記事更新日: 2020/08/06
今やビジネスを行う中で欠かせないインターネットですが、使用するアプリケーションやシステムに対するサイバー攻撃が後を絶ちません。
そんな状況から、より自社のセキュリティ体制を整えたいとお考えの方もいらっしゃるのではないでしょうか。
そこで今回はセキュリティ診断ツールをご紹介します。
数多くあるセキュリティ診断ツールの中からおすすめの12選をご紹介しますので、ぜひ最後までご覧ください。
このページの目次
セキュリティ診断・脆弱性診断とは、サイバー攻撃を受けやすいアプリケーションやネットワーク等のシステムを調査し、攻撃対象となる箇所を検出したり、情報漏洩等のリスクを回避したりするために行うものです。
画像出典元:「Burp Suite」公式HP
シンプルな使い勝手で、あらゆる組織で使用できるセキュリティ診断ツール、Burp Suite。
10年以上にわたって選ばれ続けてきており、Webセキュリティ調査が行える手動ツールキットもあります。手動ツールキットだけであれば無料で利用できるため、まずはツールを使ってみたいという方にもおすすめです。
・Web脆弱性スキャナー
・定期スキャンと繰り返しスキャン
・無制限の拡張性
・CI統合
・高度な手動ツール
・必須の手動ツール
・Enterprise: $3,999 / 年
・Professional:$399 / 1人 / 年
・Community:無料
画像出典元:「Nessus」公式HP
業界トップの脆弱性評価ソリューションであるNessus。
すべての機能においてシンプルかつ直感的な表記となっているため、脆弱性評価が分かりやすくなっています。
優れた検出精度で防御力は高く、企業の成長や変化に応じて安全に拡大をしていくことも可能です。
・事前設定済みのポリシーとテンプレート
・カスタマイズ可能なレポート
・ライブ結果
・グループ表示
| 1年間 | 2年間 | 3年間 | |
| 費用 | $2,790 | $5,440 | $7,951 |
<拡張サポート付き>
| 1年間 | 2年間 | 3年間 | |
| 費用 | $3,190 | $6,240 | $9,151 |
画像出典元:「Vuls」公式HP
システム内の脆弱性を効率的に可視化し、必要な対応のみに注力できるVuls。
脆弱性対応講習やセキュリティチームの構築支援等、それぞれの会社に合わせたコンサルティングサポートもあります。
・圧倒的な検知能力
・リスクベースでの対応判断
・組織としての脆弱性対策
・導入支援、専門家相談
・Vuls OSS:0円
・FutureVuls standard:4,000円 / 1台 / 月
・FutureVuls CSIRT:300万円 / 100台 / 年
画像出典元:「SiteLock」
自社運営サイトのセキュリティに不安を抱えている会社におすすめです。
WEBサイトの脆弱性を定期的に診断し、自動的にマルウェアを除去してくれるため、手間が掛からず安全にサイト運営が可能です。
普及率の高いWordPressに対応している強みがあり、国内外で1,200万サイトが導入しています。
| エントリー | レギュラー | ビジネス | エンタープライズ | |
| 年間 | 4,200円 | 14,400円 | 40,320円 | 99,600円 |
初期費用は無料です。
プランによって対象ページ数が異なりますが、さらに多くのページの診断を希望する場合も対応可能です。
画像出典元:「セキュリティ・プラス Webアプリケーション診断サービス」
セキュリティ・プラス Webアプリケーション診断サービスは、セキュリティの専門家の視点からWebサイトの構成と構造を診断、潜在的な脆弱性を発見することができます。
セキュリティアドバイスを受け、悪意ある第三者からの攻撃の未然防止に役立つサービスです。
画像出典元:「V-threat」
V-threatはホワイトハッカーによる診断に加え、AIの機械学習により最新の状態で脆弱性を正確に検出したいという企業におすすめのセキュリティ診断ツールです。
国内外のガイドラインをカバーしている品質の高さと多くの実績による豊富なデータ量は、世界各国で高評価を得ています。低コストで正確な脆弱性診断を希望している企業にはおすすめです。
画像出典元:「Vex Webアプリケーション脆弱性検査ツール」
費用やスケジュールに合わせてWebアプリケーションの脆弱性対策をおこないたい企業におすすめのセキュリティ診断ツールです。
国内シェアNo.1を誇るVex Webアプリケーション脆弱性検査ツールは、セキュリティ専門技術者も認める、優れた脆弱性検出率を実現します。
