セキュリティ診断（脆弱性診断）とは？手法や種類、メリット、おすすめサービス

今回紹介するセキュリティ診断サービスを一括で比較したい方はこちらからどうぞ！

近年Webを利用したビジネスが増えていますが、公開サーバーやWebアプリケーションの設計や開発の不備を悪用するサイバー攻撃が後をたちません。サプライチェーンを狙ったサイバー攻撃も増加するなか、中小企業も攻撃対象となっています。

標準的なセキュリティ対策以外に何をすればいいの？と思う方もいるかもしれませんが、サイバー攻撃からシステムを守るには、まずどこが攻撃される可能性があるのかを正確に知る必要があります。このような、サイバー攻撃に前もって備えておく「プロアクティブなセキュリティ」のスタートとなるのが、セキュリティ診断（脆弱性診断）です。

この記事では、セキュリティ診断の手法や種類、メリット、どのようなセキュリティ診断サービスがあるかを紹介します。

セキュリティ診断とは

セキュリティ診断とは、サイバー攻撃されやすいネットワーク機器のOS、ミドルウェア、Webアプリケーションなどのシステムを調査して、攻撃の対象となる脆弱性を検出するサービスです。セキュリティ診断は、脆弱性診断・脆弱性検査とも呼ばれ、英語では「Vulnerability Assessment」といいます。

サイバー攻撃者は、脆弱性があるサーバーやシステムを常にネットワーク上で探し回っていたり、長い期間システムの中に潜伏して情報を収集したりしています。そのため、セキュリティ診断による脆弱性の早期検出と迅速な対処は、機密情報の漏えいや、自社のサーバーが不正使用されないようにするために企業にとって非常に重要です。

では、セキュリティ診断の対象となる「脆弱性」とは何でしょうか？

脆弱性とは

脆弱性とは、コンピュータのOSやソフトウェアなどのシステムに存在する弱点のことで、セキュリティホールとも呼ばれます。プログラムの不具合や設計ミスによる情報セキュリティにおける「欠陥」のことで、不正アクセスやウィルス感染を引き起こす危険性があります。

ただし、脆弱性とセキュリティホールは区別されることも多くあります。その場合、脆弱性はシステムに存在する弱点一般を意味するのに対し、セキュリティホールは、プログラムの設計ミスや誤った設定によって生じた弱点を意味します。たとえばサイバー攻撃に対して、単に防御が弱い場合は脆弱性がある、設定を誤った結果、攻撃ポイントとなっている場合にはセキュリティホールがあると表現します。

また、脆弱性には単なるプログラム上の欠陥だけではなく、サイバー攻撃が悪用しうる任意のスクリプトやコマンド、コードの実行などの管理者が意図しない動きをする不具合も含まれます。

通常は、欠陥が発見されるとソフトウェア開発者が更新プログラムを作成して配布しますが、ソフトウェアが実際に市場で使われはじめた後に脆弱性が発見されるのが現状なので、更新プログラムがリリースされる前に攻撃されてしまうこともありえます。

では、脆弱性はなぜ発生し、脆弱性によってどのような被害を受けるのでしょうか。

脆弱性の原因

脆弱性が発生する原因には、次のようなことが考えられます。

• Webアプリケーションの設計ミスや開発ミス
  単なる設計上の間違いだけでなく、設計時に予測しきれずに対策がとれなかったことも含みます
• 脆弱性が、攻撃者によって故意に仕掛けられている
• すでに脆弱性が発見されているものを、修正しないで使い続ける
• ソフトウェアの欠陥だけでなく、情報管理方法や管理体制の不備

脆弱性による被害

また、脆弱性により受ける被害には、次のようなものがあります。

• サーバーへの不正アクセスによるWebサイト改ざん
• 他のコンピュータへのウイルス感染の二次、三次被害
• 自社の機密情報だけでなく、顧客や個人情報の漏えい
• サーバーのロックによるシステムダウン
• いつでも侵入可能なバックドアの設置
• ランサムウェア被害による身代金支払い

