会社のWEBサイトやネットワークのセキュリティが大丈夫か心配! という方の多くは、「セキュリティ・脆弱性診断ツール・サービス」の使用を考えますが、実際どのツール・サービスを利用すれば良いかわからない。という方も多いようです。

ある程度知識があれば無料ツールから選んで実施することができますが、しっかりとその情報を知らないと的確なものを選ぶことはできません。

今回はそのようなセキュリティ・脆弱性診断ツール・サービスの概要や選び方、さらには無料ツールや有料サービスの特徴まで。セキュリティ診断の実施を考える際には確実に知っておく必要がある情報を整理しましたので、しっかりとチェックしてください。

セキュリティ・脆弱性診断とは

コンピュータやネットワーク、ソフトウェア等の情報システムを保守・運用していく上で重要な機能に対して、今後行われるだろうサイバー攻撃を様々な観点から考察し、対処する事でセキュリティを高める事を意味します。

情報システムを脅かす脅威は多く存在しており、自社の保有する重要な機密情報や個人情報を外部に流出させる事が無いようにするには、情報システムの脆弱性やセキュリティが堅実なのかを確認しておく必要性があります。

診断の必要性と実施のメリット

脆弱性の一例として挙げられるのが、情報システムのソフトウェアの設計ミスやプログラムコードのミスによって生じる「セキュリティホール」です。

セキュリティホールを放置していると、悪意のあるユーザーによって不正に外部からコンピュータへと不正アクセスを許す可能性があり、不正アクセスを通じて情報システムへの侵入や内部データの改ざん、情報漏洩等の被害を防ぐためにも、セキュリティ・脆弱性診断を通じて、生じる可能性のある問題を未然に防ぐ必要があるのです。

この未然に防ぐことが可能になることが、セ診断を行うことの最大のメリットです。

セキュリティ診断には、ある程度知識があれば無料で利用できるツールのものと、有料になりますが専門家にお任せして調べてもらうサービスが

[無料編]セキュリティ・脆弱性診断ツール

まずは無料のツールを紹介させていただきますが、ここであげるツールは、ある程度知識がないと利用できないものが多いので、エンジニア経験のない人にはあまり向かないかもしれません。

また「何を診断するのか」をしっかりと理解していないと「どのツールを利用すれば良いかもわからない」という状態になってしまうので、あまり知識がないという方は、素直に有料のサービスを利用することをお勧めします。

無料診断ツールでできること比較

ここでは、無料で利用できるツールとしてメジャーなものを5つピックアップしました。
それぞれどのような目的なツールで何ができるのか、概要を把握しておきましょう。

ツール名 対象 特徴
OWASP ZAP webアプリケーション 初心者でも使える、簡単さが魅力
Burp Suite webアプリケーション ローカルProxyを中心に構成
Nikto webアプリケーション
ミドルウェア
辞書ベースで脆弱性診断を行うツール
Nmap ネットワーク 不要なオープンポートからネットワークの脆弱性を発見
Nessus ネットワーク ローカルProxyを中心に構成。リクエストの改ざんテストもOK

無料診断ツール詳細

それでは、上記で整理した無料診断ツールの詳細を見ていきましょう。

OWASP ZAP


URLhttps://www.owasp.org/index.php/Main_Page

「OWASP ZAP」は、オープンソースのWebアプリケーション脆弱性診断ツールで、Webアプリケーションのセキュリティに関するガイドやツールを公開している「OWASP (The Open Web Application Security Project)」が開発

「クロスサイトスクリプティング」「SQLインジェクション」など、WEBアプリケーションの代表的な脆弱性の診断が可能となります。

利用方法参考サイト

Burp Suite


URLhttps://portswigger.net/burp/
「Burp Suite」は、Webサイトへリクエストする情報を改ざんして脆弱性がないか確認したり、WebサイトをクローリングしてURLのリストを取得するなど、Webアプリケーションの脆弱性を診断するツール

利用方法参考サイト

Nikto


URLhttps://cirt.net/Nikto2
「Nikto」はオープンソースのセキュリティ診断ツールで、XSSなどのアプリ上に潜む問題から、ミドルウェアの設定など、多くのセキュリティ上問題となるであろう項目のチェックが可能

利用方法参考サイト

Nmap


URLhttps://nmap.org/
「Nmap」はポートスキャン機能だけでなく、OSやバージョンの検出機能、サービスおよびそのバージョンの検出機能など、多くの機能を兼ね備えている

利用方法参考サイト

Nessus


URLhttp://www.tenable.com/products/nessus-vulnerability-scanner
「Nessus」は指定したサーバに対しポートスキャンや擬似的なアクセスなどを行うことで、サーバに存在する脆弱性を調査するツール

利用方法参考サイト

それぞれ目的も活用方法も異なり、どのようなことが診断できるかも異なります。
あなたが必要としている診断を実施できるツールはありましたか?

