【比較表】無料で使えるセキュリティ診断サービス
まずは、無料プランがあるサービスや無料で診断できるセキュリティ診断サービスと主な機能を比較表で紹介します。気になる製品は資料請求(無料)も可能です。
| 製品名 | ネットワーク | Webサーバ | クライアントPC | データベース | メールサーバ | ファイルサーバ | レビュー評価 |
| IssueHunt バグバウンティ | ○ | ○ | - | ○ | - | - | 0.0 ☆ ☆ ☆ ☆ ☆ |
※"-"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
無料で使えるセキュリティ診断サービス比較
ここからは、無料で利用できるセキュリティ診断サービスについて詳細を紹介します。ツールによる診断または手動による診断などの詳細や、有料プランの価格も比較しているので、サービス選定の参考にしてください。
《IssueHunt バグバウンティ》のPOINT
- 脆弱性が発見された場合のみ支払いの発生する成果報酬型
- 開発から運用・サポートまで、全て国内自社対応の安心サービス
- 面倒な準備不要。コアな業務に集中できる運用代行サポートも有
IssueHunt株式会社が提供する「IssueHunt バグバウンティ」は、世界中のホワイトハッカーが脆弱性診断を実施する国産システムです。脆弱性を発見した際に報告し、料金が発生する成果報酬型のため、固定費用をかけずに利用できます。サーバー攻撃を未然に防げるので、欧米企業や政府機関にも採用されています。運用代行サポートもあり、専属マネージャーによる報告対応の代行も可能です。
ツール診断 |
ー |
無料診断 |
ー |
有料プラン参考価格 |
初期費用無料、月額費用無料 ホワイトハッカーへの支払額から20% |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
自診くん
株式会社ラックが提供する「自診くん」は、インターネットに接続している端末に危険性がないかブラウザで自己診断できるサービスです。主に、サイバー攻撃に悪用されないか確認ができ、診断費用は無料です。利用規約の同意にチェックするだけで、使用している端末の診断がはじまります。
エレシーク
株式会社コーボー・ホールディングスの「エレシーク」は、Webページにおける簡易的なセキュリティ診断ツールです。Webサイト改ざんや情報漏えい、マルウェア感染を調査します。ブラウザ上で対象のURLを入力するだけで、無料診断を実行します。脆弱性が発見された場合は、深刻度のスコア判定レポートを確認できる有料サービスもおすすめです。
Burp Suite
PortSwigger社の「Burp Suite」は、Webアプリケーションのセキュリティテストを行うツールです。Web資産をスキャンしてセキュリティ体制の確認をします。JilayやGitLab、Trelloとの統合が可能で、ソフトウェア開発プロセスにもセキュリティを組み込めます。機能制限はありますが、Burp Suite Community Editionは無料で利用でき、従量制の料金設定も嬉しいポイントです。
ZAP
「ZAP」は、オープンソースのセキュリティ診断サービスです。主にWebアプリケーションに存在する脆弱性を発見するために使用します。利用するには専門知識や技術をもつエンジニアが必要です。コストを抑えたWebサイトのセキュリティ診断を行えます。
Nikto
「Nikto」は、Webサイトの脆弱性をメインに診断できるオープンソースのツールです。Webアプリケーション上の問題だけでなく、ミドルウェアの設定におけるセキュリティ上の問題におけるチェックにも対応しています。技術があればプラグインを利用して機能を拡張も可能です。
Nmap
「Nmap」は、ポートスキャン機能などにより、さまざまなセキュリティの脆弱性をチェックできるオープンソースのツールです。自社のポートが外部からアクセス可能か調べられます。メインの機能はポートスキャンですが、OSやバージョンの検出機能なども搭載しています。
無料セキュリティ診断サービスと有料サービスの違い
セキュリティ診断を行うには費用がかかるので、コスト削減のために無料サービスを利用するのは有効です。ただし、「無料」を謳った悪質な診断サービスも存在するので注意してください。
例えば、偽のセキュリティ診断を行うように誘導させ、診断をスタートすると「非常に危険な状態です!」と表示されます。その後、高額なセキュリティ製品を購入させる詐欺は少なくないのです。
また、無料セキュリティ診断サービスを操作する際は、専門的な知識が必要です。有料サービスの場合、使い方のサポートや診断結果にもとづくアドバイスを受けられます。そのため、エンジニア経験がない場合でも運用できるでしょう。
【比較表】無料トライアルのあるセキュリティ診断サービス
