Menu
Close

脆弱性診断ツールおすすめ30選を徹底比較!無料・有料に分けて紹介

この記事で解説すること

脆弱性診断ツールとは、企業におけるWebサービスなどに対して攻撃者の視点から脆弱性に攻撃し、成功する可能性を検証することで、安全性を診断できるツールの総称です。

自社で利用しているアプリケーションやシステムのセキュリティ対策状況は把握できているでしょうか?もしWebアプリケーションに何らかの情報セキュリティ上の欠陥、いわゆる「脆弱性」が存在し、それに対する十分な対策が為されていないとしたら危険です。脆弱性診断ツールを利用して自社のセキュリティ状況を把握し、適切な対策を行うようにしましょう。

「脆弱性診断ツール/サービス」の製品比較表

※税込と表記されている場合を除き、全て税抜価格を記載しています

  • 製品名
  • 料金プラン
  • プラン名金額
  • 無料トライアル
  • 最低利用期間
  • 基本的な機能
    • プラットフォーム診断
    • X-Content-Type-Optionsヘッダの未設定
    • Webアプリケーション診断
    • デスクトップアプリ診断
    • SSL設定
    • HttpOnly属性が付与されていないCookieの利用
    • ドメイン設定
    • X-Frame-Optionsヘッダの未設定
    • サーバ設定
    • URL設定
    • クラウド診断
    • アプリケーションエラーの開示
    • オートコンプリート機能有効化
    • ヘッダインジェクション
    • オープンリダイレクタ
    • SQLインジェクション
    • クロスサイトスクリプティング
    • グラスボックス診断
    • スマホアプリ(iOS・Android)診断
  • サービス資料
  • 無料ダウンロード
  • ソフト種別
  • サポート
初期費用 無料
月額費用 無料~
手数料 ホワイトハッカーへの報奨金の20%
備考
成果報酬型でご提供しております。
制限なし
IssueHunt バグバウンティの資料サムネイル
なし 
電話 / メール / チャット /
簡易プラン 30万円(税別)
備考
機密情報や個人情報を扱わないサイトの診断をご希望のお客様
標準プラン 98万円(税別)
備考
ログイン認証や個人情報を扱うサイトの診断をご希望のお客様
モバイルアプリ診断 72万円(税別)~
備考
パッケージあたり72万円~
(15画面以下の小規模システムについては別途お問い合わせください)
3か月以内の再診断付き
制限なし
脆弱性診断(株式会社レイ・イージス・ジャパン)の資料サムネイル
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 300,000円
備考
1ライセンス1FQDNの診断の料金です。ページ数制限はありません。
制限なし
Web Doctorの資料サムネイル
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
備考
予算に応じてLight・Standard・Advancedの3つのコースがあります。
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
One Shotプラン お見積り
備考
まずは1サイト診断したい方
Businessプラン お見積り
備考
診断を内製化したい方
15日
クラウド型ソフト 
電話 / メール / チャット /
プロフェッショナル 85,000円
備考
ドメイン数:1~9個
プロフェッショナル 118,400円
備考
ドメイン数:100~199個
プロフェッショナル 160,000円
備考
ドメイン数:1000~2000個
エキスパート 85,000円
備考
ドメイン数:1~9個
エキスパート 118,400円
備考
ドメイン数:100~199個
エキスパート 160,000円
備考
ドメイン数:1000~2000個
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
利用料金 0円
備考
オープンソースのソフトウェアです。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
お試しプラン 90,000円(税込)
備考
1社1回限りです。3リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
スタンダードプラン 440,000円(税込)
備考
10リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
ボリュームプラン 1,408,000円(税込)
備考
50リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
エクスプレス診断 400,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 1,280,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
プラットフォーム診断 250,000円
備考
プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
エクスプレス診断 +プラットフォーム診断 550,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 +プラットフォーム診断 1,430,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
ペネトレーションテスト 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
デベロッパーライセンス 要相談
備考
自社で開発もしくは運営するWebアプリケーションの診断に利用する場合のライセンスです。各販売代理店から購入できます。
オーディターライセンス 要相談
備考
Vexを利用した脆弱性検査サービスを提供する場合には、こちらの契約が必要です。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
新規 300,000円
備考
期間限定で99,000円~にて提供の場合もあります。診断方法は遠隔で、診断対象は25ページまでです。
フォローアップ診断 80,000円
備考
再診断メニューです。本診断のレポート提出後、20日以内までの依頼を対象とします。診断方法は遠隔で、診断対象は該当箇所だけです。
個別対応(ReCoVASプロ) 500,000円~
備考
内容は要相談です。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Webアプリケーション診断(手動) 240,000円~
備考
1リクエストで、報告書を含みます。
スマホWebAPI診断 250,000円~
備考
1リクエスト当たりの料金で、(報告書を含みます。Androidのみの対応となります。
おまかせプラン 要相談
備考
予算等に合わせて対象数を決定いただき、その数を上限にエンジニアが診断対象を選定し、診断を行うサービスです。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
nessus essentials $0
備考
教育関係者や、サイバーセキュリティのキャリアを始めようとしている学生、個人に理想的なサービスです。 IP アドレスを 16 個までスキャン可能です。
nessus professional $3,729/年額
備考
コンサルタント、ペンテスター、セキュリティ担当者向けのサービスです。サブスクリプションでスキャナー単位のライセンスです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン1 $6,995/年額
備考
Burp Suite Enterprise EditionのStarterプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。5の同時スキャンができます。
プラン2 $ 14,480/年額
備考
Burp Suite Enterprise EditionのGrowプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。20の同時スキャンができます。
プラン3 $ 29,450~/年額
備考
Burp Suite Enterprise EditionのAccelerateプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。50以上の同時スキャンができます。
プラン4 $ 399/年額
備考
Burp Suite Professionalです。主要なWebセキュリティおよび侵入テストツールキットです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
無料診断 0円
備考
診断回数1回、リスク件数のみ表示です。
ライトプラン 10,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
スタンダードプラン 17,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,000ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
ビジネスプラン 24,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
エンタープライズプラン 要相談
備考
診断ページ数 は1,501ページ以上です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
最低利用期間は1年間(有料版)
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
要相談 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
要相談 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
ベーシックプラン 49,800円/月額
備考
1アプリケーションあたりの料金。手軽に続けられる高コストパフォーマンスプランです。
1年
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Vuls OSS 0円
備考
脆弱性をスキャンします。
FutureVuls standard 4,000円/月額
備考
脆弱性を管理します。1台の料金です。
複数システムの脆弱性を横断管理 要相談
備考
複数システムの脆弱性を横断管理します。最小100台からのプランです。
1ヵ月
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 0円
備考
オープンソースのソフトウェアです。Greenboneのクラウドサービスなどの料金はお問い合わせください。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問合わせの後個別見積
制限なし
なし 
電話 / メール / チャット /

価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!

