TOP > SaaS > 情報システム > セキュリティ対策強化 > セキュリティ診断ツール
TOP > SaaS > 情報システム > セキュリティ対策強化 > セキュリティ診断ツール
記事更新日: 2024/10/30
今やビジネスを行う中で欠かせないインターネットですが、使用するアプリケーションやシステムに対するサイバー攻撃が後を絶ちません。
そんな状況から、より自社のセキュリティ体制を整えたいとお考えの方もいらっしゃるのではないでしょうか。
そこで今回はセキュリティ診断ツールをご紹介します。
数多くあるセキュリティ診断ツールの中からおすすめの19選をご紹介しますので、ぜひ最後までご覧ください。
おすすめサービスの比較を無料で!
このページの目次
セキュリティ診断・脆弱性診断とは、サイバー攻撃を受けやすいアプリケーションやネットワーク等のシステムを調査し、攻撃対象となる箇所を検出したり、情報漏洩等のリスクを回避したりするために行うものです。
画像出典元:「Burp Suite」公式HP
シンプルな使い勝手で、あらゆる組織で使用できるセキュリティ診断ツール、Burp Suite。
10年以上にわたって選ばれ続けてきており、Webセキュリティ調査が行える手動ツールキットもあります。手動ツールキットだけであれば無料で利用できるため、まずはツールを使ってみたいという方にもおすすめです。
・Web脆弱性スキャナー
・定期スキャンと繰り返しスキャン
・無制限の拡張性
・CI統合
・高度な手動ツール
・必須の手動ツール
・Enterprise: $3,999 / 年
・Professional:$399 / 1人 / 年
・Community:無料
画像出典元:「Nessus」公式HP
業界トップの脆弱性評価ソリューションであるNessus。
すべての機能においてシンプルかつ直感的な表記となっているため、脆弱性評価が分かりやすくなっています。
優れた検出精度で防御力は高く、企業の成長や変化に応じて安全に拡大をしていくことも可能です。
・事前設定済みのポリシーとテンプレート
・カスタマイズ可能なレポート
・ライブ結果
・グループ表示
| 1年間 | 2年間 | 3年間 | |
| 費用 | $2,790 | $5,440 | $7,951 |
<拡張サポート付き>
| 1年間 | 2年間 | 3年間 | |
| 費用 | $3,190 | $6,240 | $9,151 |
画像出典元:「V-threat」公式HP
V-threatはホワイトハッカーによる診断に加え、AIの機械学習により最新の状態で脆弱性を正確に検出したいという企業におすすめのセキュリティ診断ツールです。国内外のガイドラインをカバーしている品質の高さと多くの実績による豊富なデータ量は、世界各国で高評価を得ています。
低コストで正確な脆弱性診断を希望している企業にはおすすめです。
・AI&HUMAN脆弱性診断(immuniweb)
・プラットフォーム診断
・SSL診断
・トレードマーク不正使用診断
料金の詳細については、お問い合わせする必要があります。
画像出典元:「Securify」公式HP
「Securify」は、株式会社スリーシェイクが運営している導入費用0円から始められるワンストップセキュリティ対策ツールです。
「ASM」「Webアプリケーション診断」「SaaS診断」「WordPress診断」の機能を備えています。
簡単な操作でベースラインのセキュリティ品質を向上させ、Webアプリケーションを攻撃者から守ります。
レポート上で修正方法を丁寧に解説してもらえるので、修正から改善まで自社で対応することが可能。
スキャンの時間や回数に制限がなく定額で利用できるところも安心です。
・充実した脆弱性診断項目
・最短3ステップで診断開始
・直感的操作で使いやすいインターフェイス
・視覚的にわかりやすい診断結果
Securifyの詳しい詳細は、問い合わせが必要です。
| ASM |
BASIC ベーシック |
STARTER スターター |
|
| 初期費用 | 0円 | ||
| 年間費用 | 個別見積 | 120万円 | 60万円 |
| WordPress 診断 |
個別見積 | ~10IP | ~5IP |
| Webアプリケーション 診断 |
個別見積 | ~3FQDN | ~1FQDN |
| カスタマー サポート (問い合わせ) |
メール対応 営業日の10:00〜18:00 |
メール対応 営業日の10:00〜18:00 |
