こんにちは。マニュアル作成・ナレッジ共有ツール「NotePM」ブログ編集局です。
ビジネスにおいても、今やIT技術の活用は当たり前のものになってきました。ただ、それに伴いセキュリティが課題になっていることも事実です。セキュリティ対策にはさまざまなものがありますが、具体的な対策を講じる前に、まずは自社システムやWebサイトのどこに問題があるか特定しなければなりません。それに有効な手段が、脆弱性診断サービスです。
そこで今回は、脆弱性診断の意味や必要性、サービスの選び方などを解説した上で、おすすめの脆弱性診断サービスを14選紹介します。
目次
脆弱性診断のおすすめを理解するための基礎知識
ここでは、脆弱性診断の基礎知識として、以下の4つを解説します。
- 脆弱性の意味
- 脆弱性診断の必要性
- 脆弱性診断をすべきタイミング
- 脆弱性診断の項目
それでは、1つずつ解説します。
脆弱性の意味
基礎知識の1つ目は、脆弱性診断の意味です。
脆弱性(セキュリティホール)は、OSやソフトウェアのプログラム・設計ミスに伴う、セキュリティ上の欠陥です。脆弱性があると、不正アクセスなどの標的にされる恐れがあるので、脆弱性診断を行います。脆弱性診断とは、Webサイトやシステムなどに脆弱性が存在しないか、存在する場合はどこにどのような脆弱性があるかを特定するものです。
関連記事:リモートワークで実施すべきセキュリティ対策とは?具体的なトラブル事例も紹介
脆弱性診断の必要性
基礎知識の2つ目は、脆弱性診断の必要性です。
脆弱性診断が必要な理由は、なりすましや情報漏えいなどのセキュリティインシデントを予防するためです。セキュリティインシデントが発生すると、企業経営に大きな影響を与えかねません。その影響を防ぐには、いち早くWebサイトなどの脆弱性を見つけて改善することが重要です。
脆弱性診断をすべきタイミング
基礎知識の3つ目は、脆弱性診断をすべきタイミングです。
脆弱性診断は、季節の変わり目などで定期的な診断を行っておくと、セキュリティを維持しやすくなります。また、新しいアプリケーションのリリースなど、会社に変化が発生するタイミングでも実施したいところです。
関連記事:【2024年版】アンチウイルスソフトおすすめ10選を徹底比較!(無料・有料)
脆弱性診断の項目
基礎知識の4つ目は、脆弱性診断の項目です。ここでは、以下の2つを解説します。
- Webアプリケーション
- プラットフォーム
それでは、1つずつ解説します。
Webアプリケーション
項目の1つ目は、Webアプリケーションです。以下の表にまとめました。
| SQLインジェクション | 不正なSQL文を注入して、データベースを不正操作されないか |
| OSコマンドインジェクション | Webサイトに不正入力をして、予想外の動きが引き起こされないか |
| クロスサイトスクリプティング | WebサイトのHTMLに、悪質なスクリプトを埋め込まれていないか |
| クロスサイトリクエストフォージェリ(CSRF) | 外部の攻撃用Webサイト経由で、不正操作が行われないか |
| サービス設定検査 | 不要ディレクトリ、サーバー設定不備の有無 |
| ディレクトリトラバーサル | 非公開ファイルにアクセスし、ファイルを閲覧・利用されないか |
| 強制ブラウジング | 非公開のディレクトリ・ファイルにアクセスし、コンテンツの改ざんなどがされないか |
| 認証機能・アクセス制御の不備 | Webサイト設計で、セキュリティ対策に不備がないか |
関連記事:認証情報をセキュアに管理しよう!代表的な管理方法について解説
プラットフォーム
項目の2つ目は、プラットフォームです。以下の表にまとめました。
| ホスト情報収集 | OSやアプリケーションの情報収集で、バージョン等に問題ないか確認 |
| ポートスキャン | プロトコル(TCP、UDPなど)の検査 |
| 脆弱性検査 | 既知の脆弱性の有無 |
| サービス設定検査 | 不要ディレクトリ、サーバー設定不備の有無 |
| アカウント検査 | 推測が可能なアカウント・パスワードの有無 |
マニュアル作成・ナレッジ管理が浸透するサービス ⇒「NotePM」
NotePMのPDF資料をダウンロード ⇒ こちらから
脆弱性診断サービスのおすすめ選定ポイント
ここでは、脆弱性診断サービスの選定ポイントとして、以下の5つを解説します。
- 対応可能な診断項目
- 診断精度・信頼性
- 料金
- サポート体制
- 同業種における導入実績
それでは、1つずつ解説します。
対応可能な診断項目