またこれらの被害により、企業にとっては対応に追われて業務が進まなくなったり、信用が失われてしまう結果につながったりします。

セキュリティ診断のサービス

セキュリティ診断では、次のようなセキュリティサービスが提供されています。

Webアプリケーション診断

Webアプリケーション診断は、会員サイトやモバイル向けサイト、ECサイトなど、構築されたWebアプリケーションのセキュリティの脆弱性を調べる診断です。

なお、これまでに届け出られている脆弱性の約7割^※がWebサイトに関するものとなっており、ユーザーや顧客のニーズの多様化によりWebアプリケーションも複雑化しているため、Webアプリケーション診断の必要性が高まっています。

※出典：IPA 独立行政法人 情報処理推進機構「 ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期（4月～6月）]」（2022年7月21日掲載）

プラットフォーム診断

プラットフォーム診断は、企業のネットワーク、OS、ミドルウェアの脆弱性を診断するサービスです。サーバー、ルーター、ファイアウォール、PC、IoT機器などが対象となります。

外部からインターネット経由でサーバーの脆弱性やアクセス制限が適切かを診断するリモート診断と、内部のネットワークに接続されている機器の脆弱性を診断するオンサイト診断があります。

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断は、スマートフォンのAndroidとiOSアプリにセキュリティの問題がないか診断します。

ペネトレーションテスト

ペネトレーションテストとは、侵入テストとも呼ばれ、診断エンジニアが実際にシステムへの侵入を試みるセキュリティ診断です。ペネトレーションテストの結果を分析することで、システム全体に対するセキュリティ対策の優先度が把握できます。

WordPress脆弱性診断

セキュリティ診断サービスのなかには、WordPressに特化した脆弱性診断サービスを提供しているところもあります。WordPressを独自運用していたり、プラグインを多く使用していたりする場合には、試してみたい診断サービスです。

セキュリティ診断の診断方法

セキュリティ診断の方法としては、次の手法があります。

ツール診断

ツール診断は、AIなどで自動化された単一の診断ツールを使った診断で、基本的な脆弱性をシステム全体で広範囲にわたって診断します。Webサイトの脆弱性診断に向いており、セキュリティ診断サービスによっては、クラウド型の診断ツールを提供しています。大量のパターンを診断できますが、Webサイトの構成が複雑だと、誤診断や誤検知も生じます。

手動診断

手動診断では、通常複数のツールを使った専門家によるマニュアル診断が実施されます。単一のツールでは見つけにくい脆弱性を診断するもので、診断の柔軟性と精度は高くなりますが、ツール診断のように一度に多くを診断できないので時間がかかり、よりスキルの高い専門家に依頼すると費用も高くなります。

まず、ツール診断で全体をチェックし、とくに重要な部分を手動診断とするやり方もあり、セキュリティ診断の目的や費用対効果を考慮して選択する必要があります。

セキュリティ診断の必要性

システムの脆弱性による被害は、単に自社のシステムがダウンして業務に支障が出ることだけでなく、重要な顧客の情報の漏えいにより、企業にとって多額の損失を引き起こすことにもつながります。

企業のリスクには、災害や事故によるリスクの他、訴訟リスク、利益に関わるリスクなどがあり、情報システムの脆弱性から発生するシステムリスクもその一つです。企業をとりまくいろいろなリスクには予測が困難なものもありますが、システムリスクはセキュリティ診断により事前に回避が可能です。

ソフトウェアの更新やサーバーへのファイアウォール設置、パーミッションの正しい設定だけでは回避できないシステムリスクに対しては、セキュリティ診断でプロアクティブな対策をとり、企業のリスク管理の強化が必要です。