無料トライアルを実施しているおすすめのセキュリティ診断サービスを紹介します。各製品の詳細情報については、のちほど紹介しているので、気になる製品をチェックしてください。また、資料資料請求(無料)も可能で、資料請求したサービスの比較表も作成できるので、社内検討に活用してください。
※"-"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
無料トライアルのあるセキュリティ診断サービスを徹底比較
ここからは、無料トライアルを実施しているセキュリティ診断サービスについて紹介します。紹介しているセキュリティ診断サービスは、資料請求(無料)できるため、サービス選びの参考にしてください。
《Securify》のPOINT
- 【専門知識は不要!】URLを登録し最短3ステップで診断開始
- 【シンプルで直感的】使いやすいインターフェイスで操作も楽々
- 【継続的診断が可能】明確なレポートと予約機能で継続的な診断を
株式会社スリーシェイクが提供する「Securify Scan」は、900を超える診断項目のあるWebアプリケーション脆弱性診断ツールです。複雑な事前設定は不要で、プロジェクトの作成とドメイン所有者を確認したら、診断対象のURLを登録し診断します。脆弱性の危険度や起こりうる問題など管理画面で確認ができます。さらに、レポート出力やSlack連携で診断結果の外部共有もしやすいでしょう。14日間の無料トライアルを実施しています。
ツール診断 |
◯ |
手動診断 |
ー |
有料プラン参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | その他製造 |
従業員規模 | 10名以上 50名未満 |
Securifyのいい点 |
★ ★ ★ ★ ☆ 4 |
社内で使うウェブアプリケーションが外部の脅威にさらされた場合、どの程度の強靭さと脆弱性があるのかを手軽に診断してくれるセキュリティサービス。診断項目が多岐にわたっていて細かいところまで見てくれる。しかもスキャンの時間や回数は無制限であり、定額で利用できるので、利便性が高い。診断にはURLを入力しさえすればよく、直感的な操作が可能であるのもよい。 |
業種 | その他製造 |
従業員規模 | 10名以上 50名未満 |
Securifyの改善してほしい点 |
★ ★ ★ ★ ☆ 4 |
無制限でスキャンができるのはよいが、その料金体系が最初は不透明だったので、最初は導入までなかなか踏み切れなかった。もう少し分かりやすいプランを出すとよい。 |
製品・サービスのPOINT
- ソフトウェア・ハードウェアのインストール、診断設定が不要!
- 診断実績19年!実績に基づいた手厚いサポート!
- PCIDSS ASV資格を持つ信頼のできる診断サービスです!
「SCT SECUREクラウドスキャン」は、三和コムテック株式会社が提供するクラウド型自動脆弱性診断サービスです。ツールによる診断を毎日行い、最新の脆弱性情報にもとづいてネットワークデバイスとWebアプリケーションを検査します。さらに、ツールのメンテナンスは不要で、自動的に定期検査が行われるため管理の負担がかかりません。無料トライアルでは、申込みから5営業日以内に技術者がリモート診断します。
ツール診断 |
◯ |
手動診断 |
◯ |
有料プラン参考価格 |
初期費用30,000円~ 3IP/FQDN:450,000円~ |
SCT SECUREクラウドスキャンのいい点 |
★ ★ ★ ☆ ☆ 3 |
アプリ、ソフトウェアダウンロードが不要で利用できる。最新の脅威に対して定点的にウィークポイントを知ることができる。 |
業種 | 金融・証券・保険 |
従業員規模 | 100名以上 250名未満 |
SCT SECUREクラウドスキャンの改善してほしい点 |
★ ★ ★ ★ ★ 5 |
改善点はほぼないですが、改ざん検知機能を取り込んでくれるとより助かります。既存機能についてはレポート含め、特に気になる点はありません。 |
製品・サービスのPOINT
- 自動巡回、またはシナリオマップによる簡易なシナリオ作成
- ユーザの利用環境に合わせて幅広く利用できる柔軟な利用形態
- 目的や利用者に合わせた日本語/英語10種類の多種多様なレポート
株式会社ユービーセキュアが提供する「Webアプリケーション脆弱性検査ツール vex」は、Webサイトの特性や利用者に応じて検査手法を選択できます。簡易なシナリオ作成をする自動巡回やシナリオマップを用いたテストシナリオ作成、複雑なテストシナリオにも対応するHandler設定など、自動と手動を組み合わせられます。診断結果のレポートも目的にあわせた項目やレイアウトで、わかりやすさが特徴です。2週間の無料トライアルを実施しています。
ツール診断 |
◯ |
手動診断 |
◯ |
有料プラン参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
《insightVM》のPOINT
- 定期的なスキャンは差分だけ!最小限の負荷で脆弱性を発見!
