セキュリティ診断サービスとは?
セキュリティ診断サービスとは、自社が提供するWebサービスにおけるセキュリティホールの有無を診断するツールやサービスのことです。システム・ネットワーク・Webアプリケーションなどに対してスキャニングを行い、擬似攻撃をかけて、問題があれば解決策を提示します。
近年は、大企業でもセキュリティの不備が原因で機密情報の漏洩が発生し、社会的問題となっています。セキュリティ診断サービスを活用して、事前にシステムのリスクやネットワークの脆弱性を改善すれば、このような問題を回避することが可能です。
脆弱性診断とペネトレーションテストの違いは?
脆弱性診断とペネトレーションテストは、セキュリティレベルを向上するために行うという点は同じです。しかし、その目的と対象範囲は異なります。
脆弱性診断は、システム全体の脆弱性やセキュリティの不備を診断し、システムへ侵入可能な脆弱性を発見します。ペネトレーションテストは、攻撃対象となるシステムへ侵入して、目的が達成できるかどうかを診断します。システムへの侵入は、目的達成のための手段です。
自社が提供するWebサイトの状況により、脆弱性診断とペネトレーションテストの使い分け、あるいは組み合わせを検討してください。
セキュリティ診断サービスの選び方は?
セキュリティ診断サービスの選び方を解説します。
診断手法
診断手法により大きく次の3つのタイプに分類されます。
- 1.手動&自動タイプ
- 経験豊富なセキュリティの専門家が、知識とスキルを駆使して診断します。ツールと組み合わせて脆弱性を発見します。正確性が高い点がメリットです。
- 2.クラウド型自動タイプ
- クラウドサービスでアカウントを作成し、診断対象を登録するだけで診断可能です。約10分で結果が判明するツールもあり、速度を追求したい場合に適しています。
- 3.ソフトウェア型自動タイプ
- マシンにインストールして診断を行います。オープンソースのため、診断結果を読み解いて改修に活かす専門知識が必要です。社内で完結させたい場合や、費用を抑えたい時におすすめです。
診断範囲(Webアプリケーション、プラットフォームなど)
セキュリティ診断サービスは、サービスメニューあるいはツールによって診断する範囲・内容が異なります。主な診断範囲・内容は次の通りです。
- Webアプリケーション:動的ページを対象に、さまざまな攻撃手法を想定した診断
- プラットフォーム:サーバやネットワーク機器を対象に、OSやミドルウェアの診断
- スマートフォンアプリ:iOSやAndroidのアプリの診断
- クラウド:AWS、Azure、Googleなどクラウドサービスの環境を対象にして診断
まずは「何の脆弱性を調べたいか」を明確にして、「診断項目に過不足がないか」、診断範囲を確認することが大事です。
診断精度・実績
診断手法と診断範囲が同じでも、どのくらい深く、細かく診断するかにより診断精度は異なります。ツールは一定の深さで網羅的に診断します。しかし、専門家が知見を活かして分析・診断すれば、診断精度は高くなるでしょう。また、レポートが日本語で読みやすく、内容が充実しているかどうかも重要なチェックポイントです。
過去の診断実績も参考になります。個人情報を扱う会員向けサイト、多くの人が利用するSNS、ECサイトやネットバンクなど、実績によりセキュリティ診断サービスの強みが異なります。自社のサービス領域に近く、実績が多い診断サービスを選びましょう。
【手動&自動】セキュリティ診断サービスを比較!