メール対応 営業日の10:00〜18:00 |
(税表示なし)
画像出典元:『VALTES』公式HP
「VALTESの脆弱性診断」は、東京海上日動火災保険株式会社が提供しているサイバーリスク保険が利用できる脆弱性診断サービスです。
Webシステムやスマホアプリ、IoT機器の脆弱性診断後、1年間はサーバーリスク保険が無料提供されます。
専門家による手動診断と自動ツールでセキュリティホールを見逃さず、検出された脆弱性への対処法も解説してもらえるのでその後の対応も安心です。
・脆弱性診断自動ツール
・エンジニアによるリモート手動チェック
・クラウド型WAFサービスを提供
・スマホアプリセキュリティ診断
・IoT機器の脆弱性診断
VALTESの脆弱性診断はWebセキュリティ診断、スマホアプリセキュリティ診断、IoTセキュリティ診断で料金が異なります。
Webセキュリティ診断にも3つの料金体系があり、重要事項に絞って診断を行うトライアルプラン、高速で全体のセキュリティ診断を行うクイックプラン、再診断まで充実したサポートが利用できるベーシック診断から選択可能です。
| ベーシック診断 | |||
| エントリープラン | スタンダードプラン | プレミアムプラン | |
| 基本リクエスト数 | 10リクエスト~ | 50リクエスト~ | 75リクエスト~ |
| 基本料金 (税別) |
400,000円~ | 1,280,000円~ | 1,920,000円~ |
| プラットフォーム診断 (税別) |
1LP:100,000円 2LP~:50,000円/LP |
1LP:無料 2LP~:50,000円/LP |
2LP:無料 3LP~:50,000円/LP |
| オプション (税別) |
|
||
| クイック診断 | |||
| 基本料金 (10リクエスト~) (税別) |
200,000円~ | ||
| 追加料金 (税別) |
20,000円/リクエスト | ||
| 報告会 (税別) |
150,000円/回 | ||
| トライアル診断 | |||
| 10リクエスト (税別) |
200,000円 | ||
| 報告会 (税別) |
150,000円/回 | ||
画像出典元:「V-sec」公式HP
「V-sec」は、企業に潜むセキュリティリスクを多面的に分析できるサービスです。
経済産業省の情報セキュリティ監査サービス基準適合サービスの承認を受けており、公的に認められた高品質なサービスのため、安心して利用できます。
自社のセキュリティについて脆弱な部分を正しく把握し、対策計画を策定したい、対策の優先順位を把握したい、といったニーズに応えてくれます。
オプションとなりますが、セキュリティリスクの分析だけでなく、コンサルティングによる対策の実行までも支援可能な点も見逃せません。
料金プランは2種類で、Premiumでは、現場社員へのヒアリングも行うため、ルールが形骸化していないか、等の現場レベルの課題の抽出まで可能です。
また、インシデント発生確率を無料で診断するサービスもあります。
| Standard | Premium | |
| 費用 (税抜) |
550,000円 | 850,000円 |
画像出典元:「株式会社GENZ_脆弱性診断サービス」公式HP
「株式会社GENZ_脆弱性診断サービス」は、稼働中のWEBアプリケーションに対しサイバー攻撃を含む検査をすることで安全性を調査するサービスです。
診断はプロのエンジニアの手動検査と自動診断ツールを使い分けて行います。
また、診断内容はOWASPに完全準拠した診断なので、安心して利用できます。
株式会社GENZ_脆弱性診断サービスでは、アプリケーションに対してとインフラに対して料金プランがあります。
【アプリケーション】
| カテゴリー | 詳細 | 金額 | |
| アプリケーション診断 | アプリケーション診断 フルスペック (フル:ツール&手動) |
基本項目(フルスペック) | 60万円/50 parameter |
| 追加項目(フルスペック) | 12万円/10 parameter | ||
| 報告書作成 | 15万円/1 book |
||
| 改修確認実施 | BUG FIX VERIFICATION |
初期費用に含む | |
| ソースコード診断 |
ソースコードスキャン 行数は実行行と日実行行(コメント、空行)の合計 |
5万行以下 | 150万円/Kstep |