ポイントの1つ目は、対応可能な診断項目です。
自社で求める診断項目を満たしていなければ、意味がありません。そのため、まずは対応可能な診断項目を確認しておきましょう。
診断精度・信頼性
ポイントの2つ目は、診断精度・信頼性です。
診断範囲や診断方法により、診断精度・信頼性は変わってきます。そのため、そのサービスではどうやって脆弱性を診断しているか確認しておきましょう。また、専門性が高い診断員がいると、より診断精度・信頼性が増すでしょう。
料金
ポイントの3つ目は、料金です。
初期費用や月額、さらにはオプション料金を確認し、費用対効果が高いサービスを選びましょう。
サポート体制
ポイントの4つ目は、サポート体制です。
新たなサービスを導入する際には、使い方がわからないなどのトラブルがあるかもしれません。その際には、サポート体制が充実していると安心です。サポート手段や内容、対応可能日時などを確認しましょう。
同業種における導入実績
ポイントの5つ目は、同業種における導入実績です。
同業種における導入実績が豊富であれば、自社の業務でも活用できる可能性が高いと考えられます。また、導入事例からどのような部分の診断に強いか、判断もできるはずです。
脆弱性診断サービスのおすすめ14選
ここでは、おすすめの脆弱性診断サービスとして、以下の14選を紹介します。
- vex
- Webアプリケーション診断
- 脆弱性診断
- AeyeScan
- Webアプリケーション診断
- VAddy
- Web Doctor
- SCT SECURE クラウドスキャン
- Security Scan
- IssueHunt
- FutureVuls
- Open VAS
- セキュリティ脆弱性診断サービス
- OWASP ZAP
それでは、1つずつ紹介します。
関連記事:【2024年版】セキュリティソフトおすすめ8選を徹底比較!
vex
vexは、株式会社ユービーセキュアが提供する脆弱性診断サービスです。多数のセキュリティ技術者が、vexの検出率の高さを評価しています。シナリオ作成機能も充実しており、Webサイトの特性や規模などを考慮し、再現性が高い最適なシナリオ作りをサポートしてくれます。併せて、脆弱性検査項目も豊富な上に、最新の脆弱性に対しても3ヶ月ごとの定期的アップデートや緊急アップデートで対応できます。
vexの特徴
- 継続率97.5%
- ホームページのチャットボットに質問
- 2週間の無料トライアル
URL: https://www.ubsecure.jp/vex
Webアプリケーション診断
Webアプリケーション診断は、NRIセキュアテクノロジーズ株式会社が提供する脆弱性診断サービスです。主要部分は経験豊富な専門家が手作業で診断するため、ユーザーが独自に作成したアプリケーションでも、脆弱性を高確率で見つけ出すことができます。また、診断後は問題点と対策をまとめた報告書を作成するので、参考にしましょう。料金は個別見積なので、まずは問い合わせてみてください。
Webアプリケーション診断の特徴
- 多数の導入事例が参考になる
- セミナーやブログ、メルマガで役立つ情報を発信
- 無料デモあり
URL: https://www.nri-secure.co.jp/service/assessment/web_application
脆弱性診断
脆弱性診断は、株式会社レイ・イージス・ジャパンが提供するWEBアプリケーション診断/脆弱性診断です。全サービスに再診断を標準で提供しているため、新たな脆弱性が発生しても、いち早く対応できるでしょう。また、海外金融・政府系機関でも信頼を得ていることも安心材料です。さらに、ツールのみの診断で標準3営業日、手動診断込みでも標準5営業日と、早く結果が出ることもメリットと言えるでしょう。
脆弱性診断の特徴
- 全世界の300名を超える有資格ホワイトハッカーが従事
- ページ数関係なくFQDN単位で料金計算
- モバイルアプリ診断にも対応
URL: https://va.rayaegis.co.jp/
AeyeScan
AeyeScanは、株式会社エーアイセキュリティラボが提供するクラウド型Webアプリケーション脆弱性検査ツールです。診断ベンダも認める高レベルの検査項目と検出率で、検査を行うため、精度よく脆弱性を見つけ出せます。また、診断業界標準の診断項目と評価基準に基づくレポートは、画面遷移も見やすく、脆弱性の内容や取るべき対策も一目瞭然です。英語のGUIやレポートも作成可能なので、海外で事業を行う企業でも導入を検討してはいかがでしょうか。
AeyeScanの特徴