手動と自動で行うセキュリティ診断サービスを比較して紹介します。
《Web脆弱性診断》のPOINT
- セキュリティ診断ランキング 2年連続 1位 ※ITトレンド資料請求数
- Web/App/Networkなど広範囲なカスタム診断対応可
- 国内に配した東西連携SOCにてグローバル対応可能
株式会社ピーエスシーが提供。自社でSOCを運営するIT企業のセキュリティ診断サービスです。世界最高峰の脆弱性診断ツールAppScanを用いて高品質な診断を実現します。用途に合わせた以下3つのプランがあります。
・クイックプラン:最短3日でスピード診断
・スタンダードプラン:セキュリティ強化におすすめ
・プロフェッショナルプラン:ホワイトハッカーによる詳細診断
株式会社セキュアイノベーションのセキュリティ脆弱性診断サービス
製品・サービスのPOINT
- 経産省「情報セキュリティサービス基準」登録
- 認定脆弱性診断士の資格を保持する技術チームによる診断対応
- ★期間限定★初回診断後の再診断が1回無料
株式会社セキュアイノベーションが提供。Webアプリケーション診断・ネットワーク診断など、さまざまなセキュリティ診断に対応するサービスです。システムのメンテナンスを怠ると、サイバー攻撃の手がかりを与え、被害者になるばかりか加害者になる危険性もあります。そこでアプリケーションに対し擬似アタックを行い、脆弱性や潜在要因の診断をすることで、被害の危険性を洗い出します。
株式会社セキュアスカイ・テクノロジーのセキュリティ診断サービス
製品・サービスのPOINT
- 高い脆弱性検出率
- 無償での再診断
- Webアプリケーション&プラットフォーム診断セットでお得プラン
株式会社セキュアスカイ・テクノロジーが提供。Webセキュリティのエキスパートが、豊富な経験とノウハウを活かしてセキュリティ診断を行うサービスです。たとえばWebアプリケーション診断は攻撃者の視点でセキュリティの問題点を検出します。プラットフォーム診断はネットワークの外部と内部から診断します。既知の脆弱性に加え、システム構成上の問題について総合的な判断が可能です。
《Security Blanket シリーズ》のPOINT
- お客様のWebサイトに対し、安全性を徹底的に調査
- 攻撃者の視点から様々な疑似攻撃を考察・試行
- 自動診断と手動診断でレポートを作成
株式会社M&Kが提供。自動と手動の両方でセキュリティ診断を行うサービスです。10年の実績による技術力とノウハウを持っています。自社開発の自動診断ツールは、カスタマイズとアップデートがしやすく、SaaS型の提供です。手動診断は、スペシャリストがインターネット経由で対象サーバのWebアプリケーションを診断します。攻撃者の視点で擬似攻撃を試行します。自動と手動のハイブリッド診断も可能です。
製品・サービスのPOINT
- ソフトウェア・ハードウェアのインストール、診断設定が不要!
- 診断実績19年!実績に基づいた手厚いサポート!
- PCIDSS ASV資格を持つ信頼のできる診断サービスです!
三和コムテック株式会社が提供。脆弱性の有無を、最新情報に基づいて毎日行うクラウド型セキュリティ診断サービスです。ソフトウェア・ハードウェアのインストールやメンテナンスは必要ありません。脆弱性がなく、セキュアなWebサイトと診断されれば、安全証明マークを配信します。
《Assured》のPOINT
- 専門家による中立的なスコア評価とコメントを確認可能
- 日本語・英語対応するクラウドサービスの情報をほぼ網羅
- 定期的なアップデートによりクラウドサービスの継続判断も支援
ビジョナル・インキュベーション株式会社が提供。クラウドサービスのセキュリティリスクを正確に把握できるサービスです。セキュリティの専門家がクラウドサービスを調査し、セキュリティリスクの評価情報をデータベース化しています。顧客は、このデータベースからすばやく評価結果を得ることが可能です。データベースにないクラウドサービスは、顧客の代行として新規調査を実施します。
株式会社ユービーセキュアのセキュリティ診断サービス
製品・サービスのPOINT
- 新たに開発したシステム全体の安全性を評価できる!
- 費用やスケジュールに合わせて脆弱性の有無を確認できる!
- 委託先から求められる第三者による評価に対応できる!
株式会社ユービーセキュアが提供。専門家の豊富な知見や、長年の診断サービス提供で培ったノウハウが、セキュリティ課題の調査や洗い出しに活かされています。診断サービスは、経済産業省の「情報セキュリティサービス審査登録制度」に登録済み。クレジットカードのセキュリティ基準である、PCI DSSのASVスキャンベンダーとしても認定されています。
製品・サービスのPOINT
- 第三者からの攻撃を防止!脆弱性を事前に修正
- 擬似的な侵入によるセキュリティー診断が可能
- IoTデバイスのテストをオンサイトで実施
日本アイ・ビー・エム株式会社が提供。既知・未知の脆弱性を事前に発見し修正するサービスです。あらゆるプラットフォームの侵入テストや評価が可能です。攻撃者と同じツール・視点・思考で徹底的にテストを行います。そして、攻撃者の侵入を許してしまうデジタルドアや、便乗攻撃の可能性が高い脆弱性を発見します。
【自動のみ】セキュリティ診断サービスを比較!
