サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

脆弱性診断ツール|無料・有料サービス10選!価格・選び方を比較



プログラムの不具合・欠陥や設計上のミスが原因で発生する脆弱性。
仮に、脆弱性が残った状態でOS・ネットワーク・ソフトウェア・アプリケーションなどを利用し続けた場合、その企業や組織は、不正アクセスを受けたり、マルウェアに感染したりする恐れがあります。

このようなリスクを最小化するためにセキュリティ対策の一つとして行うのが、セキュリティ上の問題点「脆弱性」の有無を診断・特定する脆弱性診断(セキュリティ診断)です。

本記事では、脆弱性診断を行えるツールやサービスを徹底比較しながら、選び方を紹介します。ネットワークからスマホアプリまで、自社の情報資産を守り抜きたい方は必見です。

脆弱性診断(セキュリティ診断)とは?

脆弱性診断(セキュリティ診断)とは、コンピュータやネットワーク、ソフトウェアなどを運用していくために重要な機能を守るため、起こりうるサイバー攻撃を未然に防ぐ目的で行います。

脆弱性診断は一連のセキュリティ対策の最初に行うことが多く、その診断結果に基づいて具体的な改善やセキュリティ対策を実施します。

無料版 or 有料版?脆弱性診断ツール・サービスのメリット・デメリット

脆弱性診断(セキュリティ診断)のツール・サービスは大きく分けて2種類。無料版のツールと有料のサービスとがあります。

無料ツールの場合は、インストールから診断まで、自分自身の責任で実行します。一方、有料サービスの場合は、セキュリティ専門家らの指導やアドバイスを受けながら診断できます。

それぞれのメリットとデメリットは次のとおりです。

無料ツール 有料サービス
メリット コストがかからない
  • セキュリティ専門家の知見が活用できる
  • 診断後のセキュリティ対策についてもアドバイスが受けられる
デメリット
  • 専門知識がないと使いこなせないことが多い
  • 診断から対処まで自身の責任で行わなくてはならない
コストがかかる

無料版 脆弱性診断ツールを比較

無料で使用できる脆弱性診断(セキュリティ診断)ツールを、5つ紹介します。
それぞれ、機能や特長が異なるため、自社のニーズに合致したツールを選びましょう。

OWASP ZAP


URLhttps://www.zaproxy.org/

「OWASP ZAP」は、Webアプリケーションに存在する脆弱性を無料で診断する、オープンソースのツールです。開発したのは、Webアプリケーションのセキュリティに関するガイドやツールを公開している、「OWASP (オワスプ:The Open Web Application Security Project)」。

「OWASP ZAP」は、簡易スキャン・静的スキャン・動的スキャンの3つチェック方法で、Webアプリケーションの脆弱性を診断・検出します。

利用方法参考サイト

Burp Suite


URLhttps://portswigger.net/burp/

「Burp Suite」は、Webアプリケーションに存在する脆弱性を診断します。また、「Burp Suite」には、Burp Suite Enterprise Edition・Burp Suite Professional・Burp Suite Community Editionの3製品ありますが、Webサーバとブラウザ間のデータのやり取りを確認・編集する目的であれば、無料版の「Community Edition」でも可能です。

利用方法参考サイト

Nikto


URLhttps://cirt.net/Nikto2

オープンソースのWebサーバスキャナ「Nikto」は、Webサーバに対してテストを実行することで、古いサーバコンポーネントの有無や、HTTPサーバオプション等のサーバ構成項目をチェックします。その他にも、豊富な機能が搭載されたセキュリティ診断ツールです。

利用方法参考サイト

Nmap


URLhttps://nmap.org/

オープンソースのポートスキャナ「Nmap」は、ポートスキャン機能だけでなく、OSやバージョンの検出、サービスとそのバージョンの検出など、多くの機能を搭載しています。

利用方法参考サイト

Nessus


URLhttps://jp.tenable.com/products/nessus/nessus-professional

「Nessus」は指定したサーバに対しポートスキャンや擬似的なアクセスなどを行い、ネットワークやサーバに存在する脆弱性を調査するツールです。

有料版の「Nessus Pro」にアップグレードすることで、電話やチャットによるサポートが受けられます。

利用方法参考サイト

紹介したツール5つは、いずれも無料で使えるツールですが、診断や結果に対して自分自身で責任を負うリスクがあるため、セキュリティの専門知識がない場合は、次のような有料版サービスの導入をおすすめします。

脆弱性診断(セキュリティ診断)サービスはこう選ぶ

有料版 脆弱性診断ツール・サービス 2パターン

有料版の脆弱性診断は、ツール診断と手動診断とに分類できます。

ツール診断

自動検査ツールなどを用いて、機械的に脆弱性を検査するツール診断が1つ目のパターンです。前述の無料診断ツールのうち、有料でアップグレードした場合などが含まれます。ツールで機械的に検査する点は無料版と同様ですが、有料版では、無料版にない機能が提供されたり、問題が発生した場合のサポートなどが受けられたりします。

手動診断

手動診断(マニュアル診断)は、セキュリティ専門家が検査を行う診断方法です。例えばWebサイト上に存在する脆弱性を洗い出す場合、エンジニアが実際にWebサイトを操作してチェックします。

診断結果が出るまでに時間がかかる一方、診断精度が高く、ツール診断では検知が難しい複雑な欠陥も診断できます。

脆弱性診断サービスの選び方 5つのポイント

有料版の脆弱性診断(セキュリティ診断)サービスを選ぶときのポイントを紹介します。

ポイント1:診断項目を確認

セキュリティ診断サービスで確認できる診断項目は、サービスによって異なります。

  • 機密情報の漏洩防止
  • Webサイトの改ざん防止
  • マルウェア感染の阻止
    など。

自社では診断を通して、どんな問題に対処したいのかを最初に洗い出すことが肝心です。

ポイント2:ツール診断 or 手動診断?

