セキュリティ診断サービスとは
セキュリティ診断サービスとは、自社が提供するWebサービスにおけるセキュリティホールの有無を診断するツールやサービスのことです。システム・ネットワーク・Webアプリケーションなどに対してスキャニングを行い、擬似攻撃をかけて、問題があれば解決策を提示します。
近年は、大企業でもセキュリティの不備が原因で機密情報の漏えいが発生し、社会的問題となっています。セキュリティ診断サービスを活用して、事前にシステムのリスクやネットワークの脆弱性を改善すれば、このような問題の発生回避や被害低減が期待できるでしょう。
脆弱性診断とペネトレーションテストの違い
脆弱性診断とペネトレーションテストは、セキュリティレベルを向上するために行うという点は同じですが、目的と対象範囲が異なります。
脆弱性診断は、システム全体の脆弱性や、セキュリティの不備を診断しシステムへ侵入可能な脆弱性を発見します。一方ペネトレーションテストは、攻撃対象となるシステムへ侵入し、目的が達成できるか調査することです。システムへの侵入は、目的達成のための手段です。
自社が提供するWebサイトの状況により、脆弱性診断とペネトレーションテストの使い分け、あるいは組み合わせを検討してください。
セキュリティ診断サービスの選び方
セキュリティ診断サービスの選び方を解説します。
診断手法
診断手法により大きく次の3つのタイプに分類されます。
- 手動&自動タイプ
- 経験豊富なセキュリティの専門家が、知識とスキルを駆使して診断。ツールと組み合わせて脆弱性を発見します。メリットは正確性が高いことです。高精度の脆弱性診断が期待できるため、大規模サービスの開発や改修時、個人情報を数多く取り扱うECサイトなどに有効です。
→【手動&自動】セキュリティ診断サービスの紹介へジャンプ!
- クラウド型自動タイプ
- クラウドサービスでアカウントを作成し、診断対象を登録するだけで診断可能です。約10分で結果が判明するツールもあり、診断速度を追求したい場合に適しています。無料または低価格で利用できるため、定期的に脆弱性診断を行いたい企業におすすめです。
→【自動のみ】セキュリティ診断サービスの紹介へジャンプ!
- ソフトウェア型自動タイプ
- マシンにインストールして診断を行います。オープンソースのため、診断結果を読み解いて改修するための専門知識が必要です。社内で完結させたい場合や、費用を抑えたい時におすすめです。
診断範囲(Webアプリケーション、プラットフォームなど)
セキュリティ診断サービスは、サービスメニューあるいはツールによって診断する範囲や内容が異なります。主な診断範囲と内容は次のとおりです。
- ・Webアプリケーション:動的ページを対象に、さまざまな攻撃手法を想定した診断
- ・プラットフォーム:サーバやネットワーク機器を対象に、OSやミドルウェアの診断
- ・スマートフォンアプリ:iOSやAndroidのアプリの診断
- ・クラウド:AWS、Azure、Googleなどクラウドサービスの環境を対象にして診断
まずは何の脆弱性を調べたいかを明確にして、診断項目に過不足がないか、診断範囲を確認することが大事です。
診断精度と実績
診断手法と診断範囲が同じでも、どのくらい深く細かく診断するかにより診断精度は異なります。ツールは一定の深さで網羅的に診断します。しかし、専門家が知見を活かして分析・診断すれば、診断精度は高くなるでしょう。また、レポートが日本語で読みやすく、内容が充実しているかも重要なチェックポイントです。
さらに、過去の診断実績も選定する際の参考として重要なデータです。個人情報を扱う会員向けサイト、多くの人が利用するSNS、ECサイトやネットバンクなど、実績によりセキュリティ診断サービスの強みに差が出ます。自社のサービス領域に近く、実績が多い診断サービスを選びましょう。
【手動&自動】セキュリティ診断サービスを比較
ここでは、ツールを用いた自動診断と専門家による手動診断を組み合わせたセキュリティ診断サービスを紹介します。気になるサービスは資料請求(無料)ができるので、より詳細な情報を知りたい場合はぜひ活用ください。
《Web脆弱性診断》のPOINT
- セキュリティ診断ランキング 2021年 1位 ※ITトレンド資料請求数
- Web/App/Networkなど広範囲なカスタム診断対応可