セキュリティ診断のメリット

セキュリティ診断の利用には、次のようなメリットがあります。

• セキュリティ費用の削減
• 企業のリスク回避・信頼の獲得
• 気がつきにくい脆弱性の発見
• 従業員のセキュリティ意識が高まる

セキュリティ費用の削減

あらゆる社内システムや外部サーバーにセキュリティ対策を行おうとすると、膨大なコストが発生します。セキュリティ診断をすることにより、優先度の高い脆弱性に対するセキュリティ対策に費用をかけられます。

企業のリスク回避・信頼の獲得

リスクマネジメントで企業の損失につながる潜在的なリスクを回避できるほか、自社のシステムのセキュリティ対策による品質保証で、顧客からの信頼が得られます。

気がつきにくい脆弱性の発見

典型的なWebサイトの脆弱性だけでなく、社内で使っているルーターやネットワーク機器などのさまざまなデバイスのセキュリティも含めて、盲点となりがちな脆弱性にも気が付きやすくなるでしょう。

従業員のセキュリティ意識が高まる

クラウドベースのメールセキュリティプラットフォームTessianが、2022年7月に発表した調査によると、従業員の3人に1人がサイバーセキュリティの重要性を理解していない、ことが判明しました。（※参照：Tessian「 1 in 3 Employees Do Not Understand the Importance of Cybersecurity」）

企業のセキュリティのアプローチが、境界型防御からゼロトラストセキュリティに移行するなか、従業員のセキュリティ意識やリテラシーの向上が強く求められています。セキュリティ診断サービスの、分析レポートやセキュリティ教育サービスを利用すれば、従業員のセキュリティ意識を高めることができます。

おすすめのセキュリティ診断サービス・会社20選

おすすめのセキュリティ診断サービスや提供会社を紹介します。

• サイバー攻撃からWebサイトを包括的に守る
• サイバーセキュリティ保険付帯でインシデントの際も安心
• 総データ量と平均トラフィックによる従量課金制で費用はリーズナブル

BLUE Sphereは、さまざまなサイバー攻撃対策を行いながら、サイバーセキュリティ保険でインシデントの発生にも備えられるクラウド型サービスです。

セキュリティ対策として、WAF・DDoS防御・改ざん検知・DNS監視を一つにまとめることで、Webサイトを包括的に守ります。さらに、サイバーセキュリティ保険が自動付帯されるので、インシデントの発生した場合でも損害賠償や費用損害の補償があります。また、利用料金は3か月の総データ量と平均帯域で変動する従量課金制であり、コストの無駄なく使えます。

• AIとRPA活用でセキュリティテストを自動化
• 診断結果をレポート化
• WordPress固有の問題、オープンポートの診断に対応

AeyeScanは、SaaS型のWebアプリケーション脆弱性診断サービスです。セキュリティテストを予約・実行でき、危険度やOWASP Top 10項目などの軸でレポート化してくれます。画面遷移図のキャプチャや修正に必要な詳細情報などを表示可能です。診断対象の特定に適した手動巡回も対応できます。WordPressなどCMS固有の問題、オープンポートの診断などにも対応します。

• 自動診断ツールで効率的に脆弱性を検出
• CISSやCEHなどの有資格ホワイトハッカーによる手動診断
• モバイルアプリケーションへ静的／動的解析を実施

RayAegis（レイ・イージス）脆弱性診断サービスは、AI診断ツールや手動診断などを組み合わせ、脆弱性診断できる定額サービスです。基本的な診断項目からロジック周りを含む診断まで、対象に合わせた手法で対応します。

脆弱性を検知した場合、対策方法の提案があり、対策後の再診断を追加料金なく受けられます。

• 情報収集対象800種類以上^※1、セキュリティホール情報39,000件以上^※2
• 導入企業実績1,500社以上^※3
• 脆弱性の質問に対応してくれるヘルプデスク完備

SIDfmは、脆弱性情報の収集から対処進捗の管理まで実行できるツールです。世界中から脆弱性情報や対策情報などを収集し、顧客に必要な情報を特定し日本語で情報提供しています。

