無料セキュリティ診断ツールおすすめ6選(4月21日時点)
まずは、無料で利用できるおすすめのセキュリティ診断ツールを見ていきましょう。
OWASP ZAP
OWASP ZAPはオープンソース型のセキュリティ診断ツールです。主にWebアプリケーションに存在する脆弱性を発見するために使います。オープンソースになるため、利用するには専門知識があるエンジニアが開発を行わなければなりません。
コストを抑えてWebサイトのセキュリティ診断を行いたい企業におすすめです。
urp Suite
Burp SuiteはWebアプリケーションを開発するときに活用できるローカルプロキシツールです。無料版でもセキュリティ診断を行えるさまざまな機能を持つため、脆弱性を発見しやすいです。
公式サイトは英語のみで、利用するためには専門的な知識が要りますが、自動診断を行えるため便利でしょう。
Nikto
NiktoはWebサイトの脆弱性をメインに診断できるオープンソースです。Webアプリケーション上の問題だけでなく、ミドルウェアの設定のセキュリティ上の問題もチェックできます。技術があればプラグインを利用して機能を拡張することも可能です。
Nmap
Nmapはポートスキャン機能などにより、さまざまなセキュリティの脆弱性をチェックできる無料ツールです。自社のポートが外部からアクセス可能かどうかを調べられます。メインの機能はポートスキャンになりますが、OSやバージョンの検出機能なども搭載。
Nessus
Nessusは特定のサーバに対してポートスキャンを行える診断ツールです。ポートスキャンだけでなく、擬似的なアクセス(攻撃)を行うことで、存在する脆弱性をチェックできます。サーバに使われているソフトウェアの脆弱性や設定ミス、危険性が高いパスワードも診断可能。
また、詳細のレポートをさまざまな形式で作成できるのも特徴です。
自診くん
自診くんはインターネットに接続している端末に危険性がないか診断できるツールです。主に、サイバー攻撃に悪用されないか確認できます。利用規約に同意すれば、自分が使っている端末が安全な設定かどうか、すぐに診断することが可能。
しかし、診断する内容の案内には専門的な用語が含まれているため、多少の知識は必要です。
セキュリティ診断ツールにおける無料と有料の違い
セキュリティ診断を行うにはそれなりの費用がかかるため、コスト削減のために無料ツールを利用するのは有効です。しかし無料の診断ツールは、詐欺に遭う可能性もあるため注意してください。
例えば、偽のセキュリティ診断を行うように誘導させ、診断をスタートすると「非常に危険な状態です!」と表示されます。その後、高額なセキュリティ製品を購入させる詐欺は多いです。
また、無料セキュリティ診断ツールを操作する際は、専門的な知識がなければいけません。有料ツールは無料ツールと違い、使い方のサポートを受けられます。そのため、エンジニア経験がない場合でも運用できるでしょう。利用するツールによっては、診断結果に基づくアドバイスを受けられることもあるのでおすすめです。
有料セキュリティ診断ツールおすすめ16選(4月21日時点)
つづいて、おすすめの有料セキュリティ診断ツール、サービスを見ていきましょう。
SCT SECURE脆弱性診断
三和コムテック株式会社
- checkソフトウェア・ハードウェアのインストール不要。
- check毎日診断で、常時最新の脆弱性情報に基づいた診断を行います。
- checkPCIDSS ASV資格を持つ診断サービスです。
SCT SECURE脆弱性診断は、サイバー攻撃を受けやすい脆弱性を特定できるサービスです。危険度が高い脆弱性を発見すれば、優先順位を設定してリスク管理を的確に行えます。実施できる診断回数は多いため、常に安全な状態を維持できるでしょう。
複雑で規模が大きい企業にも対応しているので、各国に拠点を構える企業にもおすすめです。
Security Blanket シリーズ
株式会社M&K
- checkお客様のWebサイトに対し、安全性を徹底的に調査
- check攻撃者の視点から様々な疑似攻撃を考察・試行
- check自動診断と手動診断でレポートを作成
Security Blanketは脆弱性を検知する高い技術力を有しており、複雑な構成でも対応できるサービスです。診断ツールの中では珍しいSaaS型で提供しており、低価格で自社の安全性を確認できます。
独自の基準によりセキュリティの強度を6段階で表示しており、改善が必要な部分もレポートに記載。再現手順の詳細も記載しているため、確実な対策が可能です。
セキュリティ診断・脆弱性診断サービス SiteScanシリーズ
アイティーエム株式会社
- checkSaaS型なので最短2営業日で診断可能