| 10万行以下 | 280万円/Kstep | ||
| 50万行以下 | 450万円/Kstep | ||
| 100万行以下 | 600万円/Kstep | ||
| 報告会 | 15万円/1回 | ||
| 報告書作成 | 50万円/1 book | ||
| 再診断実施 | RETEST |
初回診断費用の60% | |
スマートフォン アプリケーション診断 |
アプリケーション診断 基本診断 (基本:ツール&手動) |
アプリケーション基本診断 | 20万円/File |
| 報告書作成 | 10万円/1 book |
||
| 改修確認実施 | BUG FIX VERIFICATION |
初期費用に含む |
|
(税表示なし)
【インフラ】
| カテゴリー | 詳細 | 金額 | |
ネットワークスキャン診断 |
ツールスキャン診断 |
ツールスキャン |
3万円/1 IP |
| 報告書作成 |
5万円/1 book | ||
| 改修確認実施 |
BUG FIX VERIFICATION |
初期費用に含む |
|
ネットワーク設定診断 |
設定手動確認 |
OS・ミドル設定確認 |
20万円/1 server |
| 報告書作成 |
10万円/1 book |
||
| 改修確認実施 |
BUG FIX VERIFICATION |
初期費用に含む | |
(税表示なし)
画像出典元:「SCT SECURE クラウドスキャン」公式HP
「SCT SECURE クラウドスキャン」は、三和コムテック株式会社が提供するクラウド型セキュリティ診断・脆弱性診断サービスです。
毎日の診断で最新脆弱性をチェックし、PCI DSS ASV認定を受けた診断エンジンで高精度な診断を実現します。
また、ポータルサイトで脆弱を一括管理し、メンテナンス不要のため運用コストを削減してくれます。
導入は年単位のため、事前に自社に適しているかよく相談しておきましょう。
SCT SECURE クラウドスキャンの料金体系は、480,000円~/年となっています。
契約中は何度でも診断可能なので、安心して運用できます。
| 金額 | |
| 初期設定費用(3IP/FQDNまで) | 30,000円 |
| ライセンス(3IP/FQDNまで) | 450,000円 |
(税抜き表示)
SCT SECURE クラウドスキャン 含むセキュリティ診断の資料を一括DL
画像出典元:「yamory」公式HP
「yamory」はビズリーチ社が提供する国産のクラウド型セキュリティ診断ツールです。
ライブラリやフレームワーク、ミドルウェア、OSの脆弱性を一元管理でき、脆弱性対策をしっかりと行えます。
また、「yamory」はエンジニアの業務負担軽減に力を入れているのも特徴です。
脆弱性の対応優先度を自動で判断し、脆弱性診断を自動化できるなど、エンジニアに重宝される機能が充実しています。
料金プランはプロプランが一つ用意されています。
中〜大規模組織向けのサービスで料金はお問い合わせが必要です。
30日間の無料トライアルが用意されているので、使用感を試すためにもまずはお試しで利用してみることをおすすめします。
画像出典元:「Vuls」公式HP
システム内の脆弱性を効率的に可視化し、必要な対応のみに注力できるVuls。
脆弱性対応講習やセキュリティチームの構築支援等、それぞれの会社に合わせたコンサルティングサポートもあります。
・Vuls OSS:0円
・FutureVuls standard:4,000円 / 1台 / 月
・FutureVuls CSIRT:300万円 / 100台 / 年
画像出典元:「SiteLock」
自社運営サイトのセキュリティに不安を抱えている会社におすすめです。
WEBサイトの脆弱性を定期的に診断し、自動的にマルウェアを除去してくれるため、手間が掛からず安全にサイト運営が可能です。
普及率の高いWordPressに対応している強みがあり、国内外で1,200万サイトが導入しています。
| エントリー | レギュラー | ビジネス | エンタープライズ | |
| 年間 | 4,200円 | 14,400円 | 40,320円 | 99,600円 |
初期費用は無料です。
プランによって対象ページ数が異なりますが、さらに多くのページの診断を希望する場合も対応可能です。
画像出典元:「Vex Webアプリケーション脆弱性検査ツール」