使用しているOSやアプリケーションなどを登録することで、必要な情報のみ検索でき、メール通知も可能です。脆弱性の状態把握や対応状況などの可視化ができるため、継続的に情報資産の脆弱度を監視可能です。

※1 ※2 ※3 SIDfm公式サイトより（2022年8月時点）

• 組織のエンドポイントセキュリティを統合管理
• 数兆件ものシグナルを人間とAIで分析
• ネットワーク保護とWebブロッキング

Microsoft Defender for Businessは、すべてのデバイスのエンドポイントセキュリティを保護する、300人以下の中小企業向けセキュリティサービスです。脅威に先回りして防御するために、数兆件ものシグナルを人間とAIで分析します。悪質なコンテンツからのネットワーク保護とWebブロッキングも提供します。

• 国内外の省庁や銀行、証券といった業種で実績あり
• 最新のガイドラインや攻撃コードをAIが機械学習し情報蓄積
• SSL診断やトレードマークの不正使用診断に対応

ImmuniWebは、Webサイトやサーバーのぜい弱性を一括診断できるサービスです。200台のマシン^※による分散診断をAIのアリゴリズムで実行し、対応が難しい箇所をエンジニアが診断することで、診断対象を均等に診断可能です。

サイバーセキュリティ事故による賠償費用や対応費用、調査費用などを補償する保険付きで、万が一の事故に備えられます。NISTやEU GDPRなど国内外のセキュリティガイドラインを網羅しているため、海外に拠点をもつ企業におすすめです。

※ボクシル掲載資料参照（2022年10月閲覧）

• Webサーバーを定期的に監視
• 更新と改ざんを判別して自動修復
• WordPress強靭化サービスも提供

WEB改ざん検知サービス SITE PATROLは、Webサイトの改ざんを検出して自動的に修正するリモート監視サービスです。

監視対象のWebサーバーに定期的にHTTPやFTP/sFTPでアクセスし、HTMLやCGIなどのファイルが変更されているかどうかを監視。ファイルの更新なのか改ざんなのかを分析し、改ざんを検知した場合には自動的に修復してくれます。高価な専用サーバープランでしか利用できなかったセキュリティ対策が、安価な共用サーバーでも実現可能です。また、WordPress強靭化サービスも提供しています。

• 高品質な純国産診断ツールを使用
• 疑似ハッカーによるアタックシミュレーション
• 改善対応に役立つわかりやすい診断レポート

セキュアイノベーションのセキュリティ脆弱性診断サービスは、さまざまなセキュリティ診断に対応している純国産のセキュリティ診断サービスです。診断ツールと疑似アタックによる、二重のセキュリティ診断を実施することで、検知漏れや誤検出を抑え、網羅的で信頼性の高いセキュリティ診断を実現します。また、疑似ハッカーによるアタックシミュレーションでは、検知漏れやツールでは見つからなかった脆弱性も見逃しません。診断レポートは診断結果だけでなく、対処方法も記載されているので、具体的な改善対応につながります。

• 脆弱性自動診断の費用は月額1,000円
• 脆弱性の解消をプロが代行
• WordPressの脆弱性自動診断オプションも

SECURE-AIDは、システムインフラの脆弱性を診断・分析・解消を提供するセキュリティ診断サービスです。1回223,000円/1ドメインの料金で、脆弱性の診断と分析の実施が可能です。

分析では、脆弱性診断結果とユーザーのシステム固有の情報と合わせてエンジニアが分析し、システムへの影響度と対策を提示してくれます。さらにオプションでは、脆弱性診断・分析結果に基づき、OS・ミドルウェア・ネットワークの脆弱性の解消まで依頼できます。WPScanによるWordPressの脆弱性自動診断・診断結果レポートも依頼可能です。