内容ごとの個別見積もりとなっているので、詳細はお問い合わせをする必要があります。
価格例:425,000円~(診断対象5画面程度)
画像出典元:「Lac Webアプリケーション診断」公式HP
Lac Webアプリケーション診断は、8,000を超える団体に導入されている実績のあるツールです。
独自の診断ツール開発により、各種セキュリティ指標に対応しています。
診断結果は報告書にまとめられ、脆弱性を5段階で評価。改善すべき点を明示してくれるので安心です。
1サイト(20画面遷移) 1,000,000円~利用できます。
画像出典元:「Nmap」公式HP
Nmapは、オープンソースのツールです。
セキュリティスキャン機能だけでなく、OS・バージョンを特定する機能、スキャン速度の自動調整機能など、多機能が搭載されています。
公式HPに操作マニュアルが用意されていますが、英語です。HPも素人には分かりにくい内容なので、すでに知識がある方向けのツールだと言えます。
画像出典元:「自診くん」公式HP
自診くんは、利用者自身がパソコンを自己診断できるサービスです。
無料で利用でき、スマホやタブレットも診断の対象ですが、一定時間内に同一アクセスから受けつけるリクエスト数は制限されています。
どのレベルのウィルスにまで対応してくれるのか詳細は不明です。
画像出典元:「Nikto」公式HP
Webサーバーに対して、包括的なテストを実行できるオープンソースツールです。
6700以上の潜在的に危険なファイルやプログラム、1250を超えるサーバーの古いバージョン、270以上のサーバーのバージョンの問題をスキャンできます。
公式HPが英語表記のため、分かりにくいことが難点です。
画像出典元:「OWASP ZAP」公式HP
OWASP ZAPはアメリカの財団によって運用されているオープンソースのアプリスキャナーです。無料で利用できます。
OWASP ZAPをダウンロードして、確認したいWebアプリケーションのURLを入力するだけで脆弱性をチェックできるため、操作は簡単です。
短編の動画で使い方や機能を確認できるようになっていますが、全て英語です。
まずセキュリティ診断ツールを選ぶ際、セキュリティ診断を受ける範囲を明確にする必要があります。
なぜならば、セキュリティ診断を行うのはアプリケーションのみなのか、ネットワーク全体なのかによって、選ぶツールが異なるからです。
自社が求める診断を受ける範囲を明らかにすることで、自ずとツールが選びやすくなります。
次にチェックしたいのが、セキュリティ診断を行う際の診断方法です。
主な診断方法には、ツール診断・手動診断の2種類あります。
ツール診断とは、ツールを使った診断で比較的低コストかつ短時間で行えます。しかし、複雑な構成の診断ができなかったり、詳細なセキュリティチェックが行えなかったりといったデメリットがあります。
一方、手動診断はツール提供会社に所属するエンジニアが直接脆弱性を確認するため、複数のパターンの検証や詳細な箇所までチェックを行えます。しかし、時間がかかるというデメリットがあります。
双方にメリットデメリットがあるので、診断したい対象とあわせてどちらの診断方法が良いかを選ぶ必要があります。
最後にセキュリティ診断ツールを選定する際に確認したい点が、レポートの精度です。
それぞれのツールによって作成してもらえるレポートが大きく異なるため、ツール選定時には欠かせない項目となります。
日本語でレポートを作成してもらえるか、レポートの画面は見やすいか、レポートに掲載されるのはリスクの報告のみなのか、それとも改善提案やその後のサポートまでしてもらえるのか等を必ず事前に確認してください。
セキュリティ診断ツールには、無料のものと有料のものがあります。
無料のツールの場合、コストをかけることなくセキュリティ診断が行える点が大きなメリットですが、専門的な知識を持つ人でなければ使いこなせないというデメリットがあります。
また、無料ツールを使用した後に高額商品の購入が求められるといったケースもあるため、必ずしも安全・安心に利用できるとは言い切れません。
そのため、社内に専門的な知識を持つ社員がいない場合や安全を第一に考えるのであれば、最初から有料のセキュリティ診断ツールの導入を行うことをおすすめします。
今や様々なセキュリティ対策を施している会社がほとんどですが、自社のセキュリティのどこに欠陥があるのかを把握するのは難しいと言えます。
その点セキュリティ診断ツールを導入すると、脆弱性をすぐに把握でき、対応を取ることができるため、簡単にセキュリティ対策を講じられます。
