【有料・無料】脆弱性診断ツール(サービス)おすすめ15選!選定ポイントを紹介
ウェブアプリケーションの開発・運用を担当している方には、脆弱性を効率的に検査・診断する方法がわからない方も多いのではないでしょうか。
アプリケーションは多様な機能を持ち、複雑な構造をしているため、脆弱性が発生する可能性があります。脆弱性が発生すると、不正アクセスや情報漏洩などの被害が発生するため、セキュリティ対策は非常に重要です。
しかし、脆弱性診断ツール(サービス)を利用することで、脆弱性を効率的に検査・診断することが可能になり、誤検知を防げることで信頼性のある脆弱性診断を実現することができます。
この記事では、脆弱性診断の種類や、有料版・無料版でおすすめする脆弱性診断ツール(サービス)などをご紹介します。
目次
[ 開く ]
[ 閉じる ]
- 脆弱性診断ツール(サービス)とは
- 脆弱性診断の種類
- 診断員と脆弱性診断ツール(手動+自動診断)
- クラウド型の脆弱性診断ツール(自動診断)
- ソフトウェア型の脆弱性診断ツール(自動診断)
- 【有料版】おすすめの脆弱性診断ツール(サービス)を紹介
- GMOサイバーセキュリティ脆弱性診断サービス(GMOインターネットグループ)
- vex(株式会社ユービーセキュア)
- ImmuniWeb(ImmuniWeb SA/株式会社キャスティングロード)
- セキュリティ診断サービス(株式会社Flatt Security)
- Webアプリケーション診断(NRIセキュアテクノロジーズ株式会社)
- 脆弱性診断(株式会社レイ・イージス・ジャパン)
- セキュリティ脆弱性診断サービス(株式会社セキュアイノベーション)
- AeyeScan(株式会社エーアイセキュリティラボ)
- VAddy(株式会社ビットフォレスト)
- Web Doctor(日本RA株式会社)
- WEBセキュリティ診断くん
- 【無料版】おすすめの脆弱性診断ツール(サービス)を紹介
- OpenVAS
- Nikto
- Vuls
- OWASP ZAP
- 脆弱性診断ツール(サービス)を活用するメリット
- 脆弱性診断ツール・サービスの選定ポイント
- 診断項目の種類
- 診断の精度・信頼性
- 料金体系(オプション料金)
- サポート体制
- 同業種での導入実績
- まとめ
脆弱性診断ツール(サービス)とは
脆弱性診断ツール(サービス)とは、サイバー攻撃を受けやすいウェブシステムに対し、スキャンや模擬攻撃などを行い、そのシステムにセキュリティ上の欠陥がないかを診断することのできるサービスです。
脆弱性診断ツール(サービス)には、以下のような種類があります。
| 種類 | 特徴 |
|---|---|
| クラウド型 | インターネット経由で診断を行うツール(サービス)。インストールや管理の手間が省かれるため、手軽に利用できる。 |
| ソフトウェア型 | 自社のパソコンやサーバーにインストールして診断を行うツール(サービス)。オフライン環境でも利用ができる。 |
| オープンソース型 | インターネット上に公開されているソースコードを利用したツール(サービス)。カスタマイズ性が高く、無料で利用可能。 |
脆弱性診断ツール(サービス)は、自社のウェブシステムのセキュリティ状況を把握するために利用されることが多く、セキュリティ対策の基礎として、定期的に診断を行うことをおすすめします。
脆弱性診断の種類
脆弱性診断は、主に以下の3つに手法に分けられます。
- 診断員と脆弱性診断ツール(サービス)
- クラウド型の脆弱性診断ツール(サービス)
- ソフトウェア型の脆弱性診断ツール(サービス)
ここでは、それぞれの特徴を詳しくご紹介します。
診断員と脆弱性診断ツール(手動+自動診断)
診断員と脆弱性診断ツールを組み合わせたサービスとは、自社で開発・提供するウェブサービスに対してスキャン・模擬攻撃などを行い、セキュリティ上に穴がないかを診断するためのサービスです。
診断員がツール(サービス)で検出できなかった脆弱性を発見することができるため、より高度なセキュリティ対策が可能になります。
診断員と脆弱性診断ツールを組み合わせたサービスを利用するメリットは、以下の通りです。
