無料会員登録
MS&AD
サイバーリスクファインダー
あなたの会社のメールアドレス1つで
サイバーリスク・被害想定額等を可視化する
提供元 :MS&ADインターリスク総研
登録方法の流れはこちら
プログラムの不具合・欠陥や設計上のミスが原因で発生する脆弱性。
仮に、脆弱性が残った状態でOS・ネットワーク・ソフトウェア・アプリケーションなどを利用し続けた場合、その企業や組織は、不正アクセスを受けたり、マルウェアに感染したりする恐れがあります。
このようなリスクを最小化するためにセキュリティ対策の一つとして行うのが、セキュリティ上の問題点「脆弱性」の有無を診断・特定する脆弱性診断(セキュリティ診断)です。
本記事では、脆弱性診断を行えるツールやサービスを徹底比較しながら、選び方を紹介します。ネットワークからスマホアプリまで、自社の情報資産を守り抜きたい方は必見です。
この記事の目次
脆弱性診断(セキュリティ診断)とは?
脆弱性診断(セキュリティ診断)とは、コンピュータやネットワーク、ソフトウェアなどを運用していくために重要な機能を守るため、起こりうるサイバー攻撃を未然に防ぐ目的で行います。
脆弱性診断は一連のセキュリティ対策の最初に行うことが多く、その診断結果に基づいて具体的な改善やセキュリティ対策を実施します。
脆弱性診断の診断する項目
主な脆弱性診断の種類には、「Webアプリケーション診断」と「プラットフォーム診断」の2つがあります。それぞれ違いを見ていきましょう。
Webアプリケーション診断
Webアプリケーション診断は、インターネットブラウザ上で利用する「Webアプリケーション」が対象です。単に「アプリケーション診断」と言う場合は、スマホアプリに代表される「ネイティブアプリケーション」も含まれます。主な診断項目は、以下をご覧ください。
- クロスサイトスクリプティング(XSS)
- SQLインジェクション
- パラメータ改ざん
- セッションID固定化
- ディレクトリトラバーサル(パストラバーサル)
これらの脆弱性が放置されていると、攻撃手段として悪用される恐れがあります。中でも、Webアプリケーションを狙う攻撃は増加傾向にあり、Webサービス提供企業は積極的な対策が必要です。
プラットフォーム診断
プラットフォーム診断は、サーバやOS、ミドルウェア、ネットワーク機器が対象です。各種機器の設定に不備はないか、不必要なポートが開いていないかといった多様な項目をチェックしていきます。
プラットフォーム診断の検査方法は、「リモート診断」と「オンサイト診断」の 2つがあります。リモート診断は、インターネットを経由してネットワーク外部から診断する方法です。オンサイト診断は、内部ネットワークから直接検査して、システムの脆弱性や内部脅威を洗い出します。2つの診断方法を組み合わせることで、脆弱性の高精度な検出が可能です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
無料版 or 有料版?脆弱性診断ツール・サービスのメリット・デメリット
脆弱性診断(セキュリティ診断)のツール・サービスは大きく分けて2種類。無料版のツールと有料のサービスとがあります。
無料ツールの場合は、インストールから診断まで、自分自身の責任で実行します。一方、有料サービスの場合は、セキュリティ専門家らの指導やアドバイスを受けながら診断できます。
それぞれのメリットとデメリットは次のとおりです。
| 無料ツール | 有料サービス | |
|---|---|---|
| メリット | コストがかからない |
|
| デメリット |
|
コストがかかる |
脆弱性診断(セキュリティ診断)サービスの選び方
有料版 脆弱性診断ツール・サービス 2パターン
有料版の脆弱性診断は、ツール診断と手動診断とに分類できます。
ツール診断
自動検査ツールなどを用いて、機械的に脆弱性を検査するツール診断が1つ目のパターンです。前述の無料診断ツールのうち、有料でアップグレードした場合などが含まれます。ツールで機械的に検査する点は無料版と同様ですが、有料版では、無料版にない機能が提供されたり、問題が発生した場合のサポートなどが受けられたりします。
手動診断
手動診断(マニュアル診断)は、セキュリティ専門家が検査を行う診断方法です。例えばWebサイト上に存在する脆弱性を洗い出す場合、エンジニアが実際にWebサイトを操作してチェックします。
診断結果が出るまでに時間がかかる一方、診断精度が高く、ツール診断では検知が難しい複雑な欠陥も診断できます。
脆弱性診断サービスの選び方 5つのポイント
有料版の脆弱性診断(セキュリティ診断)サービスを選ぶときのポイントを紹介します。
ポイント1:診断項目を確認
セキュリティ診断サービスで確認できる診断項目は、サービスによって異なります。
- 機密情報の漏洩防止
- Webサイトの改ざん防止
- マルウェア感染の阻止
など。
自社では診断を通して、どんな問題に対処したいのかを最初に洗い出すことが肝心です。
ポイント2:ツール診断 or 手動診断?
