セキュリティ診断（脆弱性検査）とは？おすすめサービス20選

今回紹介するセキュリティ診断サービスを一括で比較したい方はこちらからどうぞ！

あなたの会社のシステムのセキュリティ対策は万全でしょうか？

最近Webを利用したビジネスが増えていますが、公開サーバーやWebアプリケーションの設計や開発の不備を利用するサイバー攻撃が後をたちません。
スタンダードなセキュリティ対策以外に何をすればいいの？と思う方も多いと思いますが、サイバー攻撃からシステムを守るには、まずどこが攻撃される可能性があるのかを正確に知る必要があります。それを行うのがセキュリティ診断です。

セキュリティ診断とは何かやその必要性をまとめ、どのようなセキュリティ診断サービスがあるかを紹介します。

セキュリティ診断とは

セキュリティ診断とは、サイバー攻撃されやすいネットワーク機器のOS、ミドルウェア、Webアプリケーションなどのシステムを調査して、攻撃の対象となる欠陥を検出する作業やサービスです。
脆弱性診断・脆弱性検査とも呼ばれます。サイバー攻撃者は、脆弱性があるサーバーを常にネットワーク上で探し回っているので、脆弱性の早期検出とその対処は、大切な情報の漏出や、自社のサーバーが不正に使用されないようにするために非常に重要です。

ではセキュリティ診断の対象となる「脆弱性」とは何でしょうか？

脆弱性とは　

脆弱性とは、コンピューターのOSやソフトウェアなどのシステムに存在する弱点のことで、セキュリティホールとも呼ばれます。プログラムの不具合や設計ミスによる情報セキュリティにおける「欠陥」のことで、不正アクセスやウィルス感染を引き起こす危険性があります。

ただし、脆弱性とセキュリティホールは区別されることも多くあります。その場合、脆弱性はシステムに存在する弱点一般を表すのに対し、セキュリティホールは、システムの設計ミスや誤った構築によって生じた弱点を表します。たとえばDDoS攻撃に対して、単に弱い場合は脆弱性がある、構築を誤った結果弱点となっている場合にはセキュリティホールがあるとみなします。

通常は、欠陥がみつかるとソフトの開発者が更新プログラムを作成して配布しますが、ソフトが実際に市場で使われ始めた後に脆弱性が発見されるのが現状ですから、更新プログラムがリリースされる前に攻撃されてしまうこともあり得ます。

なお、脆弱性とは単なるプログラム上の欠陥ではなく、サイバー攻撃が悪用しうる任意のスクリプトやコマンド、コードの実行などのユーザーが意図しない動きをする欠陥です。

では、脆弱性はなぜ発生し、脆弱性によってどのような被害を受けるのでしょうか。

脆弱性の原因

脆弱性が発生する原因には、以下のものがあります。

• Webサーバーやアプリケーションの設計ミスや開発ミス
  単なる設計上の間違いだけでなく、設計時に予測しきれずに対策がとれなかったことも指します。
• 脆弱性が、攻撃者によって故意に仕掛けられている
• すでに脆弱性が発見されているものを、更新修正しないで使い続ける
• ソフトウエアの欠陥だけでなく、情報管理方法や管理体制の不備

脆弱性による被害

また脆弱性により受ける被害には、以下のものがあります。

• サーバーへの不正アクセスによるWebサイト改ざん
• 他のコンピュータへのウイルスの二次、三次被害
• 自社の機密情報だけでなく、顧客や個人の情報の漏出
• サーバーのシステム破壊によるサーバーダウン
• いつでも侵入可能な裏口の構築

またこれらの被害により、企業にとっては対処に追われて業務が進まなくなったり、企業の信用が失われてしまうという結果につながります。

セキュリティ診断の種類2つ

セキュリティ診断には、どこを診断するのかによって以下の種類にわかれます。

Webアプリケーション診断

会員サイトやモバイル向けサイト、ショッピングサイトなど、構築されたWebアプリケーションを中心に脆弱性がないかを、攻撃者のさまざまな攻撃手法を使ってセキュリティの安全性を調べる診断です。
なお、これまでに届け出られている脆弱性の約7割がWebサイトに関するものとなっており、ユーザーや顧客のニーズが多様化によりWebアプリケーションも複雑化しているため、Webアプリケーション診断の必要性が高まっています。