- セキュリティ上のリスクを把握できるため、セキュリティ対策の強化が可能
- 診断員がツール(サービス)で検出できなかった脆弱性を発見できるため、より高度なセキュリティ対策が可能
- 診断結果に基づき改善提案ができるため、セキュリティ対策の効果的な実施が可能
診断員と脆弱性診断ツールを組み合わせたサービスは、自社で開発・提供するウェブサービスを保護するために利用されることが多く、セキュリティ対策の強化を検討している企業や、セキュリティ上のリスクを把握したい企業におすすめです。
クラウド型の脆弱性診断ツール(自動診断)
クラウド型の脆弱性診断ツール(サービス)とは、インターネット経由で診断を行うツール(サービス)のことです。
インストールや管理が不要なため、手軽に利用できるという特徴があります。
クラウド型の脆弱性診断ツール(サービス)を利用するメリットは、以下の通りです。
- インターネット経由で診断を行うため、自社のパソコンやサーバーにインストールする必要がない
- セキュリティ対策を専門のベンダーに任せることが可能
- 診断結果をわかりやすくレポート化してくれるため、セキュリティ対策の優先順位を定める際に役立つ
クラウド型の脆弱性診断ツール(サービス)は、システムのセキュリティ状況を把握したいが、自社のパソコンやサーバーにインストールするのが手間に感じる場合や、インターネット経由で診断を行いたい場合に役立ちます。
ソフトウェア型の脆弱性診断ツール(自動診断)
ソフトウェア型の脆弱性診断ツール(サービス)とは、自動検知ツール(サービス)などを使用してシステム全体の脆弱性を診断できるサービスです。
手動では膨大な時間や手間がかかる作業を、短時間かつ低コストで実施できるという特徴があります。
ソフトウェア型の脆弱性診断ツール(サービス)を利用するメリットは、以下の通りです。
- 不正アクセス・なりすまし・サイト改ざんなどを防ぐことが可能
- 的確に対策できるため低コストでの利用が可能
- 第三者の客観的評価を得ることで社会的信用のアピールにつながる
ソフトウェア型の脆弱性診断ツール(サービス)は、新たに開発したアプリケーションの脆弱性を調べたい場合や、サービス拡張に伴いセキュリティレベルを向上させたい場合などに活用できます。
【有料版】おすすめの脆弱性診断ツール(サービス)を紹介
ここでは、ウェブアプリケーション診断を中心とした、有料版のおすすめ脆弱性診断ツール(サービス)を11社ご紹介します。
GMOサイバーセキュリティ脆弱性診断サービス(GMOインターネットグループ)
画像引用元:GMOサイバーセキュリティbyイエラエ
GMOサイバーセキュリティbyイエラエ株式会社では、多種多様な企業で豊富な導入実績があり、ウェブ版・スマホ版のアプリケーションに幅広く対応しております。
また、国内トップクラスのホワイトハッカーが多数在籍しており、豊富な知識と最先端の技術で高精度な診断が実現します。
さらにペネトレーションテストにも対応可能です。ウェブサービスやクラウドサービスに対して模擬攻撃を行うことで、個人情報漏洩やシステム乗っ取りなど、さまざまな攻撃リスクの可視化やセキュリティ耐性を評価できます。
診断対象の概要、診断結果、脆弱性の詳細な解説、対策などのレポーディングや、緊急性の高い脆弱性が発見された際の速報にも対応しております。
企業に必要な診断が明確にわかるサービス一覧資料、診断のサンプル報告書などをご用意しておりますので、セキュリティ強化についてお悩みの場合は、ぜひお気軽にお問い合わせください。
vex(株式会社ユービーセキュア)
画像引用元:vex
Vexとは、ユービーセキュア社が開発したウェブアプリケーション脆弱性検査・診断ツール(サービス)です。
Vexでは、ウェブサイトの特性や利用者のスキルに合わせて、自動と手動設定を組み合わせたシナリオマップ機能・誰でも簡単に使用ができる自動巡回機能・手動設定をメインとしたHandler機能など、3つの検査手法を用意しております。
また、Vexの導入事例としては、金融企業・通信企業・インターネットサービスプロバイダーなどが挙げられます。
ImmuniWeb(ImmuniWeb SA/株式会社キャスティングロード)