有料版の脆弱性診断は、ツール診断と手動診断とに分類できると説明しました。
どちらのパターンが自社で求める方法に近いかを検討することが、2つ目のポイントです。
例えば、代表的な脆弱性だけを短時間でスキャンしたいという場合は、自動で全体的な問題を見つけられるツール診断で十分でしょう。
一方、ツール診断では発見できないような複雑な脆弱性までも対処したい場合は、手動診断を選ぶべきです。
ポイント3:価格
脆弱性診断(セキュリティ診断)サービスの費用は、数十万円から数百万円までと様々です。
自社のニーズに必要十分かつ、費用対効果の高いサービスを選びます。
ポイント4:診断レポートの質
脆弱性診断(セキュリティ診断)後の結果は、診断レポートを通して知ることになります。
診断レポートが分かりやすいかも重要なポイントとなります。
ポイント5:コンサルティングや相談に応じてくれるか
脆弱性診断(セキュリティ診断)で自社の情報システムの課題が分かったとしても、問題点を改善できなければ意味がありません。
そのためにも、改善後に、問題が本当に解決したのか確認する再診断を提供していたり、セキュリティコンサルタントが相談に応じてくれるサービスを選べば安心です。
【無料版】脆弱性診断ツール5選を比較
無料で使用できる脆弱性診断(セキュリティ診断)ツールを、5つ紹介します。
それぞれ、機能や特長が異なるため、自社のニーズに合致したツールを選びましょう。
OWASP ZAP
「OWASP ZAP」は、Webアプリケーションに存在する脆弱性を無料で診断する、オープンソースのツールです。開発したのは、Webアプリケーションのセキュリティに関するガイドやツールを公開している、「OWASP (オワスプ:The Open Web Application Security Project)」。
「OWASP ZAP」は、簡易スキャン・静的スキャン・動的スキャンの3つチェック方法で、Webアプリケーションの脆弱性を診断・検出します。
利用方法参考サイト
Burp Suite
URLhttps://portswigger.net/burp/
「Burp Suite」は、Webアプリケーションに存在する脆弱性を診断します。また、「Burp Suite」には、Burp Suite Enterprise Edition・Burp Suite Professional・Burp Suite Community Editionの3製品ありますが、Webサーバとブラウザ間のデータのやり取りを確認・編集する目的であれば、無料版の「Community Edition」でも可能です。
利用方法参考サイト
Nikto
オープンソースのWebサーバスキャナ「Nikto」は、Webサーバに対してテストを実行することで、古いサーバコンポーネントの有無や、HTTPサーバオプション等のサーバ構成項目をチェックします。その他にも、豊富な機能が搭載されたセキュリティ診断ツールです。
利用方法参考サイト
Nmap
オープンソースのポートスキャナ「Nmap」は、ポートスキャン機能だけでなく、OSやバージョンの検出、サービスとそのバージョンの検出など、多くの機能を搭載しています。
利用方法参考サイト
Nessus
URLhttps://jp.tenable.com/products/nessus/nessus-professional
「Nessus」は指定したサーバに対しポートスキャンや擬似的なアクセスなどを行い、ネットワークやサーバに存在する脆弱性を調査するツールです。
有料版の「Nessus Pro」にアップグレードすることで、電話やチャットによるサポートが受けられます。
利用方法参考サイト
紹介したツール6つは、いずれも無料で使えるツールですが、診断や結果に対して自分自身で責任を負うリスクがあるため、セキュリティの専門知識がない場合は、次のような有料版サービスの導入をおすすめします。
【有料版】脆弱性診断ツール11選を比較
有料版の脆弱性診断(セキュリティ診断)ツールを11個紹介します。
株式会社アルファネット 「セキュリティ診断サービス」
詳細ページhttps://cybersecurity-jp.com/product-service/23231
株式会社アルファネットの「セキュリティ診断サービス」は、ツール診断を取り入れつつ、セキュリティ専門家による手動診断を採用したサービスです。
これにより、より数多くの項目を細部まで診断し、徹底的に脆弱性を洗い出すことを実現しています。
