無料で利用できるセキュリティ診断サービス比較
さっそく、無料プランのあるセキュリティ診断サービスを紹介します。有料プランの価格のほか、ツールによる自動診断か専門家による手動診断かも比較しているので、サービス選定の参考にしてください。
Securify
- 【専門知識は不要!】URLを登録し最短3ステップで診断開始
- 【シンプルで直感的】使いやすいインターフェイスで操作も楽々
- 【継続的診断が可能】明確なレポートと予約機能で継続的な診断を
株式会社スリーシェイクが提供する「Securify」は、2,000を超える診断項目のあるWebアプリケーション脆弱性診断ツールです。複雑な事前設定は不要で、プロジェクトの作成とドメイン所有者を確認したら、診断対象のURLを登録し診断します。脆弱性の危険度や起こりうる問題などを管理画面で確認できます。レポート出力やSlack連携などによって、診断結果の外部共有も行いやすいでしょう。
| ツール診断 | ◯ | 手動診断 | ◯ |
| 有料プラン参考価格 | 初期費用無料 STARTER:月額50,000円 BASIC:月額100,000円 | ||
Securifyを利用したユーザーの口コミ
無制限でスキャンができるのはよいが、その料金体系が最初は不透明だったので、最初は導入までなかなか踏み切れなかった。もう少し分かりやすいプランを出すとよい。
続きを読む
IssueHunt バグバウンティ
- 脆弱性が発見された場合のみ支払いの発生する成果報酬型
- 開発から運用・サポートまで、全て国内自社対応の安心サービス
- 面倒な準備不要。コアな業務に集中できる運用代行サポートも有
IssueHunt株式会社が提供する「IssueHunt バグバウンティ」は、世界中のホワイトハッカーが脆弱性診断を実施する国産システムです。欧米企業や政府機関にも採用されています。脆弱性を発見した際に料金が発生する成果報酬型のため、固定費用をかけずに利用できるのが特徴です。運用代行サポートもあり、専属マネージャーによる報告対応の代行も可能です。
| ツール診断 | ー | 手動診断 | ー |
| 有料プラン参考価格 | 初期費用無料、月額費用無料 脆弱性ごとに懸賞金をかける仕組み | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
おすすめ製品はまとめて資料請求が可能です。以下のボタンよりご利用ください。
自診くん
株式会社ラックが提供する「自診くん」は、インターネットに接続している端末に危険性がないか、ブラウザで自己診断できるサービスです。主に、サイバー攻撃に悪用されないかの確認が可能で、診断費用は無料です。利用規約の同意にチェックするだけで、使用している端末の診断がはじまります。
エレシーク
株式会社コーボー・ホールディングスの「エレシーク」は、Webページにおける簡易的なセキュリティ診断ツールです。Webサイト改ざんや情報漏えい、マルウェア感染を調査します。ブラウザ上で対象のURLを入力するだけで、無料診断を実行します。脆弱性が発見された場合は、深刻度のスコア判定レポートを確認できる有料サービスもおすすめです。
Burp Suite
PortSwigger社の「Burp Suite」は、Webアプリケーションのセキュリティテストを行うツールです。Web資産をスキャンしてセキュリティ体制を確認します。JilayやGitLab、Trelloとの統合が可能で、ソフトウェア開発プロセスにもセキュリティを組み込めます。機能制限はありますが、Burp Suite Community Editionは無料で利用でき、従量制の料金設定もポイントです。
ZAP
「ZAP」は、オープンソースのセキュリティ診断サービスです。主にWebアプリケーションに存在する脆弱性を発見するために使用します。なお、コストを抑えた導入が可能ですが、利用するには専門知識や技術をもつエンジニアが必要です。
Nikto
「Nikto」は、Webサイトの脆弱性をメインに診断できるオープンソースのツールです。Webアプリケーション上の問題だけでなく、ミドルウェアの設定におけるセキュリティ上の問題も検出します。技術があればプラグインを利用して機能を拡張も可能です。
Nmap
「Nmap」は、ポートスキャン機能などにより、さまざまなセキュリティの脆弱性をチェックできるオープンソースのツールです。自社のポートが外部からアクセス可能かを調べられます。OSやバージョンの検出機能なども搭載しています。
無料のセキュリティ診断サービスと有料サービスの違い
セキュリティ診断にかかるコストをできるだけ抑えるには、無料サービスは魅力的な選択肢です。ただし、「無料」を謳った悪質な診断サービスも存在するので注意してください。
例えば、偽のセキュリティ診断を行うように誘導し、診断をスタートすると「非常に危険な状態です!」と表示されます。その後、高額なセキュリティ製品を購入させる詐欺が発生しています。
また、オープンソース(OSS)製品の場合、診断結果を読み解いてサイト改修するための専門的な知識が必要です。有料サービスなら、使い方のサポートや診断結果にもとづくアドバイスが受けられます。エンジニアや情報システム担当者がいない企業でも、的確なセキュリティ対策を実施できるでしょう。