- 国内に配した東西連携SOCにてグローバル対応可能
株式会社ピーエスシーが提供する「Web脆弱性診断」は、自社でSOC(セキュリティ・オペレーション・センター)を運営するIT企業のセキュリティ診断サービスです。日本国内市場シェアNo.1の脆弱性診断ツールVexを用いて高品質な診断を実現します。外部から擬似攻撃を実施しレスポンス解析で脆弱性確認をするため、実際に発生しやすい脅威を見つけられます。最短3日で診断できるクイックプランやセキュリティ強化におすすめのスタンダードプラン、ホワイトハッカーによる詳細診断に対応したプロフェッショナルプランなど、用途にあわせた診断が可能です。
《Security Blanket シリーズ》のPOINT
- お客様のWebサイトに対し、安全性を徹底的に調査
- 攻撃者の視点から様々な疑似攻撃を考察・試行
- 自動診断と手動診断でレポートを作成
株式会社M&Kが提供する「Security Blanket シリーズ」は、自動と手動の両方でセキュリティ診断を行うサービスです。10年の実績による技術力とノウハウをもち、自社開発の自動診断ツールは、カスタマイズとアップデートのしやすさが魅力です。手動診断では、スペシャリストがインターネット経由で対象サーバのWebアプリケーションを診断。脆弱性カテゴリ毎の概要や再現手順、対策方法など細かいレポートを作成します。管理画面で診断レポートや報告書の確認ができ、ダウンロードも可能です。
製品・サービスのPOINT
- ソフトウェア・ハードウェアのインストール、診断設定が不要!
- 診断実績19年!実績に基づいた手厚いサポート!
- PCIDSS ASV資格を持つ信頼のできる診断サービスです!
三和コムテック株式会社が提供する「SCT SECUREクラウドスキャン」は、脆弱性の有無を最新情報にもとづいて毎日診断可能なクラウド型セキュリティ診断サービスです。ソフトウェア・ハードウェアのインストールやメンテナンスは必要ありません。脆弱性がなくセキュアなWebサイトと診断されれば、安全証明マークを配信します。無料のトライアル版では、サーバの簡易診断を実施し脆弱性の検知数を報告します。
製品・サービスのPOINT
- 自動巡回、またはシナリオマップによる簡易なシナリオ作成
- ユーザの利用環境に合わせて幅広く利用できる柔軟な利用形態
- 目的や利用者に合わせた日本語/英語10種類の多種多様なレポート
株式会社ユービーセキュアが提供する「Webアプリケーション脆弱性検査ツール vex」は、純国産のWebアプリケーション脆弱性検査ツールです。自動巡回やシナリオマップ、Handler設定による強力なシナリオを作成します。Webアプリケーションの脆弱性を網羅したシグネチャにより、マルチバイト文字列の取り扱いに起因する脆弱性や利用頻度の高いフレームワークの脆弱性など、多様な脆弱性対応が実現するでしょう。
《Cloudbric 脆弱性診断》のPOINT
- エキスパートによる高精度な手動診断&評価スコアを網羅的に算出
- 最新脅威を把握。独自収集の脅威インテリジェンスサービスが付帯
- 診断結果から脆弱性対策ソリューションを提案+導入もサポート
ペンタセキュリティシステムズ株式会社が提供する「Cloudbric 脆弱性診断」は、既知の脅威に対する脆弱性の検知にくわえ、未知の脅威も把握しサイバー攻撃のリスクを低減します。WebサイトやWebアプリケーション、プラットフォームの3つの診断から環境に応じた選択が可能です。最新脆弱性情報やインシデント情報を収集し、技術者による確かな解析にもとづいて診断するため、高精度な検出が期待できます。
製品・サービスのPOINT
- 豊富な診断メニューから当社専用ツールで手早くお手軽に診断
- セキュリティスペシャリストにより脆弱性を検出した高精度な診断
- ご要望に応じて、診断内容をご希望にあわせたカスタマイズが可能
「株式会社トインクスのセキュリティ診断サービス」は、情報システムや制御システムの脆弱性の有無を診断します。情報システム(IT)の診断では、予算にあわせて項目や対象の選択ができ、リモート対応であればリーズナブルかつ短時間で診断が可能です。制御システム(OS)の診断においては、GIACやCISSPなどの資格をもつチームでペネトレーションテストを行います。市販ツールでは発見できない未知の脆弱性の検知が強みです。