Vex Webアプリケーション脆弱性検査ツールは、自動巡回・シナリオマップ機能でシナリオ作成・管理が簡単な「純国産」のWebアプリケーション脆弱性検査ツールです。
ユーザーからのフィードバックをもとに定期的にシグネチャを更新しており、ユーザーニーズに沿った検査機能が充実。
操作方法や検査方法に関するトレーニングやeラーニングによるサポートなど万全なサポート体制となっているので、運用が不安な企業や初めて利用する企業には特におすすめです。
内容ごとの個別見積もりとなっているので、詳細はお問い合わせをする必要があります。
画像出典元:「Lac Webアプリケーション診断」公式HP
Lac Webアプリケーション診断は、8,000を超える団体に導入されている実績のあるツールです。
独自の診断ツール開発により、各種セキュリティ指標に対応しています。
診断結果は報告書にまとめられ、脆弱性を5段階で評価。改善すべき点を明示してくれるので安心です。
1サイト(20画面遷移) 1,000,000円~利用できます。
画像出典元:「Nmap」公式HP
Nmapは、オープンソースのツールです。
セキュリティスキャン機能だけでなく、OS・バージョンを特定する機能、スキャン速度の自動調整機能など、多機能が搭載されています。
公式HPに操作マニュアルが用意されていますが、英語です。HPも素人には分かりにくい内容なので、すでに知識がある方向けのツールだと言えます。
画像出典元:「自診くん」公式HP
自診くんは、利用者自身がパソコンを自己診断できるサービスです。
無料で利用でき、スマホやタブレットも診断の対象ですが、一定時間内に同一アクセスから受けつけるリクエスト数は制限されています。
どのレベルのウィルスにまで対応してくれるのか詳細は不明です。
画像出典元:「Nikto」公式HP
Webサーバーに対して、包括的なテストを実行できるオープンソースツールです。
6700以上の潜在的に危険なファイルやプログラム、1250を超えるサーバーの古いバージョン、270以上のサーバーのバージョンの問題をスキャンできます。
公式HPが英語表記のため、分かりにくいことが難点です。
画像出典元:「OWASP ZAP」公式HP
OWASP ZAPはアメリカの財団によって運用されているオープンソースのアプリスキャナーです。無料で利用できます。
OWASP ZAPをダウンロードして、確認したいWebアプリケーションのURLを入力するだけで脆弱性をチェックできるため、操作は簡単です。
短編の動画で使い方や機能を確認できるようになっていますが、全て英語です。
画像出典元:「SCT SECUREクラウドスキャン」公式HP
「SCT SECURE クラウドスキャン」は、三和コムテック株式会社が提供するクラウド型セキュリティ診断・脆弱性診断サービスです。
毎日の診断で最新脆弱性をチェックし、PCI DSS ASV認定を受けた診断エンジンで高精度な診断を実現します。
また、ポータルサイトで脆弱を一括管理し、メンテナンス不要のため運用コストを削減してくれます。
SCT SECURE クラウドスキャンの料金体系は、480,000円~/年となっています。
契約中は何度でも診断可能なので、安心して運用できます。
| 金額 | |
| 初期設定費用(3IP/FQDNまで) | 30,000円 |
| ライセンス(3IP/FQDNまで) | 450,000円 |
(税抜き表示)
画像出典元:「WebSiteScan」公式HP
WebSiteScan(ウェブサイトスキャン)はSaaS型サービスでWebからログイン後、診断・レポート結果まで最短5分で完了します。
自動化により価格を抑えたセキュリティ診断サービスのため、ページ数の多いサイトでも活用できます。
しかし、サブドメインが異なるURLや開発用のテストサイトがある場合は別ライセンスが必要となります。
年間2回チケットプランが198,000円〜、無制限プランは年間300,000円となっています。
画像出典元:「NTT東日本のWebセキュリティ診断」公式HP
NTT東日本のWebセキュリティ診断は面倒な設定なく申し込みができて、いつ狙われるかわからないWebサイトの脆弱性や改ざんを定期的に診断できます。
診断結果はメールで届き、PDFでの出力も可能。
しかし利用するためには、NTT東日本のフレッツ光、フレッツ・ADSL(いずれもインターネット接続サービス)、電話サービス又はISDNサービスの契約者であることが必要です。
初期費用は無料。
