結果をもとに危険性を回避する為の対策をいち早く講じることです。
社内にセキュリティの専門家がいる場合はコストを抑えて自動診断を行えるクラウド型・ソフトウェア型、社内に対応できるものが居ない場合は診断結果について技術者からのフィードバックやサポートをしっかりと受けられる脆弱性診断サービスを選択するなど、自社の環境に合わせた製品選定を行いましょう。
価格
料金体系は製品によって異なります。中にはWebアプリケーション、スマホアプリ、サーバなど診断項目ごとに料金が発生するものや、脆弱性診断として包括的に診断を行えるものもあります。
導入時期
専門の技術者を伴った大規模な脆弱性診断は主に、システムやサービスの開発後の総合テストの一環で行われることがほとんどです。しかし中には、開発プロセスの中に組み込んで開発者自身が必要に応じて任意のタイミングで利用できるツールもあります。「改修などにより追加された箇所のだけ診断したい」「脆弱性診断と開発を同時に行いたい」などの場合には、ツールなどの利用もおすすめです。
必要な診断項目を明確にし、最適な脆弱性診断ツール選びを
Webアプリケーションなどの脆弱性をいち早く発見し、リスクの回避につなげる脆弱性診断ツールについてその概要から比較・選定の方法まで解説しましたがいかがだったでしょうか。今回紹介したポイントを参考にしていただき、自社に必要な機能や性能を満たした、最適な脆弱性診断ツールを見つけていただければと思います。