《アクトの脆弱性診断》のPOINT
- 発見した脆弱性からどんな情報の漏洩や改ざんが起こりうるか解析
- セキュリティリスクが高い領域は手動診断で深堀り
- 最新の攻撃手法を診断に取り込みレポート作成(英語可)
株式会社アクトが提供する「ゼイジャくん」は、サーバの設備不備やプログラムの不具合など、セキュリティホールをチェックするサービスです。万が一、サイバー攻撃の被害が発生した際は、調査や証拠保全、レポート作成などの費用を最大3,000,000円まで保証します。CEHやCISSPなど国際資格をもつエンジニアによる診断が受けられ、最短1日でのレポート提出など迅速な対応も魅力の一つでしょう。
セキュリティ・プラス Webアプリケーション診断サービス
製品・サービスのPOINT
- 診断に必要な要素と安心のアフターサービスをパッケージング
- 業界標準の診断項目
- お客様にとって最適な診断方法をご提案
株式会社アズジェントが提供する「セキュリティ・プラス Webアプリケーション診断サービス」は、Webアプリケーションの診断と必要な要素、アフターケアまでパッケージングしたサービスです。セキュリティ専門家による手動診断やツールを用いた診断など、予算やセキュリティ要件にあわせて提案します。30日間のQ&A支援や再診断など、診断後のアフターサービスが手厚く安心です。
製品・サービスのPOINT
- 診断に必要な要素と安心のアフターサービスをパッケージング
- 日々発見される最新の脆弱性に対応
- お客様にとって最適な診断方法をご提案
「セキュリティ・プラス プラットフォーム診断」は、サーバの脆弱性を診断し、対策やアフターフォロー
までを担うサービスです。株式会社アズジェントが提供しており、ポートスキャン検査やホスト情報収集、OSやソフトウェアの脆弱性調査など、ネットワーク診断を行います。専用ツールで検出された脆弱性について、専門アナリストによる追加調査を実施するため、精度の高い診断で不正アクセスや攻撃の防止につながるでしょう。
株式会社セキュアイノベーションのセキュリティ脆弱性診断サービス
製品・サービスのPOINT
- 経産省「情報セキュリティサービス基準」登録
- 認定脆弱性診断士の資格を保持する技術チームによる診断対応
- ★期間限定★初回診断後の再診断が1回無料
「株式会社セキュアイノベーションのセキュリティ脆弱性診断サービス」は、Webアプリケーション診断やネットワーク診断など、さまざまなセキュリティ診断に対応します。システムのメンテナンスを怠ると、サイバー攻撃の被害者になるばかりか加害者になる危険性もあるため、アプリケーションに対し擬似アタックを行い、脆弱性や潜在要因を診断します。被害の危険性を洗い出し、セキュリティリスクの把握・改善に役立てられるでしょう。
製品・サービスのPOINT
- 専門家による手法やツールを駆使したパフォーマンスの高い診断
- 優先度がわかる様に危険度に応じてレベル付けした見やすい報告書
- 業界問わず自社のセキュリティの現状を可視化したい方におすすめ
「株式会社日立システムズの脆弱性診断サービス」は、インフラやアプリケーションの脆弱性を診断し対策も提案するサービスです。ITインフラ診断では脆弱性診断ツール、Webアプリ診断ではユービーセキュア社製Vexを活用して自動診断します。さらに専門家の手動診断を組み合わせるため、セキュリティホールを高精度で洗い出せるでしょう。診断後に受け取るレポートは、起こりうる危険性や対策方法、対応優先度も一目で把握でき、わかりやすい点も特徴です。
《Assured》のPOINT
- 専門家による中立的なスコア評価とコメントを確認可能
- 日本語・英語対応するクラウドサービスの情報をほぼ網羅
- 定期的なアップデートによりクラウドサービスの継続判断も支援
株式会社アシュアードが提供する「Assured」は、クラウドサービスのセキュリティリスクを正確に把握できるサービスです。セキュリティの専門家がクラウドサービスを調査し、セキュリティリスクの評価情報をデータベース化するため、すばやく評価結果を得られるでしょう。データベースにないクラウドサービスは、顧客の代行として新規調査を実施します。
株式会社ユービーセキュアのセキュリティ診断サービス
製品・サービスのPOINT
- 新たに開発したシステム全体の安全性を評価できる!