目次

脆弱性診断ツールとは

脆弱性診断ツールとは、サイバー攻撃を受けやすいWebシステムに対してスキャンや模擬攻撃などを行い、そのシステムにセキュリティ上の欠陥がないかを診断することのできるサービスです。時代の変化に合わせて、脆弱性診断ツールの必要性が高まっている現状があります。セキュリティレベルを高めて、安全にサービスを提供できる環境を構築しましょう。

脆弱性診断ツールで防げる損害とは

これまで自社のWebシステムの脆弱性に関しては、開発プロジェクトのチーム内で対処したり、社内の情報セキュリティ部門が調査したり、セキュリティ製品を購入したりなど、自社で安全性の確保を完結させるというのが定石でした。

しかし最近では、セキュリティ人材の不足や時代とともに進化するシステムの複雑化により、セキュリティ対策を社内で完結させることがおよそ困難になってきているといえるでしょう。脆弱性診断ツールによって防げる損害としては以下のようなものがあり、これらの被害を未然に防ぐために、脆弱性診断ツールの需要が高まっていると考えられます。

  • 顧客情報の漏洩
  • 顧客の遺失利益に対する補填・賠償
  • 自社ECサイトの停止による売上機会の損失
  • ブランドイメージの棄損

なぜ脆弱性診断ツールが必要なのか?

情報セキュリティの基本要素としては、機密性・完全性・可用性の3要素が挙げられます。これら3要素を確保するために利用するべきツールが脆弱性診断ツールです。利用するメリットは、「サイト改ざん・情報漏洩・なりすましなどの危険性をあらかじめ排除できる」「セキュリティ対策の一元化により無駄なコストをかけずに効率的に対策ができる」「セキュリティ向上による顧客からの信頼獲得」の大きく3つに分けられます。よって、脆弱性診断ツールの導入を検討する際には、以下の事象が導入目的として想定されるでしょう。

  • 現在提供している既存のWebサービスのセキュリティレベルを調べたい
  • 新たに開発したアプリケーションの脆弱性を確認したい
  • サービスの拡張に伴ってセキュリティレベルを上げたい

ここまでで脆弱性診断ツールの必要性について理解していただけたのではないでしょうか。今回はそれぞれの導入目的に合った脆弱性診断ツールを利用していただくため、サービスの特徴やポイントについて詳しく解説します。

脆弱性診断ツールの3つの種類とその特徴

ここでは脆弱性診断ツールの種類と選び方について詳細に説明します。まず初めに脆弱性診断ツールの種類は、提供形態という点で大きく3つに分けられます。

  1. 脆弱性診断サービス
  2. クラウド型脆弱性診断ツール
  3. ソフトウェア型脆弱性診断ツール

1.脆弱性診断サービス

脆弱性診断サービスとは、経験豊富なセキュリティ専門の技術者に依頼して、脆弱性を検査してもらう形のものです。ツールによる自動診断と技術者による手動診断を組み合わせて診断を行うため、多少時間を要しますが高精度の脆弱性診断が期待できるでしょう。サービス内容によっては検査に加え、今後の具体的な対策案をアドバイスしてくれるものもあります。

コストと時間はかかりますが、個人情報を多く取り扱うECサイトやSNS、または大規模なサービスのリリース前などのタイミングに利用することをおすすめします。

2.クラウド型脆弱性診断ツール

クラウド型脆弱性診断ツールとは、Web上から手軽に診断ができるクラウドタイプのツールです。利用手順はシンプルで、クラウドサービス上でアカウントを作成し、脆弱性を診断したいWebサービスのリンクやサーバ情報を登録して検査対象を選択するだけで利用できます。診断結果などはレポートとして表示されるので、それらを参照して脆弱性が検出された箇所を自分で修正する仕組みです。

クラウド型の脆弱性診断ツールはWebブラウザ上で気軽に安価(無料)で利用でき、開発者などが自身で診断を行える点が魅力といえます。

3.ソフトウェア型脆弱性診断ツール

ソフトウェア型脆弱性診断ツールとは、個々のコンソールにインストールして自動検知ツールなどから脆弱性診断を行うツールのことです。手動で行うと膨大な時間や手間がかかる作業を自動で行うことができますが、手動に比べると柔軟性には欠けるので細かな診断を行うのは難しいといえます。

基本的に誰でも使えるオープンソースなのでサポートなどはありません。自社にセキュリティエンジニアが在籍しているような環境で、コストをなるべくかけずに内製化などを考えている方におすすめです。

脆弱性診断ツールの無料版・有料版のサービスの違い


脆弱性診断ツールには無料で利用できるものと、有料のものとがあります。無料版の脆弱性診断ツールについて、果たして皆さんの想定している利用形態に適したものなのか、問題点や利用シーンなどから検討してみると良いでしょう。

無料版・有料版のシーン別活用法

ここまでで無料版脆弱性診断ツールの中には、ユーザーを不用意にあおり、欺罔行為を行って高額の製品を購入させるといった悪質なものも少なからず存在することを説明しました。しかし、すべてが上記のような悪質なものばかりではなく、実績があり利用者も多数存在しているフリーツールも存在します。

そこで本項目では、無料版・有料版のそれぞれに適した利用シーンを解説しますので、皆さんの想定している利用シーンに適したものはどちらなのか参考にしてみてください。

「無料版」活用シーン

無料版の脆弱性診断ツールの活用シーンとしては、以下が挙げられます。

  1. 取り扱っている個人情報が比較的少ない場合
  2. すでにローンチされたサービスで新しく追加した機能のみを診断するなど診断範囲が狭い場合

「有料版」活用シーン

有料版の脆弱性診断ツールの活用シーンとしては以下が挙げられます。

  1. 取り扱っている個人情報が比較的多い場合
  2. 重要度の高い大規模なサービスのローンチ前のセキュリティ診断時

精度が高くセキュリティ面でも信頼度の高い脆弱性診断ツールを求めている場合は、有料版の利用をお勧めします。

また有料版製品では、無料版に対してサポート体制が厚く専門的な知識を有していなくても包括的にセキュリティ対策を行えます。そのためコストをかけてでも確実にセキュリティ対策を行いたい方や初心者の方が利用する場合には、有料の脆弱性診断ツールの導入が確実です。

以上のように、診断にかけるサービスの規模や取り扱っている情報の量などによって使い分けていただくことで、より効果的な脆弱性診断が期待できます。

無料版 有料版
メリット ・初期費用やランニングコストが不要で手軽に利用できる。
・有料版導入前の試験的導入として利用できる。
・セキュリティの専門家とコミュニケーションをとることができる。
・脆弱性を発見した後の、セキュリティ対策までサポートが受けられる。
・専門的な知識を有していなくても、包括的にセキュリティ対策が行える。
デメリット ・専門的な知識がないと、万全な診断が行えない。
・診断の全工程において自己の責任で行う必要がある。
・有料版購入の勧誘をされる場合がある。
・各種費用が発生する。

無料版の中には偽の脆弱性診断ツールがあることにも注意!

