セキュリティ診断サービスには多くの種類があり「どれを選べばいいか」迷いますよね。後から知ったサービスの方が適していることもよくあります。導入の失敗を避けるためにも、まずは各サービスの資料をBOXILでまとめて用意しましょう。
⇒
セキュリティ診断サービスの資料をダウンロードする(無料)
【厳選】おすすめセキュリティ診断サービスをまとめてチェック!
おすすめセキュリティ診断サービスの資料を厳選。各サービスの料金プランや機能、特徴がまとまった資料を無料で資料請求可能です。ぜひセキュリティ診断サービスを比較する際や稟議を作成する際にご利用ください。
\料金や機能を資料で比較する!/
【30秒でわかるこの記事の結論】無料セキュリティ診断サービスの選び方とおすすめ5選
・Webアプリ診断なら手軽なSecurifyや開発者向けのOWASP ZAP、サーバー診断ならOpenVASがおすすめ
・無料ツールはコストゼロで導入できる反面、診断範囲や回数、サポート体制に制限がある点に注意
・OSSは機能が豊富だが、環境構築やトラブル対応が自己責任となるため、社内に専門知識を持つ人材が必要
→まずは無料版で操作感や現状のリスクを確認。より確実な検知や手動診断が必要な場合は、有料プランへの移行やプロによる診断サービスの利用を検討しましょう。
▶︎セキュリティ診断サービスの資料を無料ダウンロード
セキュリティ診断サービスとは
セキュリティ診断サービスとは、自社が運営しているWebサイトや開発したアプリケーションに潜むぜい弱性を検知し、サイバー攻撃による被害を未然に防ぐサービスです。ツールを使った自動診断や、ホワイトハッカーといったエキスパートによる手動診断などを受けられます。
基本的に自社でもサイバー攻撃を防ぐための対策は行っていますが、より高度なぜい弱性診断を社内だけで行うのは難しく、リソースも不足しがちなことから、その不足を補うために利用します。セキュリティ診断サービスを利用すれば、客観的な視点から診断ができ、最新の攻撃手段にも対応できるため、より強固なセキュリティ体制を構築できるでしょう。
無料のセキュリティ診断サービスの選び方
無料のぜい弱性診断サービスを選ぶ際は、いくつかの基準があります。代表的な基準について解説します。
診断の範囲を確認する
セキュリティ診断サービスを選ぶ際は、セキュリティ診断の範囲を確認することが大切です。セキュリティ診断サービスの診断項目には、主に「Webアプリケーション診断」と「プラットフォーム診断」の2種類があります。
Webアプリケーション診断は、オンラインで利用され、攻撃対象にもなりやすいWebアプリケーションのぜい弱性を診断するものです。また、プラットフォーム診断はアプリを実行するサーバーやネットワーク機器、OSのぜい弱性を診断するものです。
サービスによってどちらにどこまで対応しているかが異なるため、事前に確認しましょう。また、有料プランでは対応していても、無料版では診断できる項目に制限がかけられているケースも少なくありません。自社のWebサイトやアプリに対して、どのような安全性チェックが必要かを把握し、無料版でも対応しているサービスを探しましょう。
利用回数を確認する
セキュリティ診断サービスを選ぶ際は、セキュリティ診断の回数を確認することが必要です。無料版では、セキュリティ診断の回数に制限がかけられているケースも多くあります。
制限がかけられていると診断の間隔が長くなりやすく、その間はセキュリティリスクを放置しなければなりません。そのため自社のWebサイトやアプリの更新頻度、セキュリティの重要度を把握したうえで、適切な回数で診断できるか確認しましょう。
サポート体制を確認する
セキュリティ診断サービスを選ぶ際は、セキュリティ診断のサポート体制も確認しましょう。セキュリティ診断でぜい弱性が発見された場合、これをなくすために改善策を考えなければなりません。しかし自社だけでは改善策がわからないケースも多く、サービス側のサポートやアドバイスが必要です。
ただし無料プランや無料ツールでは、サポート体制に制限がかけられていたり不十分だったりすることがほとんどです。そのため事前に無料でどこまでサポートやアドバイスが受けられるかを確認し、自社だけでどこまで対応できるかを考えたうえで、サービスを検討しましょう。
【0円で使える】おすすめのセキュリティ診断サービス5選
セキュリティ診断サービスのなかで、フリープランのあるクラウド型ぜい弱性診断ツールや、無料で使えるOSS(オープンソース)のぜい弱性検査ツールを紹介します。オープンソースとは、ソースコードが一般に公開されており、誰でも自由に利用やカスタマイズができるソフトのことです。
それぞれ無料の範囲でできることや機能制限などを解説しているので、セキュリティ診断サービス選びの参考にしましょう。