- 脆弱性をスコア化!深刻度に応じて対応の優先順位づけが可能!
- ダッシュボードで今発生しているリスクが一目でわかる!
ラピッドセブン・ジャパン株式会社が提供する「insightVM」は、ネットワークの全機器やクラウドをすべてスキャンして脆弱性を調査するセキュリティ診断システムです。脆弱性の深刻度を1~1,000のリスクスコアで評価し、対処すべき優先順位を明確にします。さらに、発見された脆弱性の修正や対処におけるプロジェクトも可視化され、進捗状況やプログラムの動作測定をシステム上で管理します。無料トライアルは30日です。
ツール診断 |
◯ |
手動診断 |
ー |
有料プラン参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 1,000名以上 5,000名未満 |
insightVMのいい点 |
★ ★ ★ ★ ★ 5 |
私の会社では主にプラットフォーム診断でこちらの製品を使わせていただいております。
その際診断対象環境の情報をいくつか登録するだけで、あとはワンクリックで診断してくれるので使いやすいです。
|
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 1,000名以上 5,000名未満 |
insightVMの改善してほしい点 |
★ ★ ★ ★ ★ 5 |
メニューバーがアイコンなのですが、少し直感的に意味が分かりづらく感じております。
UI/UXについてはもう少しわかりやすくしてもらえると嬉しいかもしれません。
慣れれば問題ないのですが、普段使わない機能などを利用する際に少しだけ操作がぎこちなくなってしまいます。 |
《Tripwire IP360》のPOINT
- リスクを優先順位付け!スコアリングで重要項目に焦点を充てる!
- 誤検知を減らし、効率的なセキュリティ対策が可能!
- SC Media Awardで5つ星を獲得!高い信頼性を誇ります。
トリップワイヤ・ジャパン株式会社が提供する「Tripwire IP360」は、スコアリング機能により、効率的なリスク対処に適したソフトウェアです。脆弱性の影響度や悪用性の高さ、リスクの存在期間などあらゆる角度から要素のスコアリングを実施します。さらに、ホストの資産価値も追加し測定し、脆弱性だけではなく資産価値も考慮した優先順位が可能です。また、オープンAPIで脆弱性管理機能と資産管理ソリューションの統合で、リスクの侵害を防止します。無料トライアルは30日間です。
ツール診断 |
◯ |
手動診断 |
ー |
有料プラン参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 5,000名以上 |
Tripwire IP360のいい点 |
★ ★ ★ ★ ☆ 4 |
UEBA、CASBなどの用語がトレンドになる前から類似の機能を提供していた老舗ベンダー。内部不正対策にはもっとも効果のある製品。 |
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 5,000名以上 |
Tripwire IP360の改善してほしい点 |
★ ★ ★ ★ ☆ 4 |
あくまで企業LAN内での利用を前提としているイメージ。逆にUEBA、CASBの置き換えとしては不十分であること。 |
製品・サービスのPOINT
- 発見された脆弱性を危険度で色分けして一目で確認可能!
- URL入力と簡単な設定のみで毎日の診断をスタート!