上記無料ツールの使い方がよくわからない、無料ツールでは診断したいことが実現できないという方は、ここから整理する有料サービスをご確認ください。

[有料編]セキュリティ・脆弱性診断サービス

診断ツールの種類

厳密にシステムに対する脆弱性を確認したい時は「プラットフォーム診断」と「アプリケーション診断」の2つの手段があることを把握しておきましょう。

プラットフォーム診断

情報システムの土台に対する外部からの脅威を、未然に防ぐための診断です。

主な診断内容
情報システム全体を管理する為のOSやミドルウェアのプラットフォームを中心に、Webサーバやデータベースに至るまでの不正アクセスや情報漏洩等を未然に防ぐため、安全性を徹底的に診断・調査する事

アプリケーション診断

ユーザー側が使用するサービスに対する外部からの脅威を、未然に防ぐための診断です。

主な診断内容
WebサイトやWebサービス等のアプリケーションを中心に、会員サイトやスマートフォン・モバイル向けサイトに対する不正アクセスや情報漏洩等を未然に防ぐため、安全性を徹底的に診断・調査する事

診断方法の2つの違い

プラットフォーム診断やアプリケーション診断には、さらに2つの診断方法の違いがあり、それが「ツール診断」と「手動診断」です。

ツール診断

その名の通り「ツール」を用いて、対象となる情報システムに対する問題点を明確にし解決します。

手動診断

情報セキュリティに関する専門家が実際に対象となる情報システムの問題点を明確にします。

それぞれの「長所」と「短所」を下記の表に整理しました。

  ツール診断 手動診断
長所 誰にでも使えるツールのため比較的安価に使用でき、自動的にセキュリティに対する脆弱性を発見可能 専門家の手によって診断ツールでは見つけずらい脆弱性に対象可能
短所 WebサイトやWebサービスの内部構成が複雑だと誤検知率が高まる 専門的な知識が必要な業務となるため、価格が高くなる傾向がある

診断サービスの選び方 5つのポイント

ポイント1:診断項目は?

脆弱性診断・セキュリティ診断ツールを選ぶ際のポイントとして認識しておくと良いのが、次の項目だ。
プラットフォーム診断やアプリケーション診断を通じてどんな問題を防ぎたいのかを考える上での参考にして欲しい。

機密情報の漏洩

企業存続を揺るがしてしまう情報の漏洩を防ぎたいか

個人情報の流出

外部に流出することで企業価値を下げる恐れのある個人情報の漏洩を防ぎたいか

ホームページの改ざん

企業の顔とも言えるホームページに対する情報の改ざんを防ぎたいか

基幹システムの停止」

自社基幹システムの停止に伴う業務の大幅な遅れや中断を防ぎたいか

ウィルスの感染

外部からのサイバー攻撃によるウィルスのよる二次、三次被害を防ぎたいか

ポイント2:「ツール診断」「手動診断」のどちらか?

情報システムに対する問題や課題を解決する時に簡単に済ませたいと感じる時もあると思います。
そのような場合は、自動で全体の問題を見つける事が可能なツール診断がお勧めです。

ツール診断では発見できないような小さな脆弱性に対して対処したい場合は、手動診断を行うと良いでしょう。

その時々によって、脆弱性診断・セキュリティ診断ツールの使用方法に多様性のあるセキュリティ企業を選ぶとセキュリティを防ぐ際の利便性が高まるはずです。

ポイント3:価格は?

脆弱性診断・セキュリティ診断ツールを通じた診断サービス費用は、数十万円から数百万円まで様々です。

セキュリティ診断ツールの種類と選びかたのポイントを通じて、可能な限り費用対効果の高い診断をしてくれるツールを選ぶ事が重要となります。

ポイント4:診断レポートの質は?

情報システムが実際に安全かどうか、もしくは問題を抱えているのかどうかは自社に提供される診断レポートによって判断する事が多い傾向にあります。
そのため、セキュリティに対する見識や知識が少なくても理解しやすいレポートなのかを事前に確認しておく必要があり、レポートに対する質問をしても良いセキュリティ企業を選ぶ方がより効果が高まるはずです。

ポイント5:コンサルティングしてくれるか?(相談)

脆弱性診断・セキュリティ診断ツールを通じて自社の情報システムの課題や改善点が分かったとしても、対処する事が出来なければ意味がありません。
セキュリティや脆弱性などの問題が本当に解決したのかを確認するための再診断を提供していたり、コンサルタントによる相談をしてくれるセキュリティ企業を選ぶとさらに安全性を高める事が可能となります。

人気診断サービス4つの比較

厳選した脆弱性診断・セキュリティ診断サービスを説明していきながら、どのような選び方のポイントがあるのかを言及していきます。

各企業のサービス比較
(サービス名)
費用 手動ツール 自動ツール 専門家サポート
株式会社アルファネット
(セキュリティ診断サービス)
220,000円〜
三和コムテック株式会社
(SCT SECURE Appvigil)
298,000円(月間) ×
アララ株式会社
(P-Pointer File Security)
60万円 ×
株式会社ユービーセキュア
(Webアプリケーション脆弱性検査ツール VEX)
見積もり次第 ×

株式会社アルファネット 「セキュリティ診断サービス」

詳細ページhttps://cybersecurity-jp.com/lp/anet-shindan

安心
数多くの項目(幅広さ)を細部(深さ)に渡り診断!脆弱性を洗い出す!

高品質
専門家による手動診断を採用!ツール診断よりも高品質な診断を実現

分り易さ
危険度別に分かりやすくレポートを作成!対策方法を明確に!

三和コムテック株式会社 「SCT SECURE Appvigil」

詳細ページhttps://www.sct.co.jp/business/solution/websecurity/
img_11634-02

多くの企業はモバイル化を優先課題としながら、モバイルアプリに対する脆弱性やハッキング対策をしていない為、iOSやAndroidのモバイルアプリに対するサイバー攻撃、情報漏洩への対策が必要。
SCT SECURE Appvigilは、モバイルアプリの脆弱性やセキュリティが安全かどうかを診断し、何かしら問題が無いのかを診断。

情報システムを通じたモバイルアプリとの連動は日常的に行われており、現在使用しているモバイルアプリを通じて社内の機密情報が外部に筒抜けになってしまう可能性は高い。
通常のモバイルアプリ診断は人間による手作業を伴うため、診断結果を確認するまである程度の期間が必要。

しかし、SCT SECURE Appvigilはクラウドサービスとしての運用を行うため、時間を選ばずに自動診断を行うことができ、約1日から2日程度でモバイルアプリの安全性診断とレポート提示が可能。

アララ株式会社 「P-Pointer File Security」

詳細ページhttps://ppointer.jp/product/
img_11634-03

個人情報を安全に扱う方法として、社内の人間による手作業を行なっている企業も多い傾向にあるが、ヒューマンエラーを防ぐことは安易ではない。

P-Pointerは、コンピュータに存在する個人情報や機密情報を含むファイルを全て辞書形式でリストアップし、高速で検索、レポートしてくれる為、重要なファイルがどこにあるのかをすぐに可視化し確認可能。

情報システムを運用していく上で、個人情報や機密情報を管理する事は重要である一方、日々の業務に追われてしまい事で安全性を損なう恐れは大きい。

重要な情報がどこにあるのかをリアルタイムで確認する事で、情報漏洩のリスクを防ぎ、セキュリティ担当者の業務の手間を省く事も可能。

株式会社 ユービーセキュア 「Webアプリケーション脆弱性検査ツール VEX」

詳細ページhttps://www.ubsecure.jp/vex/vex
img_11634-06

情報システムの脆弱性やセキュリティ診断をする時に必要となるのは、高い問題検知率と低い誤検知率(間違えて問題を検出しない率)。
Webアプリケーション脆弱性検査ツール VEXでは、情報システムの脆弱性診断に対して豊富な経験を持つ技術者によって開発。

純国産のツールとして最新の機能はもちろん詳細な技術資料に至るまで全てが日本語として使用する事が可能。
情報システムにトラブルが生じた場合、サポート部門と開発部門が協力しながら問題解決に取り組む為、原因調査から改善への意思決定、そして安全な情報システムへと迅速に完結させる体制を整備済み。

使いやすく診断をする時の不備の無いセキュリティツールなら、より安全に情報システムを運用する事が可能となる。

まとめ

脆弱性診断・セキュリティ診断ツールと言っても、何が気になっていて何をチェックしたいのかによって、診断すべき項目も様々でその方法も異なってきます。

無料のツールはもちろんのこと、最近では、脆弱性診断・セキュリティ診断サービスも多くの特徴を持つサービスがたくさん提供されているので、上記の5つのポイントをもとに、あなたの会社にあったサービスを選ぶことが重要です。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

この記事が気に入ったら
フォローしよう

最新情報をお届けします

Twitterでフォローしよう

おすすめの記事