アクセス回線の月額利用料と基本URL(1ドメイン)月額5,000円となり、追加URL(1ドメインごとに)月額4,000円となっています。
まずセキュリティ診断ツールを選ぶ際、セキュリティ診断を受ける範囲を明確にする必要があります。
なぜならば、セキュリティ診断を行うのはアプリケーションのみなのか、ネットワーク全体なのかによって、選ぶツールが異なるからです。
自社が求める診断を受ける範囲を明らかにすることで、自ずとツールが選びやすくなります。
次にチェックしたいのが、セキュリティ診断を行う際の診断方法です。
主な診断方法には、ツール診断・手動診断の2種類あります。
ツール診断とは、ツールを使った診断で比較的低コストかつ短時間で行えます。しかし、複雑な構成の診断ができなかったり、詳細なセキュリティチェックが行えなかったりといったデメリットがあります。
一方、手動診断はツール提供会社に所属するエンジニアが直接脆弱性を確認するため、複数のパターンの検証や詳細な箇所までチェックを行えます。しかし、時間がかかるというデメリットがあります。
双方にメリットデメリットがあるので、診断したい対象とあわせてどちらの診断方法が良いかを選ぶ必要があります。
最後にセキュリティ診断ツールを選定する際に確認したい点が、レポートの精度です。
それぞれのツールによって作成してもらえるレポートが大きく異なるため、ツール選定時には欠かせない項目となります。
日本語でレポートを作成してもらえるか、レポートの画面は見やすいか、レポートに掲載されるのはリスクの報告のみなのか、それとも改善提案やその後のサポートまでしてもらえるのか等を必ず事前に確認してください。
セキュリティ診断ツールには、無料のものと有料のものがあります。
無料のツールの場合、コストをかけることなくセキュリティ診断が行える点が大きなメリットですが、専門的な知識を持つ人でなければ使いこなせないというデメリットがあります。
また、無料ツールを使用した後に高額商品の購入が求められるといったケースもあるため、必ずしも安全・安心に利用できるとは言い切れません。
そのため、社内に専門的な知識を持つ社員がいない場合や安全を第一に考えるのであれば、最初から有料のセキュリティ診断ツールの導入を行うことをおすすめします。
今や様々なセキュリティ対策を施している会社がほとんどですが、自社のセキュリティのどこに欠陥があるのかを把握するのは難しいと言えます。
その点セキュリティ診断ツールを導入すると、脆弱性をすぐに把握でき、対応を取ることができるため、簡単にセキュリティ対策を講じられます。
ありとあらゆる方法でセキュリティ体制を整えることが最善策かもしれませんが、様々なツールを使用するとなるとコストもかさんでいきます。
その点、セキュリティ診断ツールで脆弱性を発見できれば、どのような対策を講じれば良いのかをすぐに判断できるため、必要最低限のセキュリティ対策を行えます。
よって、無駄なツールの導入や複数のセキュリティ対策が不要となり、コストの削減にも繋がります。
セキュリティ診断ツールを導入すると、社外からの客観的な視点で自社のセキュリティ対策を見てもらうことができ、社内からは把握しづらいリスクにも気づくことができます。
さらにセキュリティ診断ツールを活用しているということは、きちんとしたセキュリティ体制をとった会社だということを顧客へ示すことにもなります。
セキュリティ診断ツールを導入すると、リスクを回避し、顧客からの信頼を得ることもできるのです。
セキュリティ診断ツールで脆弱性を把握し、対応ができるようにはなりますが、これだけでセキュリティ対策は絶対安心とは言い切れません。
そのため、状況に応じてはその他のツールや対策を講じる必要が出てきます。
自社の現在のセキュリティ対策や問題点を把握したうえで、自社に適したセキュリティ体制を整えましょう。
セキュリティ診断ツールには無料で使用できるツールもありますが、安心して使用するには有料ツールの方がおすすめです。
有料ツールを導入するとなるとコストがかかってしまいますが、その分きちんとしたセキュリティ対策を行えます。
自社の求めるセキュリティ体制を整えるために、必要なコストを割り当てられるよう検討してみてください。
自社の脆弱性を把握でき、きちんとした対応を施せるようになるセキュリティ診断ツール。
自社のセキュリティ体制をより強力にしたいとお考えの方は、ぜひ今回ご紹介したセキュリティ診断ツールの導入を検討してみてください。
画像出典元:O-dan