自動のみで行うセキュリティ診断サービスを比較して紹介します。
製品・サービスのPOINT
- 発見された脆弱性を危険度で色分けして一目で確認可能!
- URL入力と簡単な設定のみで毎日の診断をスタート!
- ログインが必要なページの診断にも対応!
株式会社セキュアブレインが提供。定期的な自動診断で、継続的なセキュリティ対策を提供するWebサイトの診断サービスです。診断対象のURLを登録するだけで利用できます。診断の実行は、定期・随時の2つから選択可能です。脆弱性を発見すると管理者にアラートメールが届き、Webベースのダッシュボードにログインするだけで、対策情報と詳細レポートが提供されます。
《Securify Scan》のPOINT
- 複雑な事前設定は不要!最短3ステップで診断開始!
- シンプルで直感的な操作!使いやすいインターフェイス!
- わかりやすい診断結果で継続的なセキュリティ改善へ
株式会社スリーシェイクが提供。本格的な脆弱性診断を、無料で手軽にできる診断ツールです。より多くのPM・PO・CTO・開発者が利用しやすいように、ベータ版を無料公開しています。セキュリティを確保しつつ、開発スピードを損なわない、DevSecOpsへの取り組みをサポートします。使い方は簡単で、プロジェクト作成とドメイン登録の2ステップです。
《yamory》のPOINT
- 対処すべき脆弱性の優先度を判断
- OSSのライセンス違反を検出
- 緊急性の高いリスクも早期に検知
ビジョナル・インキュベーション株式会社が提供。オープンソースの脆弱性を自動で可視化する、クラウド型セキュリティツールです。オープンソースの利用状況を把握し、脆弱性とその対応優先度・対策を提示します。ITシステムに潜む脆弱性をオールインワンで管理できるため、開発エンジニアの負担が軽減します。
《insightVM》のPOINT
- 定期的なスキャンは差分だけ!最小限の負荷で脆弱性を発見!
- 脆弱性をスコア化!深刻度に応じて対応の優先順位づけが可能!
- ダッシュボードで今発生しているリスクが一目でわかる!
ラピッドセブン・ジャパン株式会社が提供。脆弱性データを収集し、自動的に分析が行えるソフトウェアです。インターネットを網羅するスキャンデータを数値化・可視化してリスク管理をします。カスタマイズ可能なダッシュボードで脆弱性を可視化し、リスクに関するすべての情報を俯瞰し、対策の優先順位付けを行います。脆弱性がもたらす外部からのリスク封じ込めを自動化することが可能です。
《Tripwire IP360》のPOINT
- リスクを優先順位付け!スコアリングで重要項目に焦点を充てる!
- 誤検知を減らし、効率的なセキュリティ対策が可能!
- SC Media Awardで5つ星を獲得!高い信頼性を誇ります。
トリップワイヤ・ジャパン株式会社が提供。正確なスコアリングにより、リスクに対処するソフトウェアです。ネットワーク上の脆弱性を検知し、プロファイルによる可視化が行えます。Focus機能により、スキャン履歴からリスクを適切に抽出し、発生源をすばやく特定可能です。オンプレミス、クラウドなど、ネットワーク上の全資産を識別します。
Tenable Vulnerability Management
Tenable Network Security Japan株式会社
製品・サービスのPOINT
- セキュリティリスクを可視化!数値による評価を行います。
- スコアリング機能を搭載!修復すべき脆弱性の把握が可能に!
- 数多くの受賞歴が裏付ける、高い信頼性!
テナブル・ネットワーク・セキュリティ・ジャパン株式会社が提供。広範囲な脆弱性の特定・調査・優先順位付けを行うソフトウェアです。多種多様なセンサーにより、セキュリティや脆弱性に関するデータの自動収集を行い、コンピュータプラットフォーム上の資産を継続的に分析します。直感的に操作可能なダッシュボードが、迅速な分析とレポーティングを可能とします。
サービスを比較し、自社にあったセキュリティ診断を実施!
セキュリティ診断サービスを利用すると、自社のWebサイトにセキュリティホールがあるか調査できます。選び方のポイントは以下の3つです。
自社が提供するWebサービスに脆弱性があれば、社会的信用を失ったり、利用者に損害をかけたりする危険性があります。適切なセキュリティ診断サービスを導入して、安全性を高めましょう。
ログイン
新規会員登録