脆弱性診断を行うには相応の費用が発生するため、無料のツールを利用しコストをかけずに、社内のセキュリティ対策を行えることは無料版の大きなメリットとして挙げられます。しかし、近年ではシステムの高度化が進んでいるため、無料版では専門的な知識を有している人でないと万全なセキュリティ対策を行えない可能性があります。

また、無料版の診断ツールを利用する上での注意点として、「ツール利用後に有料の商品の購入を求められる」といったケースが存在します。具体的には、無料と謳って偽の脆弱性診断を行い、診断を行うと実際はシステム上に問題はなくとも「脆弱性が検出されました。非常に危険な状態です!」などと表示し、高額なセキュリティ製品の購入へ誘導するといったものです。

このように無料版の中には、欺罔行為を行い、金銭を騙し取ろうとするものも少なからず存在するので、その点に関しては慎重に製品選択を行う必要があります。その他の詳しい事例についてはこちらの記事をご参照ください。

安心相談窓口だより:IPA 独立行政法人 情報処理推進機構

以下はIPA(情報処理推進機構)が公表している偽セキュリティソフトの一覧です。
下記のソフトは危険ですのでインストールしないようにしてください。

  • AVASoft Professional Antivirus
  • System Repair
  • System Progressive Protection
  • Live Security Platinum
  • Smart Fortress
  • RegClean Pro

脆弱性診断ツールの診断項目

脆弱性診断には大きく分けて「Webアプリケーション診断」と「プラットフォーム診断」の2種類があります。それぞれの特徴と具体的な診断項目について以下にて紹介します。

Webアプリケーション診断

Webアプリケーション診断は、インターネットブラウザ上で利用する「Webアプリケーション」を診断対象とする機能です。単に「アプリケーション診断」という場合はスマホアプリなども含まれます。主な診断項目として以下の7項目があります。

  1. クロスサイトスクリプティング(XSS)
  2. クロスサイトリクエストフォージェリ(CSRF)
  3. SQLインジェクション
  4. OSコマンドインジェクション
  5. ディレクトリトラバーサル
  6. 強制ブラウジング
  7. 認証機能・アクセス制御の不備

クロスサイトスクリプティング(XSS)

Webサイトの脆弱性につけこんで記述言語であるHTMLに悪意のあるスクリプトを埋め込んで攻撃する手法です。閲覧者のインターネット掲示板やショッピングサイトで特に発生しやすく、Webサイトのリンクやメールに含まれる不正なリンクをクリックすることで、パスワードや個人情報を盗まれるといった被害を受けてしまいます。Webサイトの脆弱性の中で非常に多い割合を占めているもので、対策の必要性が高まっている項目です。

クロスサイトリクエストフォージェリ(CSRF)

攻撃用のWebページを介してシステムに意図しないリクエストを送る攻撃のことです。意図していないリクエストにも関わらず、リクエストを送った側が悪意のある書き込みや犯行予告を行ったとされ誤認逮捕につながることもあります。Webサイトのリンクやメールに含まれる不正なリンクをクリックすることで、意図せず特定のWebサイトへ即座にリクエストが送られてしまうので、リクエスト強要とも呼ばれています。ユーザ側はその時点で何が起きたのかに気づくことはなく、後から被害にあったことを認識するのが特徴です。

SQLインジェクション

SQLはデータベースを操作する言語の名称のこと、インジェクションは注入を意味する単語です。検索ボックスや入力フォームなどに記入する文字列に不正な操作を行うSQL文を第三者が意図的に注入することで、データベース内のデータの消去や改ざん、盗用を図る攻撃のことです。データベースに保存されている個

人情報や機密情報を攻撃者に抜き取られ、法的責任に問われることもあります。

OSコマンドインジェクション

Webサイトに向けて不正な入力を行うことで、Webサーバ側が想定していない動作をさせるサイバー攻撃のことです。ユーザがデータや数値を入力するのに紛れ込ませてOSへの命令文を渡し、命令文を受け取ったWebサーバが誤ってOSに対して攻撃を行ってしまうのです。攻撃者の意のままにサーバ上のデータベースなどを操ることができてしまうので、情報漏洩や改ざん、不正なシステム操作、ウイルス感染などが発生します。

ディレクトリトラバーサル

ファイルを参照する仕組みを悪用し、Webサーバの非公開ファイルにアクセスを行う攻撃のことです。非公開のファイルが保管されているディレクトリ(ファイルをグループ化するためのフォルダ)に「横断(トラバーサル)」し不正にファイルを閲覧することからディレクトリトラバーサルと呼ばれています。ファイルやディレクトリを操作する際に、不正なパスを挿入されることによって意図しないディレクトリやファイルを参照、操作されてしまいます。サーバ上の非公開ファイルを参照されてしまうので、機密情報が漏洩するなどの被害を受ける可能性があります。

強制ブラウジング

一般的なWeb閲覧ではWebブラウザに表示されたリンクをたどって他のページに移動しますが、アドレスバーに直接URLの文字列を入力することで、WEBサイト側が公開していない領域にあるディレクトリやファイル等を表示させる攻撃のことです。管理者しか使用できないメニューを操作されることでページを改ざんされたり、制作側が内部で共有しているデータを不正に抜き取られたりする可能性があります。

認証機能・アクセス制御の不備

ユーザに対して与える権限を制御するための認証機能やアクセス制御を適用する際に不備があると、許可されていない情報が公開されてしまったり、データの変更や破壊が勝手に行われたりすることがあります。個人情報を閲覧する機能にアクセスするにあたって、メールアドレスのみでログインできてしまうWebサイトが脆弱であると届出を受けた例もあります。一般にメールアドレスは他人にも知られる可能性のある情報であると判断できるため、アクセス制御が欠落しているといえるでしょう。

プラットフォーム診断

プラットフォーム診断は、サーバやOS、ネットワーク機器、ミドルウェアを診断対象とする機能です。これらの機器の設定に問題ないかやポートが不必要に開いていないかなど様々な項目を精査していきます。

そしてこのプラットフォーム診断には「リモート診断」「オンサイト診断」の2つの手法が存在します。リモート診断は主に、インターネット経由でネットワーク外部から診断するといった手法です。続いてオンサイト診断は、内部ネットワークから直接的に検査して、システム上の脆弱性や欠陥を発見する手法です。
そして一般的には、これら2つの診断方法を併用することで、脆弱性診断の精度をより高めることができるとされています。主な診断項目としては以下の5項目が挙げられます。