有料のセキュリティ診断サービスも含めて検討したい方には、以下の記事が役立ちます。最新サービスの特徴や機能を比較し、料金相場も紹介しています。
無料で試せるセキュリティ診断サービス比較
ここからは、無料トライアルを利用できる有料のセキュリティ診断サービスを紹介します。サービス導入前に、機能を試したり使用感を確かめたりして、自社との相性を確認できます。各サービスの資料請求も可能なので、ぜひご利用ください。
Webアプリケーション脆弱性検査ツール vex
- 自動巡回、またはシナリオマップによる簡易なシナリオ作成
- ユーザの利用環境に合わせて幅広く利用できる柔軟な利用形態
- 目的や利用者に合わせた日本語/英語10種類の多種多様なレポート
株式会社ユービーセキュアが提供する「Webアプリケーション脆弱性検査ツール vex」は、Webサイトの特性や利用者に応じて検査手法を選択できます。簡易なシナリオ作成をする自動巡回や、複雑なテストシナリオにも対応するHandler設定など、自動と手動を組み合わせられます。診断結果のレポートも、目的にあわせた項目やレイアウトでわかりやすさが特徴です。2週間の無料トライアルを実施しています。
| ツール診断 | ◯ | 手動診断 | ◯ |
| 有料プラン参考価格 | ー | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
AeyeScan
- 【学習コストゼロ】非エンジニアの方でもOK!定評ある使いやすさ
- 【高度なAI技術】高精度な巡回・わかりやすい日本語のレポート
- 【無料トライアル】本格的な診断・画面遷移図による可視化を体験
株式会社エーアイセキュリティラボが提供する「AeyeScan」は、AIとRPAを活用したWebアプリケーションの脆弱性診断ツールです。専門知識が不要で、最短10分で導入できます。AIがサイトを自動巡回し、診断すべき画面を抽出。画面遷移図を自動生成します。さらに、OWASP基準など幅広い診断項目にも対応します。無料トライアルも可能です。
| ツール診断 | ◯ | 手動診断 | ◯ |
| 有料プラン参考価格 | ー | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
insightVM
- 定期的なスキャンは差分だけ!最小限の負荷で脆弱性を発見!
- 脆弱性をスコア化!深刻度に応じて対応の優先順位づけが可能!
- ダッシュボードで今発生しているリスクが一目でわかる!
ラピッドセブン・ジャパン株式会社が提供する「insightVM」は、ネットワークの全機器やクラウドをすべてスキャンして脆弱性を調査するセキュリティ診断システムです。脆弱性の深刻度を1~1,000のリスクスコアで評価し、対処すべき優先順位を明確にします。さらに、発見された脆弱性の修正や対処におけるプロジェクトも可視化され、進捗状況やプログラムの動作測定をシステム上で管理します。無料トライアルは30日間です。
| ツール診断 | ◯ | 手動診断 | ー |
| 有料プラン参考価格 | ー | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
insightVMを利用したユーザーの口コミ
私の会社では主にプラットフォーム診断でこちらの製品を使わせていただいております。 その際診断対象環境の情報をいくつか登録するだけで、あとはワンクリックで診断してくれるので使いやすいです。
続きを読む
メニューバーがアイコンなのですが、少し直感的に意味が分かりづらく感じております。 UI/UXについてはもう少しわかりやすくしてもらえると嬉しいかもしれません。 慣れれば問題ないのですが、普段使わない機能などを利用する際に少しだけ操作がぎこちなくなってしまいます。
続きを読む
Tripwire IP360
- リスクを優先順位付け!スコアリングで重要項目に焦点を充てる!
- 誤検知を減らし、効率的なセキュリティ対策が可能!
- SC Media Awardで5つ星を獲得!高い信頼性を誇ります。
トリップワイヤ・ジャパン株式会社が提供する「Tripwire IP360」は、スコアリング機能により、効率的なリスク対処に適したソフトウェアです。脆弱性の影響度や悪用性の高さ、リスクの存在期間などあらゆる角度から要素のスコアリングを実施します。さらに、ホストの資産価値も追加し測定し、脆弱性だけでなく資産価値も考慮した優先順位が可能です。また、オープンAPIで脆弱性管理機能と資産管理ソリューションの統合で、リスクの侵害を防止します。無料トライアルは30日間です。
| ツール診断 | ◯ | 手動診断 | ー |
| 有料プラン参考価格 | ー | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Tripwire IP360を利用したユーザーの口コミ
UEBA、CASBなどの用語がトレンドになる前から類似の機能を提供していた老舗ベンダー。内部不正対策にはもっとも効果のある製品。
続きを読む
あくまで企業LAN内での利用を前提としているイメージ。逆にUEBA、CASBの置き換えとしては不十分であること。
続きを読む
GRED Webセキュリティ診断 Cloud
- 発見された脆弱性を危険度で色分けして一目で確認可能!