• 総合的なセキュリティ対策
• Webサイトを改ざんの検知機能
• 国内銀行で約80%^※のシェア

DIT Securityは、ネットワーク上のサーバー、端末、機器の脆弱性を診断するシステムです。特定の部分に特化したセキュリティ対策ではなく、検知、防止、診断と幅広く総合的な対策を強みとするサービスです。

防御が突破されWebが改ざんされても、それを検知し一瞬で元の状態に戻し被害をゼロにします。また脆弱性の診断機能は、ディスカバリスキャン、OSやソフトウェアの既知の脆弱性を識別するシステムスキャン、Webアプリケーションの脆弱性を識別するWEBスキャンの3つで構成された診断ツールを利用できます。

※ DIT Security公式サイトより（2022年8月時点）

• 改ざん発生から0.1秒未満で自動復旧
• ゼロデイ攻撃も検知・復旧
• SaaS提供だから初期費用無料

SECURE-ARGUSは、システムの改ざんを瞬間検知、瞬間復旧するSaaS型セキュリティサービスです。システム内のファイル・ディレクトリに対する予期せぬ変更や、ファイルの追加・削除・権限変更などの改ざんを発生と同時に検知し、わずか0.1秒未満でシステムを自動復旧可能です。

一般的な防御製品が対応できないゼロデイ攻撃や、非公開ファイルの内部犯行による改ざんに対しても有効です。SaaS型なので初期費用無料、インストール完了から3営業日以内で利用できます。

• 毎日新たに公開される脆弱性情報を素早く収集・整理
• CSIRTトレーニングセンター監修
• テキストだけではなくCSV形式など取り込みが容易な形でレポートを提供

脆弱性TODAYは、セキュリティに精通した専門家が国内外の脆弱性情報を収集し、日本語に翻訳してメールでレポートを配信するサービスです。毎日午前6時までに公表された脆弱性情報を、平日はその日の午後にはメールで受け取り可能。各ベンダー、US-CERTやJVNなどのポータルサイトを含む30以上のWebサイトをカバーし、オープンソースコミュニティの情報も網羅しているため、重要な情報を見落とすことなく入手できます。レポートはユーザーの視点に立って作成されており、正確性・利便性ともに非常に高く高品質なものとなっています。

• ワンタイム診断や定期診断などのニーズに合わせた診断を提供
• 安全なWebサイトに安全認証マークを配信
• カード業界のセキュリティ基準であるPCI DSS ASV資格保有

SCT SECUREは、三和コムテックの提供する、最新のセキュリティ情報にもとづいて脆弱性診断を行うクラウド型セキュリティサービスです。クラウドスキャンやインターナルスキャン、モバイルアプリ診断、管理リスク検査、Webサイト脆弱性監視サービスなど、さまざまなメニューが取り揃えられています。またASV資格を毎年更新し、高品質のサービスが保証されています。

• 日本で唯一のActive Directory診断を実施
• ネットワーク経由でセキュリティ強度測定
• 総合的なセキュリティ強度測定診断も

SBT セキュリティ診断サービスは、SBテクノロジー株式会社が提供している、重要機密を保有する企業向けの標的型攻撃対策支援サービスです。

「Active Directory 診断」は日本で唯一のActive Directoryサーバーのセキュリティ強度をはかり、Active Directoryサーバーの外側と内側の両面から診断して問題点を検出し、問題を提示します。このほかにも、ネットワーク経由でのセキュリティ強度を測定する「ペネトレーション診断」、特定のサーバーやクライアントの総合的なセキュリティ強度を測定する「ペネトレーションプラス診断」があります。

• 初期費用無料・月額5,000円
• 定期的に脆弱性や改ざんの有無を診断
• 結果をメールで通知

NTT東日本のWebセキュリティ診断は、脆弱性や改ざんの有無をシステムから定期的に診断する中小企業向けWebセキュリティサービスです。脆弱性診断は月に1度、改ざん検出は毎日行い、診断結果をメールで通知してくれます。さらにPDFで診断結果レポートをダウンロード可能です。