- 費用やスケジュールに合わせて脆弱性の有無を確認できる!
- 委託先から求められる第三者による評価に対応できる!
「株式会社ユービーセキュアのセキュリティ診断サービス」は、専門家の豊富な知見や長年の診断サービス提供で培ったノウハウが、セキュリティ課題の調査や洗い出しに活用されています。診断サービスは、経済産業省の情報セキュリティサービス審査登録制度に登録済みです。クレジットカードのセキュリティ基準である、PCI DSSのASVスキャンベンダーとしても認定されており、安定したサービスレベルといえるでしょう。
製品・サービスのPOINT
- 第三者からの攻撃を防止!脆弱性を事前に修正
- 擬似的な侵入によるセキュリティー診断が可能
- IoTデバイスのテストをオンサイトで実施
日本アイ・ビー・エム株式会社が提供する「X-Force Red ペネトレーションテスト」は、既知・未知の脆弱性を事前に発見し修正するサービスです。あらゆるプラットフォームの侵入テストや評価が可能です。攻撃者と同じツールや視点、思考で徹底的にテストを行うため、侵入されやすいデジタルドアや、便乗攻撃の可能性が高い脆弱性を発見します。
株式会社セキュアスカイ・テクノロジーのセキュリティ診断サービス
製品・サービスのPOINT
- 高い脆弱性検出率
- 無償での再診断
- Webアプリケーション&プラットフォーム診断セットでお得プラン
「株式会社セキュアスカイ・テクノロジーのセキュリティ診断サービス」は、Webセキュリティのエキスパートが、豊富な経験とノウハウを活かしてセキュリティ診断やセキュリティ対策を提供するサービスです。Webアプリケーション診断は、攻撃者の視点でセキュリティの問題点を検出します。プラットフォーム診断はネットワークの外部と内部から診断し、サーバPSやアプリケーションの既知の脆弱性を検出します。さらに、システム構成上の問題についても判断するため、総合的な診断で効果的な対策につながるでしょう。
【自動のみ】セキュリティ診断サービスを比較
ここからは、ツールを用いた自動診断に特化したセキュリティ診断サービスを紹介します。
《Securify》のPOINT
- 【専門知識は不要!】URLを登録し最短3ステップで診断開始
- 【シンプルで直感的】使いやすいインターフェイスで操作も楽々
- 【継続的診断が可能】明確なレポートと予約機能で継続的な診断を
株式会社スリーシェイクが提供する「Securify Scan」は、本格的な脆弱性診断を実施するWebアプリケーション脆弱性診断ツールです。自社のプロダクトに対して、SQLインジェクションやOSコマンドインジェクションなど、900以上の診断でセキュリティレベルを可視化します。プロジェクトを作成し、ドメイン所有者の確認とURLを登録するだけで、診断を開始します。さらに、SlackやTeamsとの連携も可能で、操作性のよさも強みの一つです。
《insightVM》のPOINT
- 定期的なスキャンは差分だけ!最小限の負荷で脆弱性を発見!
- 脆弱性をスコア化!深刻度に応じて対応の優先順位づけが可能!
- ダッシュボードで今発生しているリスクが一目でわかる!
ラピッドセブン・ジャパン株式会社が提供する「insightVM」は、脆弱性データを収集し、自動的に分析できるソフトウェアです。ネットワークに存在する機器やクラウドなどのスキャンデータを数値化して、リスク管理をします。カスタマイズに対応したダッシュボードで脆弱性を可視化し、リスクに関するすべての情報を俯瞰できるため、対策の優先順位をつけやすいでしょう。30日間の無料トライアルを実施しています。
《Tripwire IP360》のPOINT
- リスクを優先順位付け!スコアリングで重要項目に焦点を充てる!
- 誤検知を減らし、効率的なセキュリティ対策が可能!