- クラウド型Webアプリケーション脆弱性検査ツール国内市場シェアNo.1
- 10分間の設定で専門家レベルの診断
- 無料デモを利用可能
Webアプリケーション診断
Webアプリケーション診断は、イエラエ株式会社が提供するクラウド型Web脆弱性診断ツールです。攻撃者目線での擬似攻撃を行い、膨大な実績と経験に基づいて代表的なものから最新のものまで、Webサイトのあらゆる脆弱性を徹底的に洗い出してくれます。また、経験豊かなセキュリティ診断員が診断を行うことも安心です。導入実績も多数紹介されていますので、参考にしてみてください。
Webアプリケーション診断の特徴
- 緊急性が高い脆弱性は速報でお知らせ
- 詳細でわかりやすい報告書
- 1年間の無料自動診断サービスあり
URL: https://gmo-cybersecurity.com/service/web-application/
VAddy
VAddyは、株式会社ビットフォレストが提供するクラウド型Web脆弱性診断ツールです。AI技術でWebアプリケーションの挙動を自動的に監視するため、セキュリティの専門知識がなくとも診断結果を得られます。また、オンラインマニュアルやチャットサポートが充実している上、セキュリティチェックシートにも対応しているため、脆弱性診断を速やかに始められます。
VAddyの特徴
- 多数の導入実績
- オンライン個別相談会実施中
- 7日間の無料トライアル
Web Doctor
Web Doctorは、日本RA株式会社が提供するSaaS型自動診断ツールです。ツールによる自動診断であるため、低コストで診断できます。また、10年以上の診断実績に加え、経済産業省による情報セキュリティサービス台帳の認可サービスである点も、安心できるポイントです。レポートのサンプルはホームページ上で公開されているので、参考にしてみてください。また、Web Doctorをより詳しく知りたい方は、お問合せフォームよりお問い合わせください。
Web Doctorの特徴
- 診断開始〜レポート提出に3~5営業日
- SaaSなので申し込めばすぐに診断可能
- 利用できるページ制限はなし
URL: https://www.nrapki.jp/service/web-doctor/
SCT SECURE クラウドスキャン
SCT SECURE クラウドスキャンは、三和コムテック株式会社が提供するクラウド型セキュリティ・サービスです。SCT SECURE クラウドスキャンを実施した結果、セキュアと判断されたWebサイトには、診断日付を入れた安全証明マークを配信するので、外部にも安全性を証明できます。また、クラウド型なのでアプリケーションのインストールや、機器の用意が不要であることもメリットです。
SCT SECURE クラウドスキャンの特徴
- ASV資格を持つ診断エンジンを採用
- SCT SECUREのポータル画面であらゆるセキュリティ情報を確認
- セキュリティ無料相談会を随時開催
URL: https://product.sct.co.jp/product/security/cloud-scan
Security Scan
Security Scanは、株式会社スリーシェイクが提供するWebアプリケーション脆弱性診断ツールです。ツール自体も直感的操作で使いやすい上、脆弱性の診断結果は、専門知識がなくともわかりやすく整理されています。また、定期スケジュール診断を使えば、定期的に診断もしてくれるのでより確実にセキュリティインシデントを防止できるでしょう。役に立つブログやセミナーも参考にしてみてください。
Security Scanの特徴
- ホームページより資料をダウンロード
- URL登録だけで診断可能
- フリープランあり
URL: https://www.securify.jp/securify-scan
IssueHunt
IssueHuntは、IssueHunt株式会社が提供する脆弱性診断ソフトウェアです。脆弱性報告受付窓口ツールやバグバウンティプラットフォームにより、セキュリティリスクをいち早く知らせてくれます。上場企業や急成長ベンチャーまで、あらゆる業態の企業で実績をあげており、サイバーセキュリティ向上に貢献しています。詳しい実績は、ホームページの導入実績やセミナーなどを参照してください。
IssueHuntの特徴
- 役に立つメールマガジンを配信
- GithubやGoogleでもアカウント作成可能
- 初期費用無料
FutureVuls