画像引用元:ImmuniWeb SA(株式会社キャスティングロード)
ImmuniWebとは、世界で高い評価を受けている「キャスティングロード社」が開発した脆弱性診断ツール(サービス)であり、AIとセキュリティスペシャリストの役割分担により、優れたコストパフォーマンスを実現します。
これまでに4,039万件以上のウェブサーバーセキュリティテストを実施しており、多くの実績で培った豊富なノウハウが活かされたサービスです。
金融企業・ヘルスケア・官公庁・電力会社などの業界で導入されています。
セキュリティ診断サービス(株式会社Flatt Security)
画像引用元:セキュリティ診断サービス(株式会社Flatt Security)
Flatt Security社とは、サイバーセキュリティ関連サービスを提供している企業です。
同社のセキュリティ診断サービスは、手動とツールを組み合わせたものとなっています。日頃から多くのプロダクトの脆弱性を報告し、海外のハッキングコンテストで30,000USドルを獲得した実績もあります。
ベンチャーから大手企業まで、さまざまな事業者のセキュリティ診断で用いられているサービスです。
Webアプリケーション診断(NRIセキュアテクノロジーズ株式会社)
画像引用元:Webアプリケーション診断(NRIセキュアテクノロジーズ株式会社)
NRIセキュアテクノロジーズ社のWebアプリケーション診断は、アプリケーションの実装方式、開発言語、利用するプラットフォームなどを考慮し、さまざまな項目について診断を行い、利用者の安全性を脅かす要因への対策が行われているかを確認します。
主な部分は専門家が手作業による診断を行い、一部診断ツール(サービス)を補助的に利用することで、企業独自に作成されたアプリケーションであっても、潜在するセキュリティ上の問題を発見することが可能です。
導入事例としては、コンサルティング・セキュリティ製品・セキュリティ教育などの企業が挙げられます。
脆弱性診断(株式会社レイ・イージス・ジャパン)
画像引用元:脆弱性診断脆弱性診断(株式会社レイ・イージス・ジャパン)
レイ・イージス・ジャパン社の脆弱性診断は、診断規模に関わらず定額制のため、システムが大規模になるほどお得に診断することができます。
また、独自開発したAIエンジン搭載の脆弱性探査ツール(サービス)を活用して、効率的なツール診断とエンジニアによる手動診断を組み合わせることで、ページ数の多いECサイトでも最短1〜5営業日の短期間での診断が可能です。
主な導入事例としては、国内外問わず政府組織・医療機関・ECサイトなどが挙げられます。
セキュリティ脆弱性診断サービス(株式会社セキュアイノベーション)
画像引用元:セキュリティ脆弱性診断サービス(株式会社セキュアイノベーション)
セキュアイノベーション社のセキュリティ脆弱性診断サービスは、経産省の情報セキュリティサービス基準を策定しており、一定の技術要件及び品質管理要件を満たし、品質の維持や向上に努めているかが審査されています。
また、実績豊富な診断ツール(サービス)とエンジニアの持つ高度なスキルを合わせ、ツール診断に散見する誤検知・過剰検出を防ぎながら、手動診断では難しい網羅性の高い診断を提供しています。
AeyeScan(株式会社エーアイセキュリティラボ)
画像引用元:AeyeScan(株式会社エーアイセキュリティラボ)
エーアイセキュリティラボ社のAeysScanは、AIやRPAを活用したSaaS型ウェブアプリケーション脆弱性診断サービスです。
AeyeScanの特徴として、SaaS提供によりネット環境とパソコンさえあればどこでも診断が可能で、入力箇所などの自動判定入力値をAIが自動入力し、巡回・診断を行います。
IT企業・システムインテグレーター・電気機器などの業界を中心に導入されています。
VAddy(株式会社ビットフォレスト)
画像引用元:VAddy
ビットフォレスト社のVAddyは、ウェブアプリケーションの脆弱性を自分で簡単に検査ができる、クラウド型ツール(サービス)です。
開発者をはじめ、誰でも短時間で本格的な脆弱性診断が可能であるため、セキュリティ知識は不要です。