無料で使えるセキュリティ診断サービスの比較表
| サービス名 | 診断できること | 機能制限 | サポート | その他の制限 |
|---|---|---|---|---|
| Securify | WebサイトやWebアプリ、APIのぜい弱性や設定不備の診断。 | 一部機能制限あり。 | 公式サポートなし(有料版はメールサポート)。 | 診断対象は1ドメイン/IPまで。 |
| OpenVAS | サーバーやネットワーク機器を対象に既知のぜい弱性をスキャン。 | 提供されるぜい弱性情報のカバレッジが限定される場合がある。 | 公式サポートなし(コミュニティ中心)。 | 自社で導入環境の構築・運用が必要。 |
| Nikto | Webサーバー上の危険なファイルや設定不備、古いバージョンの検出。 | GUIなしのコマンドライン中心で、結果の精査や運用は手作業になる。 | 公式サポートなし(自己対応)。 | 既知パターン中心のため、検知範囲は使い方次第になる。 |
| OWASP ZAP | Webアプリの自動スキャンと、プロキシ型の手動テスト。 | 設定やテスト設計に知識が必要で、運用設計は自社で行う。 | 公式サポートなし(ドキュメント・コミュニティ中心)。 | 診断結果の管理や共有の仕組みは別途整備が必要。 |
| FutureVuls | サーバーに導入されたソフトウェアのぜい弱性を収集・検知。 | OSS版はWindows非対応で、管理画面やチケット管理機能も使えない。 | OSS版は公式サポートなし(商用版はサポートあり)。 | エージェント導入や運用体制の整備が必要。 |
Securify
Securifyは、専門知識がなくてもURLを登録するだけで診断を始められる手軽さが魅力のセキュリティ診断サービスです。WebサイトやWebアプリ、APIのぜい弱性診断に対応しており、セキュリティ専任者がいない情シス担当者でもスムーズに導入できます。
無料プランでは、WebサイトやWebアプリ、APIのぜい弱性や設定不備の診断が利用可能です。1IP限定ですが診断回数の制限がありません。まずは1ドメインだけでも継続的にチェックできるため、公開サイトの健康診断から始めたい企業や、小規模なWeb運用チームに最適です。
もし、診断対象を増やしたい場合は、月額50,000円からの有料プランへ移行できます。有料版では診断対象の拡張やWordPress診断の制限解除などが可能になり、事業拡大に合わせて運用を切り替えられます。
Securifyを無料で使う制限
| 項目 | 制限 |
|---|---|
| 診断できること | WebサイトやWebアプリ、APIのぜい弱性や設定不備の診断 |
| 機能制限 | 一部機能制限 |
| サポート | 公式サポートなし(有料版はメールサポート)。 |
| その他の制限 | 診断対象は1ドメイン/IPまで |
OpenVAS ‐ Greenbone
OpenVASは、多数のプラグインを使って既知のぜい弱性を幅広くスキャンできる点が魅力のセキュリティ診断サービスです。サーバーやネットワーク機器を対象にしたぜい弱性スキャンに対応しており、自社内ネットワークを自社で点検したい担当者に向いています。
無料利用では、サーバーやネットワーク機器を対象に既知のぜい弱性スキャンを実行できます。ライセンス費用をかけずに始められる一方、環境構築や運用は自社で担う必要があるため、インフラを扱える担当者がいる企業での利用が現実的です。
もし、ぜい弱性情報の充実や公式サポートが必要になった場合は、有料の商用版へ移行できます。有料版ではぜい弱性フィードの強化やコンプライアンス観点のチェックなどが進み、継続運用の負荷を下げられます。
OpenVASを無料で使う制限
| 項目 | 制限 |
|---|---|
| 診断できること | サーバーやネットワーク機器を対象に既知のぜい弱性をスキャン |
| 機能制限 | ぜい弱性情報のカバレッジが限定される場合がある |
| サポート | 公式サポートなし(コミュニティ中心) |
| その他の制限 | 自社で導入環境の構築・運用が必要 |
Nikto – Netsparker
Niktoは、Webサーバー上の危険なファイルや設定不備、古いバージョンを素早く洗い出せる点が魅力のセキュリティ診断サービスです。軽量なWebサーバースキャンが可能で、まずは基本的なセキュリティの穴を把握したい担当者に向いています。
無料利用では、Webサーバー上の既知のセキュリティホールを検出する診断が利用可能です。導入コストをかけずに実行できる反面、結果の精査や運用設計は自社で行う必要があるため、スポットでの簡易チェックから始めたい場合に適しています。