- checkお手軽にWebブラウザで診断からレポートの確認まで行えます
- check「年間回数無制限プラン」で継続的なセキュリティ対策を実現
SiteScanはツール診断と、エンジニアが行うツール診断を組み合わせて精度が高い診断を行っています。主にネットワーク、サーバ、Webアプリケーションの脆弱性を診断することが可能。手軽に脆弱性を見つけて、サイバー攻撃や情報漏えい事故を予防できるでしょう。
セキュリティ診断サービス
株式会社セキュアブレイン
- checkITインフラ診断でサーバやネットワーク機器を診断
- checkWebアプリ診断でWeb アプリケーションの脆弱性を検査
- checkソースコード診断で開発の段階から脆弱性を発見
セキュアブレインはWebサーバに存在する脆弱性を発見し、的確な対策を行える診断サービスです。診断メニューは複数あり、ITに関するインフラやプログラムのコードに潜む脆弱性も発見可能。
ネットワーク機器やミドルウェア、OSといった自社が課題を感じている分野の対策を行えるでしょう。
セキュリティ診断サービス
株式会社セキュアスカイ・テクノロジー
- check高い脆弱性検出率
- check無償での再診断
- checkWebアプリケーション&プラットフォーム診断セットでお得プラン
セキュアスカイ・テクノロジーは、Webセキュリティの専門家が行う精度が高い診断サービスを提供しています。年間の診断数が非常に多く、豊富なノウハウを活かした診断であるため信頼度が高いです。セキュリティ上の問題点を的確に診断し、セキュリティ対策に活かせます。
- checkWebサイトボリューム無制限の均一価格で診断!
- check国内初の第三世代ペネトレーション診断で検出力が全く違う!
- checkWebアプリとサーバーを一括診断しますから、コストが断然お得!
V-threatは大容量のWebサイトを保有している企業におすすめの診断サービスです。AIを使ったセキュリティ診断を行っており精度が高いですが、比較的低コストで診断可能。機械学習によって、さまざまなガイドラインに対応できます。
ネットワーク、サーバ、OS、Webアプリケーションといった幅広い範囲にも対応。
セキュリティ診断サービス
ソフトバンク・テクノロジー株式会社
- check攻撃者目線で侵入検査だけでなく侵入後の踏み台からの診断も実施
- checkツールではなくペンテスターがハッカーと同じ手法で侵入を施行
- check標的型攻撃の侵入後or内部犯の想定でADの設定強度を調査・報告
ソフトバンク・テクノロジーは、日本で唯一Active Directoryを実施している診断サービスです。診断対象の脆弱性だけでなく、ウイルスの潜伏活動などの兆候を検出できます。現在のセキュリティ強度を的確に診断することで、自社が取るべき対策も具体的になるでしょう。
セキュリティ・プラス Webアプリケーション診断サービス
株式会社アズジェント
- check診断に必要な要素をパッケージング
- check様々な用途に利用
セキュリティ・プラスは、潜在的な脆弱性を検証できるWebアプリケーション診断サービスです。必要な診断の内容をパッケージにしており、総合的なセキュリティ診断が可能。診断は1度だけでなく、脆弱性や問題点を修正した後の再診断にも対応しています。
専門家が診断を行うため、Webサイトの構造を細かく診断し、サイバー攻撃の対策を行えるでしょう。
【セキュリティ・プラス セキュア・ドック】
株式会社アズジェント
- checkマルウェア感染による情報漏えいを未然に防止
- checkネットワークシステムの定期的な健康診断
セキュリティ・プラス セキュア・ドックは、マルウェアの感染をいかに早く見つけられるかに注力したサービスです。巧妙化しているマルウェアは感染していることにも気づきにくいため、マルウェア感染の診断を定期的に行うことで感染の早期発見ができ、情報漏えいを防止します。
より確実にマルウェアの被害を抑えたい企業におすすめです。
セキュリティ・プラス プラットフォーム診断
株式会社アズジェント
- check診断に必要な要素と安心のアフターサービスをパッケージング
- check対象IP数に応じたシンプルな価格設定
セキュリティ・プラス プラットフォーム診断は、社内ITのインフラ全体を診断するサービスです。社内で稼働しているサーバ、OS、ネットワークなどを対象とした診断が可能。診断後は専門家によるレポートをもとに万全なセキュリティ対策を行えるでしょう。
また脆弱性を修正し、セキュリティ対策を行った後にも再診断してくれます。
脆弱性診断サービス
株式会社 USEN ICT Solutions