また、充実したオンラインマニュアルとチャットサポートで、初めての利用者の脆弱性診断もサポートしております。
KDDI・弁護士ドットコム・NHSなど、大手企業での導入実績も豊富です。
Web Doctor(日本RA株式会社)
画像引用元:Web Doctor
日本RA社のWeb Doctorは、SaaS型の診断用ツール(サービス)を利用した自動脆弱性診断サービスです。
インターネット経由で擬似攻撃を行う形で診断し、新たに発見された脆弱性にも即時対応ができます。
Web Doctorの特徴として、ツール(サービス)による自動診断のため、低コストで診断が可能になり、専門のエンジニアによる脆弱性診断と比較すると費用を大幅に削減できる点です。
Web Doctorの導入事例には、大塚商会・NTTコムウェア・OBCマイナンバーサービスなどの企業が挙げられます。
WEBセキュリティ診断くん
画像引用元:WEBセキュリティ診断くん
WEBセキュリティ診断くんは、脆弱性を発見してサイトの安全をサポートする脆弱性診断サービスです。
特徴としては、簡単な登録作業で診断を開始することが可能で、診断後はサイト内に潜むリスクを数値化して表示されるため、専門的な知識がない方でも理解しやすい設計になっています。
また、常に最新の脆弱性に対応してサイトを診断しており、有料プランの場合では毎日の診断ができるため、問題が発生した際に迅速に対応可能です。
【無料版】おすすめの脆弱性診断ツール(サービス)を紹介
ここでは、Webアプリケーション診断を中心とした、無料版のおすすめ脆弱性診断ツール(サービス)を4社ご紹介します。
OpenVAS
画像引用元:OpenVAS
OpenVASは、オープンソースの脆弱性評価スキャナーです。
指定したホストの外部・内部からスキャンを実施することで、対象ホストのOSやソフトウェアに既知の脆弱性が含まれているかどうかについて自動で確認を行い、詳細レポートを作成することができます。
OpenVASの特徴は、包括的で強力な脆弱性スキャンを行うことで脆弱性管理をサポートし、豊富なプラグインにより多様な脆弱性を検出することが可能な点です。
Nikto
画像引用元:Nikto
プログラミング言語のPerlで開発されたNiktoは、ウェブアプリケーションとミドルウェアに対応した脆弱性診断ツール(サービス)です。
既知のセキュリティホールやセキュリティの問題の有無を、ウェブサーバーとその中で稼働しているウェブアプリケーションに対してスキャンをすることが可能です。
大量かつ多種多様なパターンのリクエストを投げることで、意図しないファイルの公開を自動的に確認できる無料の便利ツール(サービス)です。
Vuls
画像引用元:Vuls
Vulsは、フューチャー社が運営しているウェブセキュリティシステムです。
膨大な脆弱性の中から、導入企業の管理下システムに関連あるものだけを検出し通知してくれるため、対応すべき問題を明確に把握できます。
また、脆弱診断の自動化により、脆弱性診断の作業負荷を軽減することが可能です。
Vulsの導入事例としては、HITACHI・JTB・BOOK-OFFなどの企業が挙げられます。
OWASP ZAP
画像引用元:OWASP ZAP
OWASP ZAPは、非営利団体である「OWASP」が無料提供する脆弱性診断ツール(サービス)です。
オープンソースのセキュリティ診断ツール(サービス)のため、ご自身のパソコンにインストールして利用することが可能です。
指定したURLのウェブアプリケーションに脆弱性がないかを確認することができますが、誰でもアクセスできるページである必要があります。
そのため、ログインが必要な会員サイトなどには向いていません。会員サイトの診断を行いたい場合には、自動スキャンではなく手動でスキャンする機能を利用することで対応できます。
脆弱性診断ツール(サービス)を活用するメリット
脆弱性診断ツール(サービス)を活用するメリットは、以下の通りです。
- 機密情報への不正アクセスを防げる
- なりすまし・サイト改ざんなどを防げる
- 第三者による客観的な評価で社会的信用が向上する