- ログインが必要なページの診断にも対応!
株式会社セキュアブレインが提供する「GRED Webセキュリティ診断 Cloud」は、診断したいWebサイトのURLを一度登録するだけで定期的にスキャンできるWebサイト自動脆弱性診断サービスです。定期的にスキャンするモードと、都度診断するモードを選べるのでニーズに応じて利用できる点もメリットでしょう。なお、脆弱性を見つけた場合は管理者にアラートメールが届き、危険度に応じ色分けしてWeb上のダッシュボードに状況が表示されます。
ツール診断 |
◯ |
手動診断 |
ー |
有料プラン参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
業種 | 情報処理、SI、ソフトウェア |
従業員規模 | 500名以上 750名未満 |
GRED Webセキュリティ診断 Cloudのいい点 |
★ ★ ★ ★ ★ 5 |
今の時代のホームページ運用には定期的なセキュリティ診断は必須ですが、診断対象のサイトを登録しておくだけで自動診断してくれるので安心です |
業種 | 医療 |
従業員規模 | 1,000名以上 5,000名未満 |
GRED Webセキュリティ診断 Cloudの改善してほしい点 |
★ ★ ★ ☆ ☆ 3 |
登録したサイトなどの情報を視覚的に表示してくれると助かります。また細かな通知設定が可能となればと考えます。 |
セキュリティ診断サービスの正しい選び方
最後に、セキュリティ診断サービスの正しい選び方を見ていきましょう。
1.手動診断ができるか
セキュリティ診断サービスを選ぶときには「手動診断」の有無を確認しましょう。診断方法には主に「ツール診断」と「手動診断」があります。
ツールを使った診断であれば、コストが安く短時間で完了しますが、複雑な構成には対応できません。つまり、ツール診断を行って脆弱性が発見されなくても、セキュリティリスクが隠れている可能性はあるでしょう。
一方手動診断は、サービス提供元のエンジニアが疑似的な攻撃を仕掛けることで複数の攻撃パターンを検証し、社内の脆弱性を確かめます。そもそも、Webサイト特有の脆弱性は手動診断でなければ見つけられません。手動診断はコストが高く、時間もかかりますが、しっかりとした診断を行うときには必要です。
なお、有料セキュリティ診断サービスも含めて、さらに詳しく知りたい方は、以下の記事もご覧ください。
関連記事
watch_later 2023.11.09
おすすめのセキュリティ診断サービスを徹底比較!選び方の解説も 続きを読む ≫
2.診断水準が高いか
診断水準が高いサービスであれば、自社の弱点をより正確に診断できるでしょう。特に手動診断の場合は、担当する技術者によって経験値が異なるため診断結果は大きく変わるでしょう。診断サービスを利用する前に、担当するエンジニアの診断実績を確認することが大切です。
また、ツール診断の場合も、レポートの内容は担当者の技術レベルで異なります。セキュリティに関する知識がない社員でも理解できるレポートなのか、サンプルで確認するとよいでしょう。
3.アフターケアが充実しているか
セキュリティ診断では、診断後の脆弱性を改善することが重要であるため、アフターケアの充実度も必要です。サービス利用後に相談できるのか、アドバイスを受けられるかどうかを確認しましょう。
例えば、重大な脆弱性が見つかった場合でも、改善策が分からなければ非常に危険です。どのような対策をすべきかなどを専門的なコンサルタントに相談できるサービスであれば安心でしょう。
セキュリティ診断サービスで安全性の向上を
無料のセキュリティ診断サービスもありますが、悪質なサイトなども存在するので注意が必要です。また、オープンソースの場合は専門的な知識や技術が求められるでしょう。診断の目的や運用など自社にあわせたサービスの導入が大切です。
セキュリティ診断サービスを選ぶときは手動診断の有無や診断水準、アフターケアの充実度を確認しましょう。有料サービスも視野にいれ、無料トライアルで実際に使用するのもおすすめです。記事内で紹介したセキュリティ診断サービスは、資料請求(無料)が可能です。選択したサービスで比較表も作成できるため、ぜひ社内検討に役立ててください。