- SC Media Awardで5つ星を獲得!高い信頼性を誇ります。
トリップワイヤ・ジャパン株式会社が提供する「Tripwire IP360」は、正確なスコアリングにより、リスクに対処するソフトウェアです。ネットワーク上の脆弱性を検知し、プロファイルによって可視化できます。Focus機能で、スキャン履歴からリスクを適切に抽出するため、発生源のすばやい特定が可能です。オンプレミス、クラウドなど、ネットワーク上の全資産を識別します。
《yamory》のPOINT
- 対処すべき脆弱性の優先度を判断
- OSSのライセンス違反を検出
- 緊急性の高いリスクも早期に検知
株式会社アシュアードが提供する「yamory」は、オープンソースなどソフトウェアの脆弱性を自動で可視化するクラウド型セキュリティツールです。Webアプリケーションやクラウド、ソフトウェアなどに潜む脆弱性をオールインワンで管理できるため、開発エンジニアの負担が軽減するでしょう。また、商用利用が困難なライセンスや配布時のソースコード公開義務など、オープンソースのライセンス違反リスクを可視化する機能も便利です。
Tenable Vulnerability Management
Tenable Network Security Japan株式会社
製品・サービスのPOINT
- セキュリティリスクを可視化!数値による評価を行います。
- スコアリング機能を搭載!修復すべき脆弱性の把握が可能に!
- 数多くの受賞歴が裏付ける、高い信頼性!
Tenable Network Security Japan株式会社が提供する「Tenable Vulnerability Management」は、広範囲な脆弱性カバレッジを強みにもち、調査・優先順位付けも支援するソフトウェアです。多種多様なセンサーにより、セキュリティや脆弱性に関するデータの自動収集を行い、コンピュータプラットフォーム上の資産を継続的に分析します。直感的な操作ができるダッシュボードで、迅速な分析とレポーティングを支援します。
製品・サービスのPOINT
- 発見された脆弱性を危険度で色分けして一目で確認可能!
- URL入力と簡単な設定のみで毎日の診断をスタート!
- ログインが必要なページの診断にも対応!
株式会社セキュアブレインが提供する「GRED Webセキュリティ診断 Cloud」は、定期的な自動診断で継続的なセキュリティ対策を提供するWebサイトの診断サービスです。診断対象のURLを登録し定期と随時を選択するだけで、診断を実行します。脆弱性を発見すると管理者にアラートメールが届き、Webベースのダッシュボードに対策情報と詳細レポートが提供されます。診断結果は、危険度に応じて色分けされ対策すべき優先順位が一目で把握できるでしょう。
【その他】セキュリティ診断サービスを比較
ここでは、成果報酬型のセキュリティ診断サービスやセキュリティ対策におけるPDCAサイクルを支援するサービスなど、その他のセキュリティ診断サービスを紹介します。
《IssueHunt バグバウンティ》のPOINT
- 脆弱性が発見された場合のみ支払いの発生する成果報酬型
- 開発から運用・サポートまで、全て国内自社対応の安心サービス
- 面倒な準備不要。コアな業務に集中できる運用代行サポートも有
IssueHunt株式会社が提供する「IssueHunt バグバウンティ」は、脆弱性が発見された場合のみ費用が発生する成果報酬型のバグバウンティ・プラットフォームです。豊富な実績をもつホワイトハッカー数万人が登録し、脆弱性診断を実施し発見することで未然にサイバー攻撃を防御します。固定費用はなく予算指定もできるため、セキュリティ対策コストの削減につながるでしょう。専属の担当マネージャーをアサインしたサポートも特徴です。
サービスを比較し自社にあったセキュリティ診断を実施しよう
セキュリティ診断サービスを利用すると、自社のWebサイトに脆弱性があるか調査できます。選び方のポイントは、診断方法や診断範囲、診断の精度や実績です。自社の目的や予算、対策したい範囲をふまえて選択しましょう。
自社が提供するWebサービスに脆弱性があれば、社会的信用を失ったり、利用者に損害を与える可能性があります。適切なセキュリティ診断サービスを導入して、安全性を高めましょう。記事内で紹介したセキュリティ診断サービスは、資料請求(無料)が可能です。選択したサービスで比較表も作成できるため、ぜひ社内検討に役立ててください。