- URL入力と簡単な設定のみで毎日の診断をスタート!
- ログインが必要なページの診断にも対応!
株式会社日立システムズが提供する「GRED Webセキュリティ診断 Cloud」は、診断したいWebサイトのURLを一度登録するだけで定期的にスキャンできるのが特徴です。定期的にスキャンするモードと、都度診断するモードを選べるので、ニーズに応じて利用できます。なお、脆弱性を見つけた場合は管理者にアラートメールが届き、危険度に応じ色分けしてWeb上のダッシュボードに状況が表示されます。
| ツール診断 | ◯ | 手動診断 | ー |
| 有料プラン参考価格 | ー | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
GRED Webセキュリティ診断 Cloudを利用したユーザーの口コミ
今の時代のホームページ運用には定期的なセキュリティ診断は必須ですが、診断対象のサイトを登録しておくだけで自動診断してくれるので安心です
続きを読む
登録したサイトなどの情報を視覚的に表示してくれると助かります。また細かな通知設定が可能となればと考えます。
続きを読む
Secualive
- 自社開発の脆弱性自動診断ツールで定期的に診断を自動で行う
- 請負開発の納品前セキュリティチェックを短い期間で実施できる
- 低価格でセキュリティチェックを行いたい企業にオススメ
株式会社トレードワークスが提供する「Secualive」は、Webアプリケーションの脆弱性診断を行うクラウド型サービスです。JVNやNVDなどのデータベースから最新の脆弱性情報を取り込み、いつでも検索が可能です。自動診断に対応していないアプリケーションも、ツールをカスタマイズして利用できる場合もあるため、事前の相談がおすすめです。
| ツール診断 | ◯ | 手動診断 | ◯ |
| 有料プラン参考価格 | 年間ライセンス:300,000円 | ||
自社の課題解決につながるサービスを選定するには、複数製品を比較することが大切です。サービス数が多く決めかねている方は、最新の資料請求ランキングも参考にしてください。
セキュリティ診断サービスの正しい選び方
次に、セキュリティ診断サービスの選び方を見ていきましょう。無料サービスと有料サービスのどちらにおいても、以下の3つポイントに着目してみてください。
手動診断ができるか
セキュリティ診断サービスを選ぶときには、「手動診断」の有無を確認しましょう。診断方法には、主に「ツール診断」と「手動診断」があります。
ツールを使用した診断であれば、コストが安く短時間で完了します。しかし、複雑な構成には対応できません。つまり、ツール診断を行って脆弱性が発見されなくても、セキュリティリスクが隠れている可能性はあるでしょう。
一方、手動診断は、サービス提供元のエンジニアが疑似的な攻撃を仕掛けることで複数の攻撃パターンを検証し、社内の脆弱性を確かめます。そもそも、Webサイト特有の脆弱性は手動診断でなければ見つけられません。手動診断はコストが高く、時間もかかりますが、確実性の高い診断を行うためには必要です。
診断水準が高いか
診断水準が高いサービスであれば、自社の弱点をより正確に診断できるでしょう。特に手動診断の場合は、担当する技術者によって経験値が異なるため、診断結果は大きく変わります。診断サービスを利用する前に、担当するエンジニアの診断実績を確認することが大切です。
また、ツール診断の場合も、社内担当者の技術レベルによって求めるレポート内容は異なります。セキュリティに関する知識がない従業員でも理解できるレポートなのか、サンプルで確認するとよいでしょう。
アフターケアが充実しているか
セキュリティ診断では、診断後の脆弱性を改善することが重要です。そのため、充実したアフターケアが不可欠です。サービス利用後に相談できるのか、アドバイスを受けられるのかを確認しましょう。
例えば、重大な脆弱性が見つかった場合でも、改善策が分からなければ非常に危険です。どのような対策をすべきかなどを専門的なコンサルタントに相談できるサービスであれば安心でしょう。
まとめ
無料のセキュリティ診断サービスもありますが、悪質なサイトも存在するので注意が必要です。また、オープンソースの場合は専門的な知識や技術が求められるでしょう。診断の目的や運用など、自社にあわせたサービスの導入が大切です。
セキュリティ診断サービスを選ぶときは、手動診断の有無や診断水準、アフターケアの充実度を確認しましょう。有料サービスも視野にいれ、無料トライアルで実際に使用するのもおすすめです。
記事内で紹介したセキュリティ診断サービスの多くは、資料請求(無料)が可能です。選択したサービスで比較表も作成できるため、ぜひ社内検討に役立ててください。
社内で使うウェブアプリケーションが外部の脅威にさらされた場合、どの程度の強靭さと脆弱性があるのかを手軽に診断してくれるセキュリティサービス。診断項目が多岐にわたっていて細かいところまで見てくれる。しかもスキャンの時間や回数は無制限であり、定額で利用できるので、利便性が高い。診断にはURLを入力しさえすればよく、直感的な操作が可能であるのもよい。
続きを読む