なお、NiktoはOSSのため、有料プランはありません。運用負荷を下げたい、診断結果の管理や継続診断まで一括で回したい場合は、別のセキュリティ診断サービスの無料プランや商用サービスの併用を検討すると安心です。
Niktoを無料で使う制限
| 項目 | 制限 |
|---|---|
| 診断できること | 危険なファイル、設定不備、古いバージョンなどの検出 |
| 機能制限 | コマンドライン中心で、結果の精査や運用は手作業になりやすい |
| サポート | 公式サポートなし(自己対応) |
| その他の制限 | 既知パターン中心のため、検知範囲は使い方次第になる |
OWASP ZAP – The OWASP Foundation
OWASP ZAPは、プロキシ型ツールとして自動スキャンと手動テストを両立できる点が魅力のセキュリティ診断サービスです。Webアプリケーションのぜい弱性診断に対応しており、開発工程での自己診断を強化したいチームでも導入しやすいです。
無料利用では、Webアプリの自動スキャンに加えて、通信を確認しながらの手動テストまで、幅広く利用できます。アドオンで拡張できる一方、設定やテスト設計は自社で行う必要があるため、セキュリティ検証を内製したい開発・QA担当者に向きます。
なお、OWASP ZAPはOSSのため有料プランはありません。診断結果の一元管理や権限管理、レポート共有まで含めて運用したい場合は、セキュリティ診断サービスの無料プランから試すと現場負担を抑えやすくなります。
OWASP ZAPを無料で使う制限
| 項目 | 制限 |
|---|---|
| 診断できること | Webアプリの自動スキャン、手動テスト |
| 機能制限 | 設定やテスト設計に知識が必要で、運用設計は自社で行う |
| サポート | 公式サポートなし(ドキュメント・コミュニティ中心) |
| その他の制限 | 診断結果の管理や共有の仕組みは別途整備が必要 |
FutureVuls ‐ フューチャー株式会社
FutureVulsは、サーバーに導入されたソフトウェアのぜい弱性情報を収集し、自動で検知できる点が魅力のセキュリティ診断サービスです。サーバーのぜい弱性検知と可視化に対応しており、少人数でも継続的に点検を回したいインフラ担当者に向いています。
無料利用(OSS版)では、主にLinuxサーバー上のソフトウェアぜい弱性を検知できます。管理画面やチケット管理が用意されていないため、まずは対象サーバーのリスクを洗い出して一覧化したい段階で使うと効果的です。
もし、チームでの管理やWindows対応まで含めて運用したい場合は、月額4,000円からの商用版へ移行できます。商用版では管理画面やチケット管理、共有機能などが解放され、台数が増えても回る体制を整えやすくなります。
FutureVulsを無料で使う制限
| 項目 | 制限 |
|---|---|
| 診断できること | サーバーに導入されたソフトウェアのぜい弱性を収集・検知 |
| 機能制限 | OSS版はWindows非対応で、管理画面やチケット管理機能も使えない |
| サポート | OSS版は公式サポートなし(商用版はサポートあり) |
| その他の制限 | エージェント導入や運用体制の整備が必要 |
自社に合うサービスを選ぶには、各サービスの内容を比較することが重要です。気になるサービスの資料をダウンロードして自社に合うのか検討してみましょう。
\料金や機能を資料で比較する/
無料と有料の違いは?よくある機能制限と注意点
無料のセキュリティ診断サービスでよくある機能の制限をまとめました。
診断範囲の制限
無料版のセキュリティ診断サービスを使う際は、診断範囲の制限を確認しましょう。無料プランのあるぜい弱性診断ツールでは、診断対象のドメインやIPアドレス、リクエスト数、診断項目などが限定されていることがあります。自社のシステムやアプリ、ネットワークに必要な範囲を無料版でカバーできるか、確認しましょう。
診断回数の制限
無料版のセキュリティ診断サービスを使うときは、診断回数の制限に注意しましょう。診断回数とは、どの程度の頻度でぜい弱性を検査できるかです。無料サービスでは、診断回数が有料サービスに比べて少ないことが多く、年に1回や2回しか診断できない場合もあります。
診断回数が少ないと、ぜい弱性が見逃されたり、新たに発生したりするリスクが高まります。診断回数は自社のセキュリティニーズに合わせて、十分なサービスを選ぶことが重要です。
診断機能の制限
無料版のセキュリティ診断サービスを使う際は、診断機能の制限を比較することも大切です。 無料版では、診断機能が限定されていたり、システムのアップデートがされず最新の脅威に対応していなかったりする場合があります。 自社のシステムに適した診断機能のあるサービスを選びましょう。