  1. ホスト情報収集
  2. 脆弱性検査
  3. アカウント検査
  4. サービス設定検査
  5. ポートスキャン

ホスト情報収集

動作しているOSやアプリケーションのバナー情報を取得し、プロダクトバージョンなどに欠損がないかを検査。

脆弱性検査

OSやソフトウェアが持っている脆弱性の検査。

アカウント検査

推測可能なアカウントやパスワードが汎用サービスで利用されていないかを検査。

サービス設定検査

不要なディレクトリの公開、サーバの設定に不備がないかなどの検査。

ポートスキャン

サーバやネットワーク機器が利用しているTCP(「Transmission Control Protocol」1対1の信頼性の高い通信を行うためのプロトコル)やUDP(「User Datagram Protocol」データ到達の確認を行わずにデータ送信を行うプロトコル)の検査。

脆弱性診断ツール導入のメリット5つ

ここでは、脆弱性診断ツールの導入によって期待される導入のメリット5つについて紹介します。

  1. 自社で簡単にセキュリティ対策が行える
  2. コスト削減が見込める
  3. 顧客からの信頼を高められる
  4. スピーディに診断ができる
  5. 専門知識がなくても使用できる

1.自社で簡単にセキュリティ対策が行える

最近では様々なセキュリティ対策を行っている企業が大半であると考えられますが、それでも自社のWebアプリケーションのどの部分に欠陥があるのかを特定することは困難といえます。

その点において、脆弱性診断ツールの導入で脆弱性を早い段階で発見することができれば、脆弱性に対して素早く対策を講じることができ、社内で必要十分なセキュリティ対策を行うことができます。

2.コスト削減が見込める

自社の提供するコンテンツのセキュリティ対策について、様々な方法からセキュリティ体制を整えることは確かに一つの策として挙げられます。一方で、様々なツールを導入するとコストもその分かさんでいきます。

この点において、脆弱性診断ツールを導入し脆弱性を発見することができれば、複数のツールやセキュリティ対策が不要となり、コスト削減につながります。

3.顧客からの信頼を高められる

脆弱性診断ツールを導入することで、自社のコンテンツについて第三者的視点から検査を受けることができ、社内では把握できていなかったセキュリティ上の欠陥を発見することができます。

そして、このような万全のセキュリティ対策を行っていることは、顧客に対しても安心感を与えることにつながり、顧客の信頼の獲得やブランドイメージの向上につながります。

4.スピーディに診断ができる

脆弱性診断ツールを社内に導入することで、必要なタイミングでいつでも診断ができるようになります。ツールを実行するだけでスピーディに診断を実行してくれるため、手動で診断を行うより診断時間を圧倒的に短縮することが可能です。

脆弱性が発見されるタイミングが遅れれば遅れるほど、改修するためのコストは膨らんでいきます。できるだけ早い段階で脆弱性を改修するために、脆弱性診断ツールを導入し自社でセキュリティ対策を行うことが非常に有効です。

5.専門知識がなくても利用できる

脆弱性診断ツールの中には、専門的な知識がなくても簡単に操作できるものがあります。画面の見やすさや簡単な操作により、誰でも脆弱性をチェックすることが可能です。

簡単に利用できるツールを導入すればトレーニングの必要もなく、引継ぎも安心して行うことができます。一方で、専門的な人材に向けた操作が難しいツールも多く存在するので、操作性を見極めてツールを選択するようにしましょう。

脆弱性診断ツールの比較ポイント6選


脆弱性診断ツールを比較するなかで重要となるポイントを6つ紹介します。これらの項目を参考にして自社に適した脆弱性診断ツールを選択してみてください。

  • 診断範囲
  • 診断精度
  • 診断実績
  • サポート体制
  • 価格
  • 導入時期

診断範囲

サービスやツールにより、Webアプリケーション・プラットフォームなど診断可能な範囲は異なります。先ほど診断項目の部分で説明しましたが、自社が「どのような脆弱性を調べたいのか」「検査したい内容を診断項目がカバーしているか」などを十分に検討したうえで製品選定を行いましょう。

診断精度

診断項目・範囲は同じであっても、どの精度で診断を行ってくれるかは製品によってそれぞれ異なります。例えば自動診断ツールと、専門家が手動にて様々なリスクを個別具体的に想定して行う脆弱性診断とでは、診断結果への信頼性は大きく異なります。セキュリティ対策をする際に「特にこの項目をしっかりと検査しておきたい」といった要望がある場合は、その診断項目を一番精査してくれるサービスを選択するとよいでしょう。

診断実績

診断範囲や診断の精度でも製品が絞り切れない場合は、その製品が持つ診断実績をもとに選定を行いましょう。導入事例を参考にすることで、その製品がどのような事象の診断に強いのかなどが傾向として読み取れる場合があります。導入事例やサンプルの報告書などを参考に、自社が提供するサービスの領域により近いものを取り扱う製品を選びましょう。

サポート体制

脆弱性診断を行う上で最も重要なのは脆弱性を見つけ出すことではなく、その診断結果をもとに危険性を回避する為の対策をいち早く講じることです。

社内にセキュリティの専門家がいる場合はコストを抑えて自動診断を行えるクラウド型・ソフトウェア型、社内に対応できるものが居ない場合は診断結果について技術者からのフィードバックやサポートをしっかりと受けられる脆弱性診断サービスを選択するなど、自社の環境に合わせた製品選定を行いましょう。

サポートが不安な場合は、情シス業務の外注も検討してみてください。

情シス・ヘルプデスクのアウトソーシング専門【トータルITヘルパー】

価格

料金体系は製品によって異なります。中にはWebアプリケーション、スマホアプリ、サーバなど診断項目ごとに料金が発生するものや、脆弱性診断として包括的に診断を行えるものもあります。価格帯が違うと診断範囲・診断精度・サポート体制が大きく違ってくるので、それぞれのツールの特徴を踏まえて適切な価格帯を検討してみましょう。

導入時期

専門の技術者を伴った大規模な脆弱性診断は主に、システムやサービスの開発後の総合テストの一環で行われることがほとんどです。しかし中には、開発プロセスの中に組み込んで開発者自身が必要に応じて任意のタイミングで利用できるツールもあります。「改修などにより追加された箇所のだけ診断したい」「脆弱性診断と開発を同時に行いたい」などの場合には、ツールなどの利用もおすすめです。