FutureVulsは、国産の脆弱性診断ソフトウェアです。20万件以の脆弱性から、関係ある脆弱性を自動抽出して、対応が必要な脆弱性を可視化します。また、検出した脆弱性をチケット化し、対処までステータスを管理できることもメリットです。さらに、脆弱性レポートを、メールやSlackなどで毎日発信してくれるので、異常にいち早く気づいて対応できるはずです。
FutureVulsの特徴
- 官公庁や大手企業にも導入実績多数
- お役立ちブログも役立つ
- ホームページにチュートリアルあり
URL: https://vuls.biz/
Open VAS
Open VASは、Greenbone Networks GmbHが提供するオープンソース脆弱性診断ソフトウェアです。脆弱性スキャナとして作動できるので、自社のセキュリティにおける弱点を発見し、強化すれば一層セキュリティが強固になるでしょう。また、ウェブインタフェースで診断対象・項目を設定できる上、セキュリティレポートもシステム上で作成してくれます。定期レポートを確認し、システムのセキュリティに問題がないか確認しましょう。
Open VASの特徴
- 45,000件以上の診断項目
- オープンソースなので世界中の攻撃パターンを反映させて対策可能
- オープンソースなので無料
URL: https://openvas.org/
セキュリティ脆弱性診断サービス
セキュリティ脆弱性診断サービスは、株式会社セキュアイノベーションが提供する脆弱性診断サービスです。専門スタッフが効率的に脆弱性診断を行ってくれるため、低予算で高品質な脆弱性診断を実現できます。会社が経産省「情報セキュリティサービス基準」登録事業者であることが、サービスのクオリティが高いことを証明しています。また、対処方法まで提案してくれるので、今後のセキュリティ対策立案に際しても安心です。
セキュリティ脆弱性診断サービスの特徴
- 診断実績1500社以上
- 無料相談可能
- 今なら再診断の費用が1回無料
URL: https://www.secure-iv.co.jp/assessment
OWASP ZAP
OWASP ZAPは、Open Web Application Security Projectにて公開されている、オープンソース脆弱性診断ツールです。自分のPCにインストールして、脆弱性診断を実施できます。診断項目は、以下の4つです。
| 簡易スキャン | プロキシ設定をせずにスキャン。プロテクトモード時は使用不可。 |
| 静的スキャン | プロキシ設定後にWebサイトを手動で検査。ユーザーのブラウザ操作に対するレスポンスから脆弱性を評価。 |
| 動的スキャン | プロキシ設定後に、対象のWebサイトを自動検査。対象サイトに自動リクエストを送り、静的スキャンよりも高精度な検査。 |
| スパイダー | 指定Webサイト内をクロールし、関連するURLを自動検出。クローリング時に静的スキャンも実行。 |
OWASP ZAPの特徴
- 日本語化も可能
- 脆弱性は、”High”・”Medium”・”Low”の3レベルで診断
- オープンソースなので無償提供
URL: https://zap.yka.me/#!index.md
マニュアル作成・ナレッジ管理が浸透するサービス ⇒「NotePM」
NotePMのPDF資料をダウンロード ⇒ こちらから
まとめ
今回は、脆弱性診断の意味や必要性、サービスの選び方などを解説した上で、おすすめの脆弱性診断サービスを14選紹介しました。脆弱性(セキュリティホール)はセキュリティ上の欠陥で、不正アクセスなどで標的にされやすい部分です。そのため、脆弱性診断を行い、Webサイトなどで脆弱性のある部分を特定することで、セキュリティ強化を図れます。
脆弱性診断サービスも多数存在していますが、料金や診断可能項目などをもとに候補をあげ、無料トライアルがあればそこで使い勝手を試しましょう。まずは、今回紹介した14選から選んでみてはいかがでしょうか。
NotePM(ノートピーエム) は、Webで簡単にマニュアル作成できて、強力な検索機能でほしい情報をすぐに見つけられるサービスです。さまざまな業界業種に導入されている人気サービスで、大手IT製品レビューサイトでは、とくに『使いやすいさ・導入しやすさ』を高く評価されています。
NotePMの特徴
- マニュアル作成、バージョン管理、社外メンバー共有
- 強力な検索機能。PDFやExcelの中身も全文検索
- 社内FAQ・質問箱・社内ポータルとしても活用できる
- 銀行、大学も導入している高度なセキュリティ。安全に情報共有できる
URL: https://notepm.jp/