有料ツールを検討するべきケース
企業の状況やツールに求めることによっては、無料ツールではかなえられないケースが存在します。有料ツールを検討したほうがよいケースをまとめているので、参考にしましょう。
高精度のぜい弱性診断を行いたい場合
もし高精度のぜい弱性診断を行いたいのであれば、有料サービスを検討しましょう。なぜなら無料版のセキュリティ診断サービスでは、診断の精度に不安があるからです。冒頭でも簡単に紹介しているように、セキュリティ診断サービスの診断方法としては「ぜい弱性診断ツールによる自動診断」と、「エキスパートによる手動診断」の2種類があります。
ツールによる診断は簡単かつ短時間でできるものの、よくあるぜい弱性の検出が基本であり、すべてのぜい弱性は網羅できません。一方、手動診断は、エンジニアが複数のパターンで本物に似せた攻撃をしかけてぜい弱性を検査するものであり、時間はかかるものの、より確実にぜい弱性を発見でき、最新の攻撃手法にも対応できます。
ただし、無料版は基本的にツールによる自動診断しかできません。OSSであれば手動診断に対応したツールも一部には存在しますが、エンジニアのエキスパート人材を手配する必要があり、自社だけで実施するのは難しいでしょう。
自動診断ツールを使った場合、診断でぜい弱性が見つからなかったとしてもセキュリティリスクは残る可能性があります。そのためより確実にセキュリティ診断を行いたいのであれば、手動診断ができる有料サービスの利用がおすすめです。
Webサイトの規模が大きい場合
Webサイトの規模が大きい場合、無料のセキュリティ診断サービスではカバーできない範囲が出てくる可能性もあります。小規模なWebサイトであれば、無料プランや無料ツールだけでも診断できるケースは多いでしょう。
しかしサイトの規模が大きくなればサブドメインやディレクトリ、パラメータなどの設定が複雑になり、ぜい弱性も複雑になるため、簡易的な診断では検出できないものも出てくる可能性が高くなります。そのため、有料ツールによる自動診断と手動診断を組み合わせて実施するサービスを利用し、効率的かつ確実にセキュリティ診断を行うのがおすすめです。
診断の頻度が高い場合
自社のシステムやネットワークに頻繁に変更がある場合や、定期的に診断を行う必要がある場合は、有料版に切り替えたほうがよいでしょう。無料プランでは、診断の回数に制限をかけていることが多く、年に1回や2回しか診断できない場合もあります。
診断の回数が少ないと、新たに発生したぜい弱性を見逃したり、診断結果が古くなったりするリスクがあります。有料サービスでは、診断の回数に応じたプランを選択でき、随時もしくはプログラムの変更時に診断可能です。診断の頻度を自社のニーズに合わせて、最新のセキュリティ状況を把握することが重要です。
セキュリティに詳しい人材が不足している場合
もしも、セキュリティに詳しい人材が不足していれば、有料サービスがおすすめです。通常、診断の結果ぜい弱性が発見された場合、これをなくすための改善案を考えなければなりません。しかし、無料プランや無料ツールでは、診断結果のレポートが簡素化されていたり、レポートが提供されなかったりすることがほとんどです。そのためある程度自社だけで、ソースコードの修正といった改善策を考えなければなりません。
また、OSS(オープンソース)のぜい弱性診断ツールを利用する場合、自社で使えるように直接ソースコードに手を加える必要があり、ある程度のプログラミング知識が求められます。加えてOSSは世界中のユーザーコミュニティでサポートや開発が行われていますが、ぜい弱性が発見されたりツールに不具合が発生したりしても、コミュニティがすぐに対応してくれるとは限りません。
基本的には、すべて自社だけで対応することを迫られると考えた方がいいでしょう。 一方で有料版は誰でも利用できるうえ、診断結果の詳細やぜい弱性の深刻度や優先度、具体的な対策や方針などをレポートとして提出してもらえます。また専門家によるアドバイスやサポートを受けられたり、相談に乗ってもらえたりもするため、自社だけで対応するのに不安を感じるのであれば有料版の利用がおすすめです。
無料プランや無料トライアルでシステムを比較しましょう
自社に合うシステムを選ぶには、実際にツールを触ってみて、診断の範囲や利用回数、サポート体制を確認することが重要です。まずは期間無制限の無料プランや、無料トライアルを活用して、使用感や機能性を確かめてみましょう。
また、本格的な導入や有料プランへの移行を検討する場合は、各社のサービス資料を見比べるのが効率的です。次のボタンから、人気サービスの資料をまとめてダウンロードできるので、ぜひ社内検討にご活用ください。
\料金や機能を資料で比較する/