ありとあらゆる方法でセキュリティ体制を整えることが最善策かもしれませんが、様々なツールを使用するとなるとコストもかさんでいきます。
その点、セキュリティ診断ツールで脆弱性を発見できれば、どのような対策を講じれば良いのかをすぐに判断できるため、必要最低限のセキュリティ対策を行えます。
よって、無駄なツールの導入や複数のセキュリティ対策が不要となり、コストの削減にも繋がります。
セキュリティ診断ツールを導入すると、社外からの客観的な視点で自社のセキュリティ対策を見てもらうことができ、社内からは把握しづらいリスクにも気づくことができます。
さらにセキュリティ診断ツールを活用しているということは、きちんとしたセキュリティ体制をとった会社だということを顧客へ示すことにもなります。
セキュリティ診断ツールを導入すると、リスクを回避し、顧客からの信頼を得ることもできるのです。
セキュリティ診断ツールで脆弱性を把握し、対応ができるようにはなりますが、これだけでセキュリティ対策は絶対安心とは言い切れません。
そのため、状況に応じてはその他のツールや対策を講じる必要が出てきます。
自社の現在のセキュリティ対策や問題点を把握したうえで、自社に適したセキュリティ体制を整えましょう。
セキュリティ診断ツールには無料で使用できるツールもありますが、安心して使用するには有料ツールの方がおすすめです。
有料ツールを導入するとなるとコストがかかってしまいますが、その分きちんとしたセキュリティ対策を行えます。
自社の求めるセキュリティ体制を整えるために、必要なコストを割り当てられるよう検討してみてください。
自社の脆弱性を把握でき、きちんとした対応を施せるようになるセキュリティ診断ツール。
自社のセキュリティ体制をより強力にしたいとお考えの方は、ぜひ今回ご紹介したセキュリティ診断ツールの導入を検討してみてください。
画像出典元:O-dan
高いレベルで常に最新の脆弱性を検知対応したいと考える企業に適しています。様々な方面からスキャン結果を確認できるため、大規模システムを管理する企業にもおすすめです。
「Burp Suite」は、WebサイトをクローリングしURLリストの取得や分析、Webサイトやモバイルアプリへリクエストする情報を改ざんし、セキュリティにおける問題点が無いか確認可能な脆弱性診断ツールです。セキュリティ犯罪が増えつつある現代に必要不可欠で便利なサービスです。
複雑なシステムの脆弱性を適切に検知し対応したい、しかしなるべく費用を抑えたいと考える企業に適しています。高機能な脆弱性スキャンエンジンを利用して、新たなサービスやツールを開発したいと考える企業にもおすすめです。
自社運営サイトのセキュリティに不安を抱えている会社におすすめです。WEBサイトの脆弱性を定期的に診断し、自動的にマルウェアを除去してくれるため、手間が掛からず安全にサイト運営が可能です。普及率の高いWordPressに対応している強みがあり、国内外で1,200万サイトが導入しています。
「セキュリティ・プラス Webアプリケーション診断サービス」は、セキュリティの専門家の視点からWebサイトの構成と構造を診断、潜在的な脆弱性を見つけます。セキュリティアドバイスを受け、悪意ある第三者からの攻撃の未然防止に役立つサービスです。
V-threatはホワイトハッカーによる診断に加え、AIの機械学習により最新の状態で脆弱性を正確に検出したいという企業におすすめのセキュリティ診断ツールです。国内外のガイドラインをカバーしている品質の高さと多くの実績による豊富なデータ量は、世界各国で高評価を得ています。低コストで正確な脆弱性診断を希望している企業にはおすすめです。
費用やスケジュールに合わせてWebアプリケーションの脆弱性対策をおこないたい企業におすすめのセキュリティ診断ツールです。国内シェアNo.1を誇る「Vex Webアプリケーション脆弱性検査ツール」は、セキュリティ専門技術者も認める、優れた脆弱性検出率を実現します。
SCT SECUREクラウドスキャンは365日完全自動リモート診断で攻撃者に利用される前に脆弱性を特定し、修正に必要な情報を提供します。アプリケーションのインストールや、ハードの設置などは不要で、ダッシュボードの操作も簡単です。
WebSiteScan(ウェブサイトスキャン)はSaaS型サービスでWebからログイン後、診断・レポート結果まで最短5分で完了します。自動化により作業負担や価格を抑えたセキュリティ診断サービスです。
NTT東日本のWebセキュリティ診断は面倒な設定なく申し込みができて、いつ狙われるかわからないWebサイトの脆弱性や改ざんを定期的に診断できます。診断結果はメールで届き、PDFでの出力も可能です。