- 費用:250,000円〜
- 専門家サポート:◎
株式会社イエラエセキュリティ「イエラエセキュリティ脆弱性診断サービス」
詳細ページhttps://cybersecurity-jp.com/product-service/security-service/55427
「イエラエセキュリティ脆弱性診断サービス」は、ハッカーの攻撃手法を熟知し、セキュリティ診断業務に特化したホワイトハッカー集団が行うペネトレーションテストが特長。
Webアプリケーション・スマホアプリだけでなく、クラウドやIoTに関する脆弱性診断も対応しています。
- 費用:初期費用132,000円/件・ネットワーク診断44,000円/1IP~
- 専門家サポート:◎
富士ソフト株式会社「バックドア検証サービス」
詳細ページhttps://cybersecurity-jp.com/product-service/computer-system/55162
富士ソフト株式会社の「バックドア検証サービス」は、マルウェアや脅威の侵入口「バックドア」となりうる脆弱性の検出・検証に特化したサービス。
また、脆弱性などの問題を発見した際に発行されるレポートには、検出の事実だけではなく、問題の再現手順や適切な対策までも掲載されます。
- 費用:個別見積
- 専門家サポート:○
株式会社セキュアイノベーション「セキュリティ脆弱性診断サービス」」
詳細ページhttps://cybersecurity-jp.com/product-service/security-service/security-diagnosis/50146
経産省は、「情報セキュリティサービス基準」を策定しており、一定の技術要件および品質管理要件を満たして、品質の維持・向上に努めているサービスだけが、その審査をパスすることができます。株式会社セキュアイノベーションの「セキュリティ脆弱性診断サービス」は、この情報セキュリティサービス基準を満たした登録済みサービスです。
- 費用:195,000円 ~
- 専門家サポート:○
株式会社アリス「RayAegis セキュリティ診断サービス」
詳細ページhttps://cybersecurity-jp.com/product-service/security-service/52448
独自のAI技術を組み込んだ自動診断に、ハイレベルなセキュリティエンジニアによる手動診断を組み合わせた、「RayAegisセキュリティ診断サービス」。
台湾トップのセキュリティベンダーによる診断で、安価かつ高品質を実現しています。
- 費用:280,000円~
- 専門家サポート:◎
株式会社日立ソリューションズ・クリエイト「セキュリティ診断サービス」
詳細ページhttps://cybersecurity-jp.com/product-service/security-service/51177
日立ソリューションズ・クリエイト社の「セキュリティ診断サービス」は、自動診断と手動診断を組み合わせて実施されます。自動診断は、4万種以上の脆弱性と約70万種のシグネチャのデータベースを持つ診断ツールでおこなわれます。
手動診断を担当するのは、高度な知識を持つ専任技術者(ホワイトハッカー)です。さまざまな手法で診断対象に擬似攻撃を実施し、診断ツールでは検知しきれない脆弱性を発見します。
- 費用:お問い合わせ
- 専門家サポート:◎
レンジフォース株式会社「ReCoVAS」
詳細ページhttps://cybersecurity-jp.com/product-service/security-service/security-diagnosis/51425
「ReCoVAS」は、Webサイトの脆弱性診断サービスです。診断ツールだけでなく、複数の専門スタッフによる手動診断と分析もおこないます。診断結果は単なる脆弱性の報告に留まらず、リスク対処の優先度や対処方法も提案されます。小中規模の診断にも対応しており、診断対象が25ページまでなら30万円から依頼可能です。診断はリモートでおこなわれ、1営業日ほどで完了します。
- 費用:300,000円〜
- 専門家サポート:◎
株式会社ユービーセキュア「komabato」
詳細ページhttps://cybersecurity-jp.com/product-service/network-security/other-network/61307
