セキュリティ診断サービスは、ツールや専門の調査員による模擬攻撃などを用いて、システムなどの不具合や欠陥を洗い出す調査をおこなうサービスです。さまざまなセキュリティ診断サービスが提供されているため、何を基準にサービスを選べばよいのかと悩む方も多いでしょう。
本記事では、選び方のポイントや費用目安を解説したうえで、5社のセキュリティ診断サービスを紹介します。セキュリティ診断サービスを選ぶ際の参考にしてください。
目次
[ 開く ]
[ 閉じる ]
セキュリティ診断サービスとは
セキュリティ診断サービスとは、Webサイトやアプリケーション・クラウド環境内・OS・ソフトウェアの脆弱性を発見するサービスのことです。脆弱性を発見するために、以下のような手法を用いて調査を行います。
- 攻撃者の目線になり診断員が模擬攻撃を実施
- ツールを利用してウイルス感染などをチェック
- アプリケーション設計などは構造や仕様が明らかになっている状態で内部分析
サイバー攻撃は、複雑・巧妙化した新たな手口が出続けます。そのため、セキュリティ診断サービスは一度で終了するのではなく、定期的に行うことがおすすめです。
自社内でセキュリティに対する深い知識がある人材がいる、かつ時間が確保できる場合には、自社で実施することも可能です。自社内での対応が難しい場合には、外部のセキュリティ専門家に頼むのが一般的です。
企業の情報は大切な資産であるため、情報漏洩やサイバー攻撃などから守るための対策が必要となります。セキュリティ製品を購入して自社内で結果を判断するだけでは、高度で巧妙化しているサイバー犯罪から情報を守りきれない可能性も考えられるのです。
正しく最新の知識を持った専門家にセキュリティ診断を依頼することで、より強固なセキュリティ対策を実現しやすいでしょう。
セキュリティ診断サービスの種類
セキュリティ診断サービスは、診断する対象によってさまざまな種類があります。代表的なものは以下の通りです。
セキュリティ診断サービスの主な対象
- Webアプリケーション
- プラットフォーム
- ネットワーク
- クラウドセキュリティ
- ペネトレーションテスト
診断を行う対象によって採用するサービスが異なります。例えば社内のネットワーク周りの診断を実施する場合と、自社アプリの安全性を診断するのでは、セキュリティ診断する内容や規模が異なります。このように、対象はもちろんのこと、規模や期間によって採用されるサービスが異なることを頭に置いておきましょう。
セキュリティ診断サービスの比較ポイント
どのセキュリティ診断を選べばよいかは、企業規模や取り扱っているシステム内容により異なります。セキュリティ診断サービスを選ぶためのポイントは4つです。
- 価格
- 診断方法
- 診断できる項目
- サポート体制
詳しく見ていきましょう。
価格
検査の内容により費用相場は変わってきます。
ツール診断のみ | 数十万円 |
---|---|
ツールと手動調査の併用 | 数十万~数百万円 |
診断できる内容や得意分野・精度を考慮すると、ツールと専門家の調査を掛け合わせた診断がおすすめですが、費用は高くなる傾向にあります。
診断方法
セキュリティ診断サービスとひとくちに言っても、診断の手順はサービスごとに異なります。ツールを使用して結果を出すのか、専門家が検査をおこなうのかなどの違いがでてきます。
診断方法 | メリット | デメリット |
---|---|---|
ツール診断 |
|
|
手動診断 |
|
|
自社システムの構造やどの程度の規模で診断が必要なのかにより、適切な診断方法は変わります。後述するポイントやサービス比較を参考に、自社に適したサービスを選択していきましょう。
診断できる項目
セキュリティ診断サービスで診断できる範囲は、それぞれのサービスにより異なります。自社がチェックしたいツールを明確にして、診断できるサービスを選びましょう。
各セキュリティ診断サービスで提供している内容には、主に以下のようなものがあります。
診断できる主なシステム | |
---|---|
NFT・ブロックチェーン脆弱性診断 |
|
クラウド診断 |
|
デスクトップアプリ診断 |
|
Webアプリケーション診断 |
|
スマートフォンアプリ診断 |
|
プラットフォーム診断 |
|
グラスボックス診断 |
|
ペネトレーションテスト |
|
これらは一例であり、セキュリティ診断サービスを提供している会社ごとに、診断範囲や項目は異なります。自社が診断したいツールを取り扱っているか、複数の診断が必要な場合にはひとつのサービスですべてのツールを診断できるか、範囲を確認しましょう。
サポート体制
診断後に受けられるサポートの内容を知るのは、非常に大切となります。セキュリティ診断サービスを受けてわかるのは「どのような脆弱性があるのか」という部分のみです。脆弱性をわかったうえで、適切なセキュリティ対策の必要があります。
適切なセキュリティ対策までを専門家に教えてもらえる、または実際に対策を施すところまで行ってもらえるようなサービスを選ぶようにしましょう。