プラットフォーム診断

サーバーやネットワーク機器の脆弱性を、ネットワークの外側と内側の両方から診断するものです。
外部からインターネット経由サーバーの脆弱性やアクセス制限が適切かを診断するリモート診断と、内部のネットワーク経由ネットワークに接続されている機器の、社内での脅威に対する脆弱性を診断するオンサイト診断とあります。

セキュリティ診断の診断方法

診断方法としては、以下の手法があります。

ツール診断

自動化された単一の診断ツールを使った診断で、基本的な脆弱性をシステム全体で広範にわたって診断するものです。大量のパターンを診断できますが、Webサイトの構成が複雑だと、誤診断や誤検知も生じます。

手動診断

通常複数のツールを使った専門家によるマニュアル診断です。単一のツールでは見つけにくい脆弱性を診断するもので、診断の柔軟性と精緻度は高くなりますが、ツール診断のように一度に多くを診断できないので時間がかかり、よりスキルの高い専門家を依頼するとコストも高くなります。

まずツール診断で全体をチェックし、特に重要な部分を手動診断とするというやり方もありますが、セキュリティ診断の目的や費用対効果を考慮して選択する必要があります。

セキュリティ診断の必要性

システムの脆弱性による被害について説明しましたが、単に自社のシステムがダウンして業務に支障がでることだけでなく、重要な顧客の情報の漏えいにより、企業にとって多額の損失を引き起こすことにもつながります。

企業のリスクには、災害や事故によるリスクの他、訴訟リスク、利益に関わるリスクなどがありますが、情報システムの問題から発生するシステムリスクもその一つです。企業をとりまくいろいろなリスクには予測が困難なものもありますが、システムリスクはセキュリティ診断により事前に回避が可能です。

ソフトウェアの更新やサーバーへのファイアウォール設置、パーミッションの正しい設定だけでは回避できないシステムリスクに対しては、セキュリティ診断で万全の対策をとり、企業のリスク管理の強化が必要です。

セキュリティ診断のメリット

セキュリティコストの削減

システム全体に闇雲にセキュリティをかけても、コストがかかるばかりです。必要のない余分なセキュリティも含まれているかもしれません。セキュリティ診断をすることにより、特定の脆弱性に対する一番効果的な対策にのみ費用をかけられます。

企業のリスク回避・信頼の獲得

リスクマネジメントで企業の損失につながる潜在的なリスクを回避できるほか、自社のシステムのセキュリティ対策による品質保証で、顧客からの信頼が得られます。

気がつきにくいリスクの発見

典型的な外部からのリスクだけでなく、社内で使っているいろいろなデバイスのセキュリティも含めて、内部からのリスクにも気が付きやすくなるでしょう。

おすすめのセキュリティ診断サービス20選

では、おすすめの20選のセキュリティ診断サービスを紹介します。

• 高品質な純国産診断ツールを使用
• 擬似ハッカーによるアタックシミュレーション
• 改善対応に役立つわかりやすい診断レポート

セキュアイノベーションのセキュリティ脆弱性診断サービスは、さまざまなセキュリティ診断に対応している純国産のセキュリティ診断サービスです。診断ツールと擬似アタックによる、二重のセキュリティ診断を実施することで、検知漏れや誤検出を抑え、網羅的で信頼性の高いセキュリティ診断を実現します。また、擬似ハッカーによるアタックシミュレーションも行い、検知漏れやツールでは見つからなかった脆弱性も見逃しません。診断レポートは診断結果だけでなく、対処方法も記載されているので具体的な改善対応につながります。

• Webサーバーを定期的に監視
• 更新と改ざんを判別して自動修復
• セキュリティ対策を安価に実現

サイトパトロールクラウドは、WEBサイトの改ざんを検出して自動的に修正するリモート監視サービスです。
監視対象のWEBサーバーに定期的にHTTPやFTP/sFTPでアクセスし、HTMLやCGIなどのファイルが変更されているかどうかを監視。ファイルの変更なのか改ざんなのかを分析し、改ざんを検知した場合には自動的に修復してくれます。WWWサーバーの種類や形態を選ばないので、高価なサーバープランでしか利用できなかったセキュリティ対策が安価な共用プランでも実現可能です。

• コストパフォーマンスの高い脆弱性診断
• ユーザーのシステム環境に即した分析レポート
• 脆弱性の解消をプロが代行

SECURE-AIDは、システムインフラの脆弱性を診断・分析・解消をするセキュリティ診断サービスです。

223,000円/1FQDN・1回で、脆弱性の診断と分析の実施が可能です。分析では、脆弱性診断結果とユーザーのシステム固有の情報と合わせてエンジニアが分析し、システムへの影響度と対策を提示してくれます。さらにオプションでは、脆弱性診断・分析結果に基づき、OS・ミドルウェア・ネットワークの脆弱性の解消まで代行を依頼できます。

• 総合的なセキュリティ対策
• Webサイトを改ざんの検知機能
• 脆弱性の診断機能

DIT Securityは、ネットワーク上のサーバ、端末、機器の脆弱性を診断するシステムです。

ある特定の部分に特化したセキュリティ対策ではなく、検知、防止、診断と幅広く総合的な対策が可能なことを強みとするサービスです。既存のセキュリティ製品とは大きく異なり、仮に防御が突破され改ざんなどの攻撃を受けたとしても、それを検知し一瞬で元の状態に戻し実害をゼロにすることをコンセプトとしてます。また脆弱性の診断機能は、ディスカバリスキャン、プラットフォームに対するOSやソフトウェアの既知の脆弱性を識別するシステムスキャンおよび、WEBアプリケーションの脆弱性を識別するWEBスキャンの3つで構成された診断ツールが利用できます。

• 改ざん発生から0.1秒未満で自動復旧
• ゼロデイ攻撃も検知・復旧
• SaaS提供だから管理サーバ不要

SECURE-ARGUSは、システムの改ざんを瞬間検知、瞬間復旧するSaaS 型サービスです。

システム内のファイル・ディレクトリに対する予期せぬ変更や、ファイルの追加・削除・権限変更等の改ざんを発生と同時に検知し、わずか0.1秒未満でシステムを自動復旧可能です。一般的な防御製品が対応できないゼロデイ攻撃や、非公開ファイル等の内部犯行による改ざんに対しても有効です。SaaS型なので、管理サーバの購入・構築・維持といった手間をかけずに利用できます。

• 毎日新たに公開される脆弱性情報を素早く収集・整理
• 国内外のあらゆる情報を網羅
• テキストだけではなくCSV形式など取り込みが容易な形でレポートを提供

脆弱性TODAYは、セキュリティに精通した専門家が国内外の脆弱性情報を収集し、日本語に翻訳してメールでレポートを配信するサービスです。毎日午前6時までに公表された脆弱性情報を、平日はその日の午後にはメールで受け取りが可能。各ベンダー、US-CERTやJVNなどのポータル･サイトを含む30以上のWebサイトをカバーし、オープンソース･コミュニティの情報も網羅しているため、重要な情報を見落とすことなく入手できます。レポートはユーザーの視点に立って作成されており、正確性・利便性ともに非常に高く高品質なものとなっております。

• ワンタイム診断や定期診断などのニーズに合わせた診断を提供
• 安全なWebサイトに安全認証マークを配信
• カード業界のセキュリティ基準であるPCI DSS ASV資格保有

三和コムテックのSCT SECUREでは、クラウドスキャンやインターナルスキャン・モバイルアプリ診断・管理リスク検査・Webサイト脆弱性監視サービスなど、さまざまなメニューが取り揃えられています。またASV資格を毎年更新し、法品質のサービスが保証されています。

• 日本で唯一のActive Directory診断を実施
• ネットワーク経由でセキュリティ強度測定
• 総合的なセキュリティ強度測定診断も

セキュリティ診断サービスは、ソフトバンク・テクノロジーが提供している、重要機密を保有する企業向けの標的型攻撃対策支援サービスです。

「Active Directory 診断」は日本で唯一のActive Directoryサーバーのセキュリティ強度をはかり、Active Directoryサーバーの外側と内側の両面から診断して問題点を検出し、問題を提示します。このほかにも、ネットワーク経由でのセキュリティ強度を測定する「ペネトレーション診断」、特定のサーバーやクライアントの総合的なセキュリティ強度を測定する「ペネトレーションプラス診断」があります。