「komabato」は、開発現場向けのクラウド型セキュリティテストツールです。開発プロセスに最適化されており、初回以降は開発・修正箇所のみをスキャンして診断します。スキャン方法は簡単で、Webブラウザ上から操作するだけです。脆弱性診断を外部委託する必要がなく、開発テストに合わせて柔軟にセキュリティテストを実施できます。
- 費用:【ベーシックプラン】月額49,800円 など
- 専門家サポート:◯
株式会社ユービーセキュア「Vex」
サイトhttps://www.ubsecure.jp/vex
開発者向けの「komabato」を提供するユービーセキュア社は、Webサービス事業者向けに「Vex」も提供しています。「Vex」は、2021年度の国内シェアNo. 1の実績を持つ診断ツールです。脆弱性検索エンジンは専門エンジニアによって開発され、高い検出率を実現しています。自動診断ツールであるため使いこなすためには一定の知識が必要ですが、初心者向けの支援サービスも用意されています。
- 費用:お問い合わせ
- 専門家サポート:◯
株式会社セキュアスカイ・テクノロジー「脆弱性診断サービス」
サイトhttps://www.securesky-tech.com/service/assessment/
セキュアスカイ・テクノロジー社の「脆弱性診断サービス」は、「Webアプリケーション診断」と「プラットフォーム診断」の2コースを提供しています。自社開発の高精度な診断ツールと、セキュリティエンジニアによる手動診断を組み合わせて問題点を精査します。脆弱性の修正後は、深刻度が中程度以上の脆弱性を対象とした再診断の依頼が可能です。無償で依頼できるため、発見された脆弱性を適切に修正できているか確認できます。
- 費用:Webアプリケーション診断【エクスプレス診断】400,000円 など
- 専門家サポート:◎
株式会社信興テクノミスト「ABURIDA」
詳細ページhttps://cybersecurity-jp.com/product-service/security-service/security-diagnosis/65504
株式会社信興テクノミストのハイブリッドWebセキュリティ診断サービス「ABURIDA」は、熟練の診断員によるツールと手作業の診断で、高精度・高検出率を実現。業界標準にも完全に準拠したWebサイトの診断サービスです。
ツールで検出できるのはあくまで「脆弱性の可能性」。そのため本当の脆弱性かどうかを手作業によって精査することで、精度を高くしています。また、手作業では熟練技術者のノウハウに基づいた診断によって、ツールでは検出できない脆弱性も検出します。
まとめ
脆弱性診断(セキュリティ診断)ツール・サービスと言っても、自社の事業内容や抱える課題によって、診断すべき項目も用いる手法も異なります。
紹介したサービスの選び方のポイントに沿って、自社のニーズを満たすサービスを選ぶことが重要です。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
脆弱性診断・セキュリティ診断人気5サービスの徹底比較
脆弱性診断(セキュリティ診断)とは?種類や必要性など解説
セキュリティ監視とは?ツールやサービスまで紹介
【OWASP ZAP】の使い方!無料で脆弱性診断する方法
トラフィック監視とは?分かりやすく監視方法を解説!フリーソフトまで紹介
ペネトレーションテストとは?その方法やサービス相場比較まで徹底解説
【緊急寄稿】7pay問題に見るリスクマネジメントの欠如と真の問題点とは
ポートスキャンとは?仕組みと種類、対策方法について徹底解説
製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)
よくある質問
社内ネットワークを守るには脆弱診断は必要ですか?
必要です。脆弱性を放置すると下記のような損害につながる可能性があります。
- 機密情報の漏えい・流出
- 社内システムのダウン
- Webサイトなどデータの改ざん
- マルウェア感染
詳しくはこちら
スマホアプリの脆弱性診断もできますか?
できます!まずは選び方からチェックしてみて下さい。詳しくはこちら
脆弱性診断の無料版でも大丈夫ですか?
無料版でも脆弱性診断はできます。ただし、セキュリティの専門知識が必要になり、責任を自分自身で負う事になります。メリット・デメリットをまとめたので、詳しくはこちらを確認して下さい。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