「脆弱性診断ツール/サービス」の製品比較表

※税込と表記されている場合を除き、全て税抜価格を記載しています

  • 製品名
  • 料金プラン
  • プラン名金額
  • 無料トライアル
  • 最低利用期間
  • 基本的な機能
    • プラットフォーム診断
    • X-Content-Type-Optionsヘッダの未設定
    • Webアプリケーション診断
    • デスクトップアプリ診断
    • SSL設定
    • HttpOnly属性が付与されていないCookieの利用
    • ドメイン設定
    • X-Frame-Optionsヘッダの未設定
    • サーバ設定
    • URL設定
    • クラウド診断
    • アプリケーションエラーの開示
    • オートコンプリート機能有効化
    • ヘッダインジェクション
    • オープンリダイレクタ
    • SQLインジェクション
    • クロスサイトスクリプティング
    • グラスボックス診断
    • スマホアプリ(iOS・Android)診断
  • サービス資料
  • 無料ダウンロード
  • ソフト種別
  • サポート
初期費用 無料
月額費用 無料~
手数料 ホワイトハッカーへの報奨金の20%
備考
成果報酬型でご提供しております。
制限なし
IssueHunt バグバウンティの資料サムネイル
なし 
電話 / メール / チャット /
簡易プラン 30万円(税別)
備考
機密情報や個人情報を扱わないサイトの診断をご希望のお客様
標準プラン 98万円(税別)
備考
ログイン認証や個人情報を扱うサイトの診断をご希望のお客様
モバイルアプリ診断 72万円(税別)~
備考
パッケージあたり72万円~
(15画面以下の小規模システムについては別途お問い合わせください)
3か月以内の再診断付き
制限なし
脆弱性診断(株式会社レイ・イージス・ジャパン)の資料サムネイル
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 300,000円
備考
1ライセンス1FQDNの診断の料金です。ページ数制限はありません。
制限なし
Web Doctorの資料サムネイル
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
備考
予算に応じてLight・Standard・Advancedの3つのコースがあります。
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
利用料金 要相談
制限なし
なし 
電話 / メール / チャット /
One Shotプラン お見積り
備考
まずは1サイト診断したい方
Businessプラン お見積り
備考
診断を内製化したい方
15日
クラウド型ソフト 
電話 / メール / チャット /
プロフェッショナル 85,000円
備考
ドメイン数:1~9個
プロフェッショナル 118,400円
備考
ドメイン数:100~199個
プロフェッショナル 160,000円
備考
ドメイン数:1000~2000個
エキスパート 85,000円
備考
ドメイン数:1~9個
エキスパート 118,400円
備考
ドメイン数:100~199個
エキスパート 160,000円
備考
ドメイン数:1000~2000個
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
利用料金 0円
備考
オープンソースのソフトウェアです。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
お試しプラン 90,000円(税込)
備考
1社1回限りです。3リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
スタンダードプラン 440,000円(税込)
備考
10リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
ボリュームプラン 1,408,000円(税込)
備考
50リクエストまで。無料の再診断がありますが、診断結果が「危険度Medium」以上の項目のみとなります。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
エクスプレス診断 400,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 1,280,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
プラットフォーム診断 250,000円
備考
プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
エクスプレス診断 +プラットフォーム診断 550,000円
備考
Webアプリケーション診断は、10リクエストまたは6APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途10万円/回が必要です。再診断は無償です。
エキスパート診断 +プラットフォーム診断 1,430,000円
備考
Webアプリケーション診断は、50リクエストまたは25APIまでです。プラットフォーム診断は、3 IPまたは3FQDNまでです。報告会実施の場合別途15万円/回が必要です。再診断は無償です。
ペネトレーションテスト 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
デベロッパーライセンス 要相談
備考
自社で開発もしくは運営するWebアプリケーションの診断に利用する場合のライセンスです。各販売代理店から購入できます。
オーディターライセンス 要相談
備考
Vexを利用した脆弱性検査サービスを提供する場合には、こちらの契約が必要です。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
新規 300,000円
備考
期間限定で99,000円~にて提供の場合もあります。診断方法は遠隔で、診断対象は25ページまでです。
フォローアップ診断 80,000円
備考
再診断メニューです。本診断のレポート提出後、20日以内までの依頼を対象とします。診断方法は遠隔で、診断対象は該当箇所だけです。
個別対応(ReCoVASプロ) 500,000円~
備考
内容は要相談です。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Webアプリケーション診断(手動) 240,000円~
備考
1リクエストで、報告書を含みます。
スマホWebAPI診断 250,000円~
備考
1リクエスト当たりの料金で、(報告書を含みます。Androidのみの対応となります。
おまかせプラン 要相談
備考
予算等に合わせて対象数を決定いただき、その数を上限にエンジニアが診断対象を選定し、診断を行うサービスです。
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
nessus essentials $0
備考
教育関係者や、サイバーセキュリティのキャリアを始めようとしている学生、個人に理想的なサービスです。 IP アドレスを 16 個までスキャン可能です。
nessus professional $3,729/年額
備考
コンサルタント、ペンテスター、セキュリティ担当者向けのサービスです。サブスクリプションでスキャナー単位のライセンスです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン1 $6,995/年額
備考
Burp Suite Enterprise EditionのStarterプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。5の同時スキャンができます。
プラン2 $ 14,480/年額
備考
Burp Suite Enterprise EditionのGrowプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。20の同時スキャンができます。
プラン3 $ 29,450~/年額
備考
Burp Suite Enterprise EditionのAccelerateプラン。自動化されたスケーラブルなWeb脆弱性スキャンを可能にします。50以上の同時スキャンができます。
プラン4 $ 399/年額
備考
Burp Suite Professionalです。主要なWebセキュリティおよび侵入テストツールキットです。
1年
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
無料診断 0円
備考
診断回数1回、リスク件数のみ表示です。
ライトプラン 10,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
スタンダードプラン 17,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,000ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
ビジネスプラン 24,000円/月額
備考
1ドメインあたりの料金で、診断ページ数 は1,500ページ以下です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
エンタープライズプラン 要相談
備考
診断ページ数 は1,501ページ以上です。毎日診断実施可能で、リスク件数、発生している脆弱性の内容・対策方法の案内があります。
最低利用期間は1年間(有料版)
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
要相談 要相談
制限なし
クラウド型ソフト 
電話 / メール / チャット /
初期費用 要相談
料金 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 要相談
要相談 要相談
制限なし
なし 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
ベーシックプラン 49,800円/月額
備考
1アプリケーションあたりの料金。手軽に続けられる高コストパフォーマンスプランです。
1年
クラウド型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
Vuls OSS 0円
備考
脆弱性をスキャンします。
FutureVuls standard 4,000円/月額
備考
脆弱性を管理します。1台の料金です。
複数システムの脆弱性を横断管理 要相談
備考
複数システムの脆弱性を横断管理します。最小100台からのプランです。
1ヵ月
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 0円
備考
初期費用は発生しません。
プラン 0円
備考
オープンソースのソフトウェアです。Greenboneのクラウドサービスなどの料金はお問い合わせください。
制限なし
パッケージ型ソフト 
電話 / メール / チャット /
初期費用 要相談
備考
問合わせの後個別見積
制限なし
なし 
電話 / メール / チャット /

価格や製品機能など、見やすい一覧表から、気になる製品をまとめてチェック!

無料で利用できる脆弱性診断ツール3選

数ある脆弱性診断ツールの中から、無料で利用できるツールを3つ紹介します。状況や目的に合わせて適切なツールを選択するようにしましょう。

  1. OWASP ZAP
  2. Nessus Essentials
  3. Open VAS

1.OWASP ZAP

世界基準で利用されているオープンソースのWebアプリケーション脆弱性診断ツールです。誰でも使いやすいグラフィカルインターフェースを備えており、簡単に脆弱性を洗い出すことができます。脆弱性診断練習用サイト「OWASP Juice Shop」では、意図的に発生させた脆弱性に対して診断を行うことができ、脆弱性診断の理解を深めることが可能です。

この資料をみてみる
  • 脆弱性の有無に加えて、弱点を示してくれる
  • 誰でも使いやすいグラフィカルインターフェース
  • 世界基準のツールが無料で利用できる

脆弱性の有無に加えて、弱点を示してくれる

脆弱性の有無をチェックするだけでは、どの部分が弱点となっているのか把握できない場合があります。具体的な弱点を示してくれることで、今後強化していくべき部分を明らかにすることが可能です。より有効な対策を行うことで万全なセキュリティ環境を構築することができるでしょう。

誰でも使いやすいグラフィカルインターフェース

グラフィカルインターフェース(GUI)を備えていることで誰でも使いやすいツールとなっています。簡易な脆弱性診断の場合、検索対象とするWebアプリケーションのURLを入力し、実行ボタンをクリックするだけで診断が可能です。Webアプリケーションに疑似的に攻撃することで、脆弱性を洗い出してくれます。

世界基準のツールが無料で利用できる

OWASP ZAPを運営しているのはアメリカにある財団ですが世界各地に支部があり、日本もプロジェクトに参加しているため「OWASP Japan」が存在します。無料でダウンロードすることができるので、コストをかけずに個人のネットショップなどでも利用することが可能です。現在も活動が継続的に行われているので、サイバー攻撃の最新情報を踏まえて脆弱性診断を行ってくれます。

【引用】 https://owasp.org/

2.Nessus Essentials

世界中で3万以上の企業がダウンロードしているNessusの脆弱性診断ツールです。非商用として個人で利用する場合、無料で利用することができます。サイバー・セキュリティのキャリアを始めた学生や専門家向けにデザインされており、脆弱性診断を容易にマスターすることができる製品です。精度が高く、問題を正確かつ迅速に対処することができます。

この資料をみてみる
  • 高いレベルで広範囲の脆弱性をカバー
  • 450個以上のテンプレートによって効率化
  • 世界中での導入実績あり

高いレベルで広範囲の脆弱性をカバー

Nessusの誤検出率はスキャン100万回当たり0.32回と業界最低レベルで、脆弱性を深く広範囲でほぼ発見することができます。毎週100件以上の新しいプラグインを脆弱性の開示から24時間以内に追加するので、迅速な課題解決が実現可能です。

450個以上のテンプレートによって効率化

豊富なテンプレートによって簡単にスキャンを行い、脆弱性のある場所を迅速に把握することができます。検査結果はカテゴリごとにグループ化されているので状況が一目で分かりやすいのも特徴です。テンプレートや自動評価によって効率的に脆弱性に対応しましょう。

世界中での導入実績あり

世界中で3万以上の企業・組織が導入しており、累計ダウンロード数は200万回を突破している実績があります。提供社であるTenableは、ガートナーによって2021年の脆弱性評価の代表ベンダーにも指定されており、信頼のおけるツールであるといえるでしょう。

【引用】https://jp.tenable.com/solutions/vulnerability-assessment

3.OpenVAS

日々情報が更新され続けているオープンソースの脆弱性診断ツールです。45000件以上の診断項目にならって定期的に診断が行われるので、新たな脆弱性に対しても有効な診断を行うことができます。ユーザビリティに優れているので簡単な操作で診断を行い、診断結果に対して脆弱性対策をレポート出力できるので、対策の検討を容易に行うことが可能です。

この資料をみてみる
  • 豊富な診断項目により様々な脆弱性に対応
  • 定期的に診断を行いレポート出力が可能
  • 新しい脆弱性に対して迅速に対応できる

豊富な診断項目により様々な脆弱性に対応

45000件以上という幅広い診断項目を持っているため、ソフトウェアのバグ・欠陥・設定など多くの脆弱性に対応することができます。また、ウェブインタフェースも備わっているので、診断対象にするシステム・診断する項目などを設定して利用することが可能です。

定期的に診断を行いレポート出力が可能

スキャンした診断結果をレポートにして出力する機能が備わっています。定期診断レポートを簡単に作成することができるので、システムに問題がないかどうかを高頻度で明らかにすることが可能です。対象となる脆弱性対策がレポートに記載されているので、状況把握と今後の対策を容易に検討できます。ユーザビリティに優れているので、操作が簡単なのも魅力的です。

新しい脆弱性に対して迅速に対応できる

オープンソースのソフトウェアとして提供されているため、セキュリティの専門家をはじめ世界中から迅速に診断項目が追加されます。脆弱性データベースは日々更新が続けられているため、新たに出現する脆弱性や攻撃パターンに対しても有効なスキャンが可能です。

【引用】https://www.greenbone.net/en/

脆弱性診断ツール比較30選

脆弱性診断ツール/サービス

トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • 経済産業省が定めた、情報セキュリティサービス台帳の認可サービス
  • 豊富な診断実績に加え、ツールによる自動診断で低コスト
  • お問い合わせから診断まで丁寧なフローでサポート

脆弱性診断ツール/サービス

トライアル 無し
サポート メール 

製品のおすすめポイント

  • リソースに不安があっても安心して利用できる
  • コア業務に集中したまま診断実施できる
  • コストメリットに優れた成果報酬型
  • 日本のサイバー空間を安全に
トライアル 無し
サポート メール 

製品のおすすめポイント

  • OWASP Web Security Testing Guide 等世界基準に沿った診断
  • 全世界で320名以上の有資格者が 最適なプランをご提案
  • サービスにご納得いただくため 診断後のサポート機能を充実化
トライアル 無し
サポート メール 

製品のおすすめポイント

  • 情報システム(IT)の脆弱性を診断しセキュリティを守る
  • 制御システム(OT)に対してペネトレーションテストを行う
  • 豊富な診断メニューで状況に適した対策を講じる

脆弱性診断ツール/サービス

トライアル 有り
サポート 電話 

製品のおすすめポイント

  • 総合的なセキュリティー対策を行うサービス
  • Webサイトの改ざんを瞬時に検知し復旧させる
  • 予算に合わせてプランをカスタマイズできる

脆弱性診断ツール/サービス

トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • 世界トップクラスの評価を得ているサービス
  • 品質とスピード、コスト重視を備えたサービス
  • サイバーセキュリティのリーディングカンパニーならではのサポート
トライアル 無し
サポート メール 

製品のおすすめポイント

  • 豊富な経験と実績から培った柔軟な体制へ
  • NECグループならではの最初から最後までの手厚いサポート
  • 安心安全の高品質なサービスづくりの確立を図る
トライアル 無し
サポート メール チャット 