• 定期的に脆弱性や改ざんの有無を診断
• 結果をメールで通知
• 診断結果レポートの提供

Webセキュリティ診断は、NTT東日本が提供する脆弱性や改ざんの有無をシステムから定期的に診断するサービスです。
脆弱性診断は月に1度、改ざん検出は毎日行い、診断結果をメールで通知してくれます。さらにPDFで診断結果レポートをダウンロード可能です。
初期費用は無料で月額5,000円というお手頃な料金設定なので、気軽に導入でき安心して長期利用できます。

• 初心者でも簡単に始められる
• 検知から処置や復旧作業まで任せられる
• 安全性を視覚的に伝えられる機能

SiteLockはアプリの脆弱性診断、改ざん監視、マルウェア検知・駆除などを1サービスで提供しているWebセキュリティです。
幅広い診断メニューを揃えており、最適な実施頻度を選べます。セキュリティの脅威を検知するだけでなく、問題発生時の処置から復旧作業までを任せられます。またWebサイトの安全性を視覚的に伝えられる安全シールをサイトに設置できます。

• 調査・診断・コンサルティングの多方面サービス提供
• NTT東日本のWebセキュリティ診断に技術協力
• エキスパート集団によるサイバー救急センターもあり

LACでは、Webアプリケーション診断やプラットフォーム診断の他、パフォーマンス診断やスマートフォンアプリケーション診断、独自に開発した疑似攻撃マルウェアを使ったAPT攻撃耐性新サービスも提供。
緊急対応サービスや情報漏えい調査、情報セキュリティに関するコンサルティングサービスも対応しています。

• 3つの調査を組み合わせ可能
• 繰り返しチェックに対応したアジャイル診断
• アフターケアが充実

株式会社セキュアスカイ・テクノロジーは、Webアプリをエンジニアが手動で調査する診断、サーバやネットワークへの調査、フィードバックが高速なアジャイル診断、3つのソリューションを販売しています。
アジャイル診断はSaaS事業者やソーシャルアプリのプロバイダに向いています。診断後、ぜい弱性対策を行ったときに、無償で再診断を実施しており、アフターケアが充実したセキュリティ診断ソリューションです。

Googleアカウントのセキュリティ診断

個人向けのセキュリティ管理として、Googleアカウントのセキュリティ診断があるので、番外編として紹介します。

Googleセキュリティ診断とは

GoogleアカウントはGmailやYouTubeなどを利用する際に必要なアカウントですが、不正ログインでクレジットカードが不正使用されたりする危険が伴います。IDとパスワードの他に確認コードでログインする2段階認証を設定されている方がほとんどと思いますが、これ以外にセキュリティ診断も提供されています。数分でできるので、定期的に診断しておきましょう。

Googleセキュリティ診断の使い方

1. Googleアカウントにログインする。

2. マイアカウントのダッシュボードの画面内で、「セキュリティ診断」を選択。

3. アカウント復旧情報の追加

予備の電話番号を追加する。追加した電話番号にコードがMMSで届くので、それを入力して確認。
これにより不正アクセスの疑いがあった場合には、MMSで通知が登録された電話番号に通知がくることになります。

4. 端末の確認

あなたのGoogleアカウントに接続できるデバイスをチェックします。Googleアカウントで使っているデバイスのリストに覚えがない端末が入っていたら、「覚えがない」を選択してパスワードを変更します。

5. アカウント権限の確認

あなたのGoogleアカウントを使って利用しているアプリやサービスの一覧が表示されます。使ったことがないものや、今後使う必要がないものは削除します。

6. 2段階認証の診断

Googleアカウントにログインするたびに、指定の携帯電話にコードが送られ、そのコードを入力しないとログインできないよにする認証方法です。2段階認証を使っている場合は、この診断もできます。2段階認証の登録内容が表示されるので、確認して問題なければ完了をクリックします。

セキュリティ診断で潜在リスクを未然に防ごう

セキュリティ診断は、病気になる前に注意しないと病気になりそうなところを見つけたり、病気にならないような予防措置をとるための健康診断と同じといってもよいでしょう。面倒と思わずに、後で後悔しないために定期的なセキュリティ診断を行って、潜在的なサイバー攻撃のリスクを防ぎましょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます！また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。