有料版の脆弱性診断は、ツール診断と手動診断とに分類できると説明しました。

どちらのパターンが自社で求める方法に近いかを検討することが、2つ目のポイントです。
例えば、代表的な脆弱性だけを短時間でスキャンしたいという場合は、自動で全体的な問題を見つけられるツール診断で十分でしょう。

一方、ツール診断では発見できないような複雑な脆弱性までも対処したい場合は、手動診断を選ぶべきです。

ポイント3:価格

脆弱性診断(セキュリティ診断)サービスの費用は、数十万円から数百万円までと様々です。

自社のニーズに必要十分かつ、費用対効果の高いサービスを選びます。

ポイント4:診断レポートの質

脆弱性診断(セキュリティ診断)後の結果は、診断レポートを通して知ることになります。
診断レポートが分かりやすいかも重要なポイントとなります。

ポイント5:コンサルティングや相談に応じてくれるか

脆弱性診断(セキュリティ診断)で自社の情報システムの課題が分かったとしても、問題点を改善できなければ意味がありません。
そのためにも、改善後に、問題が本当に解決したのか確認する再診断を提供していたり、セキュリティコンサルタントが相談に応じてくれるサービスを選べば安心です。

有料版 脆弱性診断ツールを比較

有料版の脆弱性診断(セキュリティ診断)ツールを5つ紹介します。

株式会社アルファネット 「セキュリティ診断サービス」


詳細ページhttps://cybersecurity-jp.com/product-service/23231

株式会社アルファネットの「セキュリティ診断サービス」は、ツール診断を取り入れつつ、セキュリティ専門家による手動診断を採用したサービスです。

これにより、より数多くの項目を細部まで診断し、徹底的に脆弱性を洗い出すことを実現しています。

  • 費用:250,000円〜
  • 専門家サポート:

株式会社イエラエセキュリティ「イエラエセキュリティ脆弱性診断サービス」


詳細ページhttps://cybersecurity-jp.com/product-service/security-service/55427

「イエラエセキュリティ脆弱性診断サービス」は、ハッカーの攻撃手法を熟知し、セキュリティ診断業務に特化したホワイトハッカー集団が行うペネトレーションテストが特長。

Webアプリケーション・スマホアプリだけでなく、クラウドやIoTに関する脆弱性診断も対応しています。

  • 費用:初期費用132,000円/件・ネットワーク診断44,000円/1IP~
  • 専門家サポート:

富士ソフト株式会社「バックドア検証サービス」


詳細ページhttps://cybersecurity-jp.com/product-service/computer-system/55162

富士ソフト株式会社の「バックドア検証サービス」は、マルウェアや脅威の侵入口「バックドア」となりうる脆弱性の検出・検証に特化したサービス。

また、脆弱性などの問題を発見した際に発行されるレポートには、検出の事実だけではなく、問題の再現手順や適切な対策までも掲載されます。

  • 費用:個別見積
  • 専門家サポート:

株式会社セキュアイノベーション「セキュリティ脆弱性診断サービス」」


詳細ページhttps://cybersecurity-jp.com/product-service/security-service/security-diagnosis/50146

経産省は、「情報セキュリティサービス基準」を策定しており、一定の技術要件および品質管理要件を満たして、品質の維持・向上に努めているサービスだけが、その審査をパスすることができます。株式会社セキュアイノベーションの「セキュリティ脆弱性診断サービス」は、この情報セキュリティサービス基準を満たした登録済みサービスです。

  • 費用:195,000円 ~
  • 専門家サポート:

株式会社アリス「RayAegis セキュリティ診断サービス」

詳細ページhttps://cybersecurity-jp.com/product-service/security-service/52448

独自のAI技術を組み込んだ自動診断に、ハイレベルなセキュリティエンジニアによる手動診断を組み合わせた、「RayAegisセキュリティ診断サービス」。

台湾トップのセキュリティベンダーによる診断で、安価かつ高品質を実現しています。

  • 費用:280,000円~
  • 専門家サポート:

まとめ

脆弱性診断(セキュリティ診断)ツール・サービスと言っても、自社の事業内容や抱える課題によって、診断すべき項目も用いる手法も異なります。

紹介したサービスの選び方のポイントに沿って、自社のニーズを満たすサービスを選ぶことが重要です。

よくある質問

社内ネットワークを守るには脆弱診断は必要ですか?

必要です。脆弱性を放置すると下記のような損害につながる可能性があります。

  • 機密情報の漏えい・流出
  • 社内システムのダウン
  • Webサイトなどデータの改ざん
  • マルウェア感染

詳しくはこちら

スマホアプリの脆弱性診断もできますか?

できます!まずは選び方からチェックしてみて下さい。詳しくはこちら

脆弱性診断の無料版でも大丈夫ですか?

無料版でも脆弱性診断はできます。ただし、セキュリティの専門知識が必要になり、責任を自分自身で負う事になります。メリット・デメリットをまとめたので、詳しくはこちらを確認して下さい。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。