製品のおすすめポイント

  • 幅広いセキュリティ診断方法とプランでニーズに合わせる
  • 実績と技術力から培ったセキュリティ診断サービス
  • プロダクト開発者寄りの支援体制が整っています
トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • お客様のニーズに合わせた診断方法の柔軟なカスタマイズ
  • NTT西日本グループWEBサイトのセキュリティーで培った実績
  • 最初から最後まできめ細かく手厚いサポート体制

脆弱性診断ツール/サービス

トライアル 無し
サポート メール 

製品のおすすめポイント

  • 専門的な知識不要!誰でも始められるセキュリティ診断
  • 診断作業のほとんどを自動化し、効率化を促進
  • 分かりやすいレポートでスムーズなセキュリティ対策に

脆弱性診断ツール/サービス

トライアル 有り
サポート メール 

製品のおすすめポイント

  • サブドメインも自動で検出可能、脆弱性診断へ活用
  • サーバの安全度を数値化し、脆弱性リスクを軽減
  • 忘れられ、放置されたサーバを検知し、把握可能
  • ペンテストにより、システムを深くまで検証
  • 分かりやすい料金体制と低価格な導入コストを

脆弱性診断ツール/サービス

トライアル 無し
サポート チャット 

製品のおすすめポイント

  • ユーザに優しいGUIで簡単に診断ができる手軽さが魅力
  • 世界基準でありつつ、ドメスティックな情報交換も可能
  • 練習用のWebアプリケーションで理解を深められる

脆弱性診断ツール/サービス

トライアル 無し
サポート メール 

製品のおすすめポイント

  • 最新攻撃に対応したツールと、手作業によるハイブリッドな診断
  • セキュリティ品質を確保するための盤石な体制
  • 高い技術と、診断後のサポートで顧客に寄り添う
トライアル 無し
サポート メール 

製品のおすすめポイント

  • 自社開発の診断ツールを活用した「Webアプリケーション診断」
  • リモート診断もオンサイト診断も可能な「プラットホーム診断」
  • 実際の攻撃を想定した「ペネトレーションテスト」

脆弱性診断ツール/サービス

トライアル 有り
サポート メール チャット 

製品のおすすめポイント

  • 多くのセキュリティ専門技術者が認める、脆弱性検出率
  • シナリオ作成からレポートまで、実績で磨き上げられた充実のフロー
  • 国産ゆえの、導入後も見据えた充実のサポート

脆弱性診断ツール/サービス

トライアル 無し
サポート メール 

製品のおすすめポイント

  • 自動診断ツールと専門スタッフの手動診断を組み合わせる
  • 診断実施から報告まで、シンプルなフローで問題が把握できる
  • 優秀なセキュリティのスペシャリストによる診断
トライアル 無し
サポート メール 

製品のおすすめポイント

  • 高度な知識を持つホワイトハッカーによる診断
  • 高度なセキュリティ診断ツールによる網羅的な診断が可能
  • サービス構成は、ネットワーク型診断サービスと、Webアプリケーション診断サービス

脆弱性診断ツール/サービス

トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • IoT機器のバックドア検証サービスとして特化
  • ハッカーの目線で検証し、対策込みのレポートを提出
  • あらゆるセキュリティの脅威に対応する富士ソフトのサービス
トライアル 無し
サポート メール 

製品のおすすめポイント

  • 情報セキュリティサービス基準に適合した安心の体制
  • 手作業による細部に渡る診断で精度高く検出する
  • トリアージして対策を記載した、分かりやすい診断報告書

脆弱性診断ツール/サービス

トライアル 有り
サポート 電話 メール チャット 

製品のおすすめポイント

  • 精度の高さに定評があり、多くの組織で導入されている
  • テンプレートの用意や自動評価など効率化を助ける仕組み
  • カバレッジの範囲が広く、日々更新されていく脅威にも対応

脆弱性診断ツール/サービス

トライアル 有り
サポート メール チャット 

製品のおすすめポイント

  • 世界中の16,000を超える組織で信頼されているテクノロジー
  • エンジニアに有用な、セキュリティと開発の統合
  • Webセキュリティアカデミーでトレーニングが可能

脆弱性診断ツール/サービス

トライアル 有り
サポート メール 

製品のおすすめポイント

  • 初心者にも分かりやすいデザインと、簡単な登録
  • 150項目以上の検査項目でリスクをあぶり出す
  • 対象Webサイトや人の負担を減らす、毎日のサイト診断を実施
トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • 経済産業省の「情報セキュリティサービス基準」登録事業
  • 最新トレンドを組み込む、Webアプリケーション診断
  • SOCのノウハウを活かしたプラットフォーム診断

脆弱性診断ツール/サービス

トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • ASV資格を持つ診断エンジンを採用しているので、信頼性が高い
  • ポータル画面のダッシュボードで脆弱性を管理
  • 毎日の診断で、最新の脆弱性情報に基づいた検査が可能
トライアル 無し
サポート 電話 メール 

製品のおすすめポイント

  • 最新の脆弱性から、一般的な脆弱性まで幅広く診断
  • 経験豊かなセキュリティ診断員が診断する屈強な体制
  • 詳細な診断報告レポートに、緊急対応の体制も充実
トライアル 無し
サポート メール 

製品のおすすめポイント

  • 200以上の脆弱性発見実績を持つ、高い診断力
  • 優秀なプロフェッショナルが集うホワイトハッカー集団
  • 事前準備段階から周到な、サービス提供フロー

脆弱性診断ツール/サービス

トライアル 有り
サポート 電話 メール 

製品のおすすめポイント

  • アジャイル開発に最適なスキャン方式で、ブラウザで簡単操作
  • リスクの対処を見据えたトータル管理と、チームのセキュリティ力を高める情報共有
  • 多数のWebアプリケーションも横断でまとめて管理

脆弱性診断ツール/サービス

トライアル 有り
サポート チャット 

製品のおすすめポイント

  • 自社状況に合わせた効率的な脆弱性診断が行える
  • コンテナの脆弱性診断や日本語への対応が可能
  • 検出した脆弱性を、自動でチケット化し管理できるFutureVulsプラン

脆弱性診断ツール/サービス

トライアル 有り
サポート チャット 

製品のおすすめポイント

  • 自動かつ定期的にセキュリティ診断を行える
  • オープンソースなので、コミュニティに情報が集まりやすい
  • レポーティング機能やユーザビリティに優れる

脆弱性診断ツール/サービス

トライアル 無し
サポート メール 

製品のおすすめポイント

  • 担当者のスキル・経験に裏付けられた高い技術力
  • 大手金融機関からも認められた実績あるサービス
  • 充実した診断のサポートや報告・フィードバックと評価

脆弱性診断ツールの報告形式・対応プロトコル一覧表

製品名 製品ロゴ 報告書形式 対応プロトコル

Web Doctor

PDF
HTML
HTTP
HTTPS

Securify Scan

PDF
CSV
XML
JSON
HTTP
HTTPS

AEGIS-EW(イージスEW)

PDF
HTML
TCP
UDP
ICMP
HTTP
HTTPS
FTP
SSH
SMTP
SNMP
DNS

OWASP ZAP

HTML HTTP
HTTPS

ABURIDA

PDF
HTML
HTTP
HTTPS

脆弱性診断サービス(株式会社セキュアスカイ・テクノロジー)

PDF
HTML
HTTP
HTTPS

Vex

PDF
HTML
HTTP
HTTPS

ReCoVAS

PDF
HTML
HTTP
HTTPS

セキュリティ診断サービス(株式会社日立ソリューションズ・クリエイト)

PDF HTTP
HTTPS

バックドア検証サービス

PDF HTTP
HTTPS

セキュリティ診断サービス(株式会社アルファネット)

PDF
HTML
HTTP
HTTPS

Nessus

PDF
HTML
HTTP
HTTPS
SMTP
FTP
SSH
Telnet
SNMP
SMB
RDP
IMAP

Burp Suite

HTML
XML
JSON
HTTP
HTTPS

WEBセキュリティ診断くん

PDF
HTML
HTTP
HTTPS

セキュリティ脆弱性診断サービス(株式会社セキュアイノベーション)

PDF
HTML
HTTP
HTTPS

SCT SECURE クラウドスキャン

PDF
CSV
XML
JSON
HTTP
HTTPS

Webアプリケーション診断(GMOサイバーセキュリティ byイエラエ株式会社)

PDF HTTP
HTTPS

脆弱性診断(株式会社レイ・イージス・ジャパン)

PDF
HTML
HTTP
HTTPS

Webアプリケーション診断(三井物産セキュアディレクション株式会社)

PDF
HTML
HTTP
HTTPS

komabato

PDF
HTML
HTTP
HTTPS

Vuls

JSON HTTP
HTTPS
FTP
SSH
Telnet
SMTP
LDAP
RDP
Redis
MongoDB
ElasticSearch
PostgreSQL
MySQL
Oracle
MSSQL

OpenVAS

PDF
HTML
HTTP
HTTPS
FTP
SSH
Telnet
SMTP
LDAP
NFS
SNMP
SMB
RDP
PostgreSQL
MySQL
Oracle
MSSQL

NRI SECURE

PDF
HTML
HTTP
HTTPS

認知度が高まる「バグバウンティ」とは?

ここ数年、認知度が非常に高まっているバグバウンティやバグ報奨金制度について知っていますか?バグバウンティ(バグ報奨金制度)とは、世界中のホワイトハッカーが製品やサービスの脆弱性を発見すると、企業側が重要度に応じてハッカーに報酬金を支う仕組みのことです。海外のIT企業や政府機関を中心に浸透しつつあります。

バグバウンティのメリットとは?

外部のハッカーに調査を依頼することに対して危機感を持つ方も多くいるかもしれません。しかし、バグバウンティは最低限の公開情報に対して多数の攻撃者視点からテストを行うことができるシステムであり、安全により多角的な視点で脆弱性の発見が期待できます。外部の専門企業に依頼するよりも固定費として発生するコストを削減することができ、高いコストパフォーマンスでセキュリティ対策を行うことが可能となるでしょう。

バグバウンティを行えるサービス「IssueHunt」


「日本のサイバーセキュリティのレベルを一段階引き上げる」ことをビジョンに掲げ、開発・運用・サポートを全て国内自社で対応しています。欧米では既に一般化しているバグバウンティを国内でも拡大し、日本のサイバー空間を安全にするために日々改善を行っているサービスです。脆弱性の報告への対応も行ってくれるので、社内の人員やリソースに不安がある場合でも安心して利用することができます。

IssueHunt バグバウンティの資料をダウンロード
  • 日本製プラットフォームで安心
  • 基本料金なしの成果報酬型
  • 脆弱性に関する報告の集約による効率化

日本製プラットフォームで安心

開発から運用、サポートといったところまですべて国内の自社対応を行っているプラットフォームです。日本のビジネススタイルに適応した機能を提供することで、日本製バウンディングプラットフォームのリーディングカンパニーを目指しています。急成長しているベンチャー企業から上場企業まで幅広い導入が見られ、今後積極的に利用されるツールだといえるでしょう。

基本料金なしの成果報酬型

企業側が報酬金の支払い対象に設定した脆弱性報告にのみ支払いが発生する仕組みなので、有効な報告が無ければ料金は一切発生しません。初期費用や基本料金もなく利用への壁が低いため、気軽に利用を開始することができます。柔軟なコスト体系により無駄な出費を防ぐことが可能です。

脆弱性に対する報告の集約による効率化

カスタマーサポートやセキュリティチームへの報告、担当者のSNSへの報告などこれまで分散していた窓口を集約することで、効率的に対応することが可能です。報告はダッシュボード内に蓄積され、対応待ちの報告や改善済みの報告を一覧にしてチームで共有することができます。

【引用】https://issuehunt.jp/

必要な診断項目を明確にし、最適な脆弱性診断ツール選びを

Webアプリケーションなどの脆弱性をいち早く発見しリスクの回避につなげる脆弱性診断ツールについて、その概要から比較・選定の方法まで解説してきましたがいかがだったでしょうか。今回紹介したポイントを参考にして、自社に必要な機能や性能を満たした最適な脆弱性診断ツールを見つけていただければと思います。

よくある質問

脆弱性診断ツールを利用する理由は?

脆弱性を適切に対処せずに放置すると、ハッカーやウイルスなどがサーバー上の情報をいつでも盗み出せることになります。このような状態では、サービス上保持している顧客の個人情報が常に漏洩のリスクに晒されることになり、事業の安定的運用に影響を与えることになります。よって、脆弱性診断を定期的に行うことをおすすめいたします。

脆弱性診断ツールを利用する適切なタイミングは?

新規システムなどのローンチ前に診断を実施し、脆弱性の対策を万全にしてからサービスを開始という流れが一般的です。また、運用中に設定の変更やプログラムの一部もしくは全部の改修後にセキュリティー対策としてツールの利用もおすすめです。

脆弱性診断を行う頻度はどれくらい?

おすすめの頻度としては四半期、もしくは半年に一度です。脆弱性に関する情報は毎日アップデートされているため、それに合わせて診断項目も変更されます。よって脆弱性対策はできるだけ最新に近い状態が好ましいです。

このカテゴリーの導入事例

デジタル化の窓口 製品比較表サイドバナー

このカテゴリーの導入事例

おすすめ比較一覧から、
最適な製品をみつける

カテゴリーから、IT製品の比較検索ができます。
1514件の製品から、ソフトウェア・ビジネスツール・クラウドサービス・SaaSなどをご紹介します。

すべてみる