なかでも、診断結果がもらえるまでの期間や提出方法・電話サポートの有無などはサービスごとに異なります。診断後のサポート体制を知り、脆弱性への対応やセキュリティ導入まで行えるようにしていきましょう。
おすすめのセキュリティ診断サービス5選
以下は、5つのおすすめセキュリティ診断サービスを一覧にまとめた表です。料金はあくまでも参考のため、実際に依頼する際は事前に見積りをもらうようにしましょう。
会社名 | 提供サービス | 料金 |
---|---|---|
GMOサイバーセキュリティ byイエラエ株式会社 |
|
要問合せ |
株式会社ラック |
|
※個別見積もり有 |
NTTビジネスソリューションズ株式会社 |
|
1,056,000円(税込)~ |
株式会社日立ソリューションズ |
|
要問合せ |
NECソリューションイノベータ株式会社 |
|
要問合せ |
GMOサイバーセキュリティ byイエラエ株式会社
画像引用元:GMOサイバーセキュリティbyイエラエ
GMOサイバーセキュリティ byイエラエ株式会社は国内トップクラスのホワイトハッカーが多数在籍するサイバーセキュリティの会社です。攻撃手法に関する豊富な知識と最先端の技術を持つホワイトハッカーが仮想敵となり、お客様の抱えるセキュリティ上の問題の可視化と課題解決をサポートしています。
Webアプリケーション診断やスマホアプリ診断・クラウド診断・ペネトレーションテストなど、幅広い診断に対応しています。診断方法の調整や診断対象の洗い出し支援等、自社のニーズにあった診断を相談可能です。診断後には診断結果や概要だけでなく、脆弱性の詳しい解説や対策方法・再現方法など細やかでわかりやすい報告書を受け取れます。緊急に対応が必要な脆弱性が見つかった場合には、発見から数日以内に、対策・再現方法を速報で届けてもらえます。
株式会社ラック
画像引用元:株式会社ラック
株式会社ラックの「ラックのセキュリティ診断(脆弱性診断・検査)」は、最新の知識と独自ノウハウを兼ね備えたエンジニアによる脆弱性診断です。国内で初めてセキュリティ診断サービスを開始した企業であり、サイバー救急センター・セキュリティ監視運用センター・研究所なども運営しています。これまでに培ったノウハウを基に提供しているセキュリティ診断です。
2002年に、JSOCというセキュリティ監視・運用サービスを開設。同年に開催された「九州・沖縄サミット」の公式サイトでは、不正アクセスの監視と対応支援をおこなった実績があります。潜在的な脆弱性の発見だけでなく、サイバー攻撃の耐性評価などを含めて、品質の高いセキュリティ診断を提供しています。
NTTビジネスソリューションズ株式会社
画像引用元:NTTビジネスソリューションズ株式会社
NTTビジネスソリューションズ株式会社の「セキュリティ診断サービス」は、自動診断ツールによる低コストの診断から、診断技術者によるレベルの高い診断まで提供しています。経済産業省の「情報セキュリティサービス基準適合リスト」にも登録されており、一定の技術力と品質を満たし、品質の維持や向上も認められているため安心感があります。
診断技術者はNTT西日本グループ運営Webサイトの安全性確保にも携わっており、知識や実践力も高い人材ばかりです。結果報告後のサポートは脆弱性の報告だけでなく、具体的な対策方法や方針まで提案されているため、再現性の高いサポートが受けられます。
株式会社日立ソリューションズ
画像引用元:株式会社日立ソリューションズ
株式会社日立ソリューションズが提供しているセキュリティ診断サービスでは、大前提として「どんなものであっても必ず脆弱性が存在する」という立場に立っており、高度な技術を持つホワイトハッカーによる診断を実施しています。海外の大手IT企業とも連携したツール「nexpose」を利用しているなど、信頼感も抜群です。
手法としては実際にホワイトハッカーが脆弱性を発見し、それに対するセキュリティ対策を実施する方式です。第三者目線で自社サービスやシステムのセキュリティ対策を行いたい場合に依頼するとよいでしょう。
NECソリューションイノベータ株式会社
画像引用元:NECソリューションイノベータ株式会社
NECソリューションイノベータ株式会社は、脆弱性診断に特化しており、多種多様な攻撃手法で疑似攻撃を行って脆弱性を発見します。NECグループの幅広い開発実績から、各種システムのエキスパートが診断作業を担当するのも他社にはない強みです。
年間300件の実績と改善策まで提案するサポート体制で顧客のセキュリティ対策を支えています。現状のセキュリティリスクの洗い出しはもちろん、セキュリティ基準を満たす目的での依頼も受けつけています。企業としてセキュリティ対策を強化したい企業におすすめです。
まとめ
セキュリティ診断サービスは、各企業のサービスごとに内容が大きく異なります。「診断方法とその費用」「診断可能な範囲」「診断後のサポート」を比較して、自社のニーズに合わせたサービス選びが必要です。また、ITの進化とともにサイバー攻撃の種類は増え、複雑・巧妙化しています。セキュリティ診断を定期的に受け、新たな手法が出続けるサイバー攻撃に対応できる体制を整えましょう。
文責:GMOインターネットグループ株式会社