- check第三者機関からの 推奨・義務化
- checkセキュリティホール を未然に発見
- check分かりやすい 日本語レポート
USEN ICT SolutionsはWebサイト、OS、ミドルウェアの脆弱性がないか診断するサービスです。主にネットワークの設定に対して診断を行い、セキュリティ上の危険がないか安全性をチェックします。
診断結果に応じて、脆弱性の対策を行うことで侵入、改ざん、情報漏えいを予防できるでしょう。
アルファネットのセキュリティ診断サービス
アルファネットのセキュリティ診断サービスは診断範囲が幅広く、総合的なセキュリティ対策を行えます。細かい部分まで検証できるため、信頼度が高いです。技術力が高い専門的なエンジニアが多く在籍し、さまざまな角度から擬似攻撃の実施が可能。
ツール診断、手動診断を行うことにより、精度も高いのでおすすめです。
NTT東日本のWebセキュリティ診断
NTT東日本のWebセキュリティ診断では、Webサイトのさまざまな脆弱性を診断できるサービスです。人の目では発見することが難しいWebサイトの改ざんも発見することが可能。また、定期的に診断を行えるため、常に安全な状態を維持できるでしょう。
診断結果は分かりやすいレポートにまとめてくれるため、適切な対策を行えます。
SiteLock
SiteLockはWebサイトの脆弱性を早期発見し、自動的に対処できる診断サービスです。Webサイトに潜む脆弱性だけでなく、不正改ざんの有無も検出可能。対応しているWebアプリケーションは多いため、サービスを利用しやすいです。
もし緊急性の高い脆弱性が見つかった場合は、的確なアドバイスを受けることも可能。
Webアプリケーション脆弱性診断サービス
テクマトリックスが提供しているWebアプリケーション脆弱性診断は、動的・静的診断を行っています。動的診断では、アプリケーションの構成を踏まえた手動診断を実施。構築したリリース前のWebアプリケーションの診断に適しています。
静的診断では、構築したソースコードに対する脆弱性が診断可能。ツール診断により早い段階で脆弱性を発見できます。
セキュリティ診断サービスの正しい選び方
最後に、セキュリティ診断サービスの正しい選び方を見ていきましょう。
1:手動診断ができるか
セキュリティ診断サービスを選ぶときには「手動診断」の有無を確認しましょう。診断方法には主に「ツール診断」と「手動診断」があります。
ツールを使った診断であれば、コストが安く短時間で完了しますが、複雑な構成には対応できません。つまり、ツール診断を行って脆弱性が発見されなくても、セキュリティリスクが隠れている可能性はあるでしょう。
それに対して手動診断は、サービス提供元のエンジニアが疑似的な攻撃を仕掛けることで社内の脆弱性を確かめます。複数の攻撃パターンを検証できるだけでなく、Webサイト特有の脆弱性は手動診断でなければ見つけられません。
手動診断はコストが高く、時間もかかりますが、しっかりとした診断を行うときには必要です。
2:診断水準が高いか
自社のセキュリティ強度が適切かどうかを確かめるためには、診断水準が高いサービスを使う必要があります。診断水準が高いサービスであれば、自社の弱点をより正確に診断できるでしょう。
特に手動診断の場合は、担当する技術者によって経験値が異なるため診断結果は大きく変わるでしょう。診断サービスを利用する前に、担当するエンジニアの診断実績を確認することが大切です。
またツール診断の場合も、レポートの内容は担当者の技術レベルで異なるため注意してください。セキュリティに関する知識がない社員でも理解できるレポートなのか、サンプルで確認するとよいでしょう。
3:アフターケアが充実しているか
セキュリティ診断では、診断後の脆弱性を改善することが重要であるため、アフターケアの充実度も必要です。サービス利用後に相談を行うことや、アドバイスを受けられるかどうかを確認しましょう。
例えば、重大な脆弱性が見つかった場合でも、改善策が分からなければ非常に危険です。どんな対策をすべきか、などを専門的なコンサルタントに相談できるサービスであれば安心でしょう。
セキュリティ診断ツールを使って、安全性の向上を!
無料のセキュリティ診断ツールも多くありますが、詐欺に遭う可能性もあるので注意してください。オープンソースの場合は専門的な知識や技術が必要です。
確実に自社のセキュリティ上の弱点を把握したい場合は、サポートが手厚い有料サービスがおすすめです。サービスを選ぶときは手動診断の有無、診断水準、アフターケアの充実度を確認してください。最適なセキュリティ診断ツールを使って、安全性の向上を図りましょう。
関連製品・サービス
資料請求ランキング