脆弱性診断ツール(サービス)を利用することで、システムに存在する脆弱性を発見・修正することが可能になり、不正アクセスによる機密情報の漏洩やなりすまし、サイト改ざんなどを防ぐことができるでしょう。
さらに、セキュリティ対策の一元化により、無駄なコストをかけず効率的に対策できるというメリットもあり、導入するツール次第では、脆弱性診断の内製化も可能になります。
未然に企業の情報漏洩などを防ぎ、社会的信用を向上させるためにも、脆弱性診断ツール(サービス)を活用したセキュリティ対策は非常に重要であるといえます。
脆弱性診断ツール・サービスの選定ポイント
脆弱性診断ツール・サービスをこれから導入しようと検討している企業の方に向けて、以下の5つの選定ポイントをご紹介します。
- 診断項目の種類
- 診断の精度・信頼性
- 料金体系(オプション料金)
- サポート体制
- 同業種での導入実績
診断項目の種類
ツールやサービスにより、ウェブアプリケーション・プラットフォームなど診断できる範囲は異なります。
そのため、まずは診断項目の過不足や調べる脆弱性の内容など、自社ビジネスに必要な診断項目をあらかじめ整理しておくことが大切です。
診断の精度・信頼性
脆弱性診断のツールやサービスによって、診断の精度や信頼性は異なります。
異なる主なポイントは以下の通りです。
- 診断範囲・項目の深さ
- 診断実績(導入事例)
- 診断方法の違い
診断範囲・項目の深さはツール(サービス)ごとに異なり、例えばツールで自動診断するよりも、技術者が分析・想定して診断することにより、診断への信頼性が向上します。また、過去の診断実績を参考にするのも選定ポイントの一つと言えるでしょう。
そのため、正確かつ効率的に診断を受けるためには、専門性の高い診断員とツールをかけ合わせたサービスをおすすめします。
料金体系(オプション料金)
脆弱性診断ツールやサービスにかかる費用は、提供する会社によってさまざまです。そのため、自社のニーズに必要な費用対効果の高いサービスを選ぶことが重要であるといえるでしょう。
確認すべきポイントは、初期費用・月額料金・オプション料金などです。複数社を比較しながら、費用感が適正であるかを確認しましょう。
サポート体制
脆弱性診断ツール・サービスを選ぶ際には、問題が発生した場合の対応の速さ、診断後のアフターフォローの有無などが求められます。そのため、サポート体制がしっかりしているかを事前に確認することが重要です。
ツール・サービスを提供するベンダーのサポート可能な範囲や、必要に応じてレポーティングやコンサルティングまで依頼できるかを調べておきましょう。
同業種での導入実績
診断の精度や料金体系だけではサービスが選定できない場合、同業種での導入事例の有無を確認することで、そのツールやサービスが自社に適しているかを確認できるポイントの一つとなります。
また、導入事例を参考にすることで、どのような事象の診断に強いかなどの傾向を確認することができ、自社が提供するサービスのニーズに近い企業を選定することができるでしょう。
まとめ
脆弱性診断ツール(サービス)とは、サイバー攻撃を受けやすいウェブシステムに対し、スキャンや模擬攻撃を行うことで、該当のセキュリティに対して欠陥の有無を診断するサービスです。
脆弱性診断ツール(サービス)には、クラウド型・ソフトウェア型・オープンソース型の3種類があり、これらのツールは自社のウェブシステムのセキュリティ状況を把握するために利用され、セキュリティ対策の基礎として定期的に診断を行うことをおすすめします。
脆弱性診断ツール(サービス)を活用することで、未然に企業の情報漏洩などを防ぐことが可能になり、客観的な評価で社会的信用を向上させるためにも、セキュリティ対策は非常に重要です。
「GMOサイバーセキュリティbyイエラエ」では、クラウド診断・ブロックチェーン脆弱性診断・スマホアプリ脆弱性診断など、セキュリティに対するさまざまなサービスを展開しております。
企業のニーズに沿ったサービスを的確にご案内し、ウェブサービスやアプリにおけるセキュリティ上の問題を解決いたします。
まずはセキュリティ診断の結果や取るべき対策がわかる、「資料請求」からお気軽にご利用ください。
文責:GMOインターネットグループ株式会社