初期費用は無料で、月額5,000円の手頃な価格設定なので、気軽に導入でき安心して長期間利用できます。

• 月額385円（税込）からの低価格
• WordPressに標準対応
• 検知から処置や復旧作業まで任せられる

SiteLock（サイトロック）は、Webサイトの脆弱性診断、改ざん監視、マルウェア検知・駆除などを1サービスで提供するGMOクラウドのWebセキュリティサービスです。幅広い診断メニューを揃えており、最適な実施頻度を選べます。セキュリティの脅威を検知するだけでなく、問題発生時の処置から復旧作業までを任せられます。月額385円（税込）からの低価格で、WordPressにも標準対応しています。またWebサイトの安全性を視覚的に伝えられる安全シールをサイトに設置できます。

• ITシステムの脆弱性をクラウドで一元管理
• チームごとの脆弱性リスク数と対応状況を可視化
• ライセンス違反のリスクも検知

yamoryは、ITシステムの脆弱性を検知するだけでなく、検知後の対応フローまで示すクラウドシステムです。セキュリティアナリストが分析や評価した脆弱性の情報を、オートトリアージ機能^※により、自動で対応が必要な優先度順に分類してくれます。

スキャンにかかる時間は数分と迅速に判定でき、見落としやチェック漏れも防止可能です。また、脆弱性を検知した後は、Slackのチャンネルを設定することで、対応が推奨される脆弱性をチーム内ですばやく共有できます。

※ オートトリアージ機能は特許を取得（特許番号：6678798）

• 調査・診断・コンサルティングの多方面セキュリティサービス
• NTT東日本のWebセキュリティ診断に技術協力
• エキスパート集団によるサイバー救急センターもあり

株式会社ラックは、セキュリティ対策のトータルソリューションを提供しています。Webアプリケーション診断やプラットフォーム診断の他、パフォーマンス診断やスマートフォンアプリケーション診断、独自に開発した疑似攻撃マルウェアを使ったAPT攻撃耐性新サービスなど、幅広いセキュリティサービスが利用できます。緊急対応サービスや情報漏えい調査、情報セキュリティに関するコンサルティングサービスも提供しています。

• Webアプリケーション開発・運用セキュリティ
• 無償の再診断
• クラウド型WAFサービスScutum（スキュータム）も提供

株式会社セキュアスカイ・テクノロジーは、Webアプリケーションセキュリティの専門企業です。防御サービス、脆弱性診断サービス、教育・支援サービスといった、Webアプリケーション開発・運用の各フェーズに対応したセキュリティサービスを提供しています。

Webアプリケーション診断は、自社開発の診断ツールと手動診断で実施し、再診断1回は無償で提供します。クラウド型WAFサービスScutum（スキュータム）もSaaSモデルで提供しています。

Google セキュリティ診断

個人向けのセキュリティ管理として、Googleアカウントのセキュリティ診断があるので、番外編として紹介します。

Google セキュリティ診断とは

Googleアカウントは、GmailやYouTubeなどを利用する際に必要なアカウントですが、不正ログインされるとクレジットカードが不正使用される可能性もあります。IDとパスワードの他に確認コードでログインする2段階認証を設定されている方がほとんどだと思いますが、これ以外にセキュリティ診断も提供されています。数分でできるので、定期的に診断しましょう。

Google セキュリティ診断の使い方

1. Googleアカウントにログインする

2. マイアカウントのダッシュボードの画面内で、「セキュリティ診断」を選択。

3. アカウント復旧情報の追加

予備の電話番号を追加する。追加した電話番号にコードがテキストメッセージ（SMS）で届くので、それを入力して確認。これにより不正アクセスの疑いがあった場合には、登録された電話番号にSMSで通知が来ます。

4. 端末の確認

Googleアカウントに接続できるデバイスをチェックします。Googleアカウントで使っているデバイスのリストに覚えