無料で使えるセキュリティ診断サービス比較
まずは、無料で利用できるセキュリティ診断サービスを見ていきましょう。
自診くん
株式会社ラックが提供する「自診くん」は、インターネットに接続している端末に危険性がないか自己診断できるサービスです。主に、サイバー攻撃に悪用されないか確認できます。利用規約に同意すれば、自分が使っている端末が安全な設定かどうか、すぐに診断することが可能です。
エレシーク
株式会社コーボー・ホールディングスの「エレシーク」は、簡易的なセキュリティ診断が無料で行えるツールです。Webサイト改ざんや情報漏えい、マルウェア感染がないかを診断できます。脆弱性が発見された場合は、より詳しく検査できる有料サービスが用意されています。
Burp Suite
PortSwigger社の「Burp Suite」は、Webアプリケーションを開発するときに活用できるローカルプロキシツールです。一部、機能制限はありますが、Burp Suite Community Editionは無料で利用できます。公式サイトは英語のみで、利用するためには専門的な知識が要りますが、自動診断を行えるため便利でしょう。
OWASP ZAP
「OWASP ZAP」は、オープンソースのセキュリティ診断サービスです。主にWebアプリケーションに存在する脆弱性を発見するために使います。利用するには専門知識があるエンジニアが必要ですが、リソースがあればコストを抑えてWebサイトのセキュリティ診断を行えます。
Nikto
「Nikto」は、Webサイトの脆弱性をメインに診断できるオープンソースのツールです。Webアプリケーション上の問題だけでなく、ミドルウェアの設定におけるセキュリティ上の問題もチェックできます。技術があればプラグインを利用して機能を拡張することも可能です。
Nmap
「Nmap」は、ポートスキャン機能などにより、さまざまなセキュリティの脆弱性をチェックできるオープンソースのツールです。自社のポートが外部からアクセス可能かどうかを調べられます。メインの機能はポートスキャンになりますが、OSやバージョンの検出機能なども搭載しています。
無料セキュリティ診断サービスと有料サービスの違い
セキュリティ診断を行うにはそれなりの費用がかかるため、コスト削減のために無料サービスを利用するのは有効です。ただし、「無料」を謳った悪質な診断サービスも存在するので注意してください。
例えば、偽のセキュリティ診断を行うように誘導させ、診断をスタートすると「非常に危険な状態です!」と表示されます。その後、高額なセキュリティ製品を購入させる詐欺は少なくないのです。
また、無料セキュリティ診断サービスを操作する際は、専門的な知識がなければいけません。有料サービスは無料サービスと違い、使い方のサポートを受けられたり、診断結果に基づくアドバイスを受けられたりします。そのため、エンジニア経験がない場合でも運用できるでしょう。
有料セキュリティ診断サービスを徹底比較
ここからは、おすすめの有料セキュリティ診断サービスを見ていきましょう。
株式会社セキュアスカイ・テクノロジーのセキュリティ診断サービス
製品・サービスのPOINT
- 高い脆弱性検出率
- 無償での再診断
- Webアプリケーション&プラットフォーム診断セットでお得プラン
ツール診断 | 手動診断 | 参考価格 |
◯ | ◯ | 400,000円~1,280,000円 |
株式会社セキュアスカイ・テクノロジーが提供する「セキュリティ診断サービス」は、Webアプリケーション診断とプラットフォーム診断に対応しており、リモートで診断します。Webアプリケーション診断では専門の技術者が問題点を検出し、プラットフォーム診断はツールを用いて脆弱性やシステム構成上の問題を見つけ出します。なお、無償で再診断してくれるので安心です。
株式会社セキュアイノベーションのセキュリティ脆弱性診断サービス
製品・サービスのPOINT
- さまざまなセキュリティ診断に対応!
- 実際に擬似アタックを実施
- 結果はしっかりとレポートにて提出!
ツール診断 | 手動診断 | 参考価格 |
◯ | ◯ | 195,000円~ |
株式会社セキュアイノベーションが提供する「セキュリティ脆弱性診断サービス」は、Webアプリケーションとネットワークを対象にしたサービスです。リモート・オンサイト診断に対応し、診断ツールとセキュリティエンジニアによる診断を組み合わせた診断も可能です。オプションで実施可能な診断報告会は、診断の結果を社内に周知し、セキュリティに対する共通認識を持つことができます。
《Security Blanket シリーズ》のPOINT
- お客様のWebサイトに対し、安全性を徹底的に調査
- 攻撃者の視点から様々な疑似攻撃を考察・試行
- 自動診断と手動診断でレポートを作成
ツール診断 | 手動診断 | 参考価格 |
◯ | ◯ | 100,000円~ |
「Security Blanket シリーズ」は、診断事業者として10年の実績がある株式会社M&Kが提供する脆弱性診断サービスです。独自に開発した自動診断ツールと手動診断を組み合わせたハイブリット診断も可能です。Webアプリケーションやネットワーク、ソースコードの診断サービスが提供されており、手動セキュリティ診断サービスの報告書にはセキュリティの重要度が6段階で示され、対策に活かせる説明が受けられるでしょう。
《SCT SECURE脆弱性診断》のPOINT
- ソフトウェア・ハードウェアのインストール不要。
- 毎日診断で、常時最新の脆弱性情報に基づいた診断を行います。
- PCIDSS ASV資格を持つ診断サービスです。
ツール診断 | 手動診断 | 参考価格 |
◯ | ー | 353,000円~ |
三和コムテック株式会社の「SCT SECURE脆弱性診断」は、クラウド型自動脆弱性診断サービスです。ツールによる診断を毎日行い、最新の脆弱性情報に基づいてネットワークデバイスとWebアプリケーションを検査します。さらに、ツールのメンテナンスは不要で、自動的に定期検査が行われるため管理の負担がかかりません。
製品・サービスのPOINT
- 定期的な自動診断で継続的なセキュリティ対策を提供
- 診断するURL を登録するだけでサービスが開始
- 直感的で分りやすいダッシュボードで危険をお知らせ
ツール診断 | 手動診断 | 参考価格 |
◯ | ー | 128,000円~ |
株式会社セキュアブレインが提供する「GRED Webセキュリティ診断 Cloud」は、診断したいWebサイトのURLを一度登録するだけで定期的にスキャンできるWebサイト自動脆弱性診断サービスです。定期的にスキャンするモードと、都度診断を実施するモードを選べるのでニーズに応じて利用できる点もメリットでしょう。なお、脆弱性を見つけた場合は管理者にアラートメールが届き、危険度に応じ色分けしてWeb上のダッシュボードに状況が表示されます。
製品・サービスのPOINT
- 自社でSOCを運営する総合IT企業が提供
- 世界最高峰の脆弱性診断ツール AppScanによる高品質な診断
- 自動診断の他ホワイトハッカーによる高次元診断もご用意
ツール診断 | 手動診断 | 参考価格 |
◯ | ◯ | 180,000円~680,000円 |
「Web脆弱性診断」は株式会社ピーエスシーが提供するセキュリティ診断サービスです。低コストかつ最短3日で診断できる「クイックプラン」、サポートがついた「スタンダードプラン」、ホワイトハッカーによる診断がついた「プロフェッショナルプラン」の3つのプランがあり、ニーズに合わせて選択できるでしょう。なお、診断ツールは最高峰の「AppScan」を採用していますが、クラウド型なので安価で使えます。
株式会社 USEN ICT Solutionsの脆弱性診断サービス
製品・サービスのPOINT
- 第三者機関からの 推奨・義務化
- セキュリティホール を未然に発見
- 分かりやすい 日本語レポート
ツール診断 | 手動診断 | 参考価格 |
◯ | ◯ | 70,000円~ |
株式会社 USEN ICT Solutionsが提供する「脆弱性診断サービス」は、Webサイト、OS・ミドルウェアの脆弱性がないか診断するサービスです。主にネットワークの設定に対して診断を行います。自動診断と手動診断に対応しており、自動診断は好きなタイミングで実施でき、即日レポートが発行されます。手動診断では、脆弱性が発見された場合、それを修正後再診断を受けることも可能です。
セキュリティ診断サービスの正しい選び方
最後に、セキュリティ診断サービスの正しい選び方を見ていきましょう。
1.手動診断ができるか
セキュリティ診断サービスを選ぶときには「手動診断」の有無を確認しましょう。診断方法には主に「ツール診断」と「手動診断」があります。
ツールを使った診断であれば、コストが安く短時間で完了しますが、複雑な構成には対応できません。つまり、ツール診断を行って脆弱性が発見されなくても、セキュリティリスクが隠れている可能性はあるでしょう。
それに対して手動診断は、サービス提供元のエンジニアが疑似的な攻撃を仕掛けることで複数の攻撃パターンを検証し、社内の脆弱性を確かめます。そもそも、Webサイト特有の脆弱性は手動診断でなければ見つけられません。手動診断はコストが高く、時間もかかりますが、しっかりとした診断を行うときには必要です。
なお、セキュリティ診断サービスについてもっと詳しく知りたい方は、以下の記事も御覧ください。
関連記事
watch_later 2021.06.03
セキュリティ診断とは?種類・目的・メリット・選び方がマルわかり!
続きを読む ≫
2.診断水準が高いか
診断水準が高いサービスであれば、自社の弱点をより正確に診断できるでしょう。特に手動診断の場合は、担当する技術者によって経験値が異なるため診断結果は大きく変わるでしょう。診断サービスを利用する前に、担当するエンジニアの診断実績を確認することが大切です。
また、ツール診断の場合も、レポートの内容は担当者の技術レベルで異なります。セキュリティに関する知識がない社員でも理解できるレポートなのか、サンプルで確認するとよいでしょう。
3.アフターケアが充実しているか
セキュリティ診断では、診断後の脆弱性を改善することが重要であるため、アフターケアの充実度も必要です。サービス利用後に相談できるのか、アドバイスを受けられるかどうかを確認しましょう。
例えば、重大な脆弱性が見つかった場合でも、改善策が分からなければ非常に危険です。どんな対策をすべきかなどを専門的なコンサルタントに相談できるサービスであれば安心でしょう。
セキュリティ診断サービスを使って、安全性の向上を!
無料のセキュリティ診断サービスも多くありますが、悪質なサービスもあるので注意してください。また、オープンソースの場合は専門的な知識や技術が必要です。
確実に脆弱性を診断したい場合は、サポートがある有料サービスがおすすめです。サービスを選ぶときは手動診断の有無、診断水準、アフターケアの充実度を確認してください。最適なセキュリティ診断サービスを使って、安全性の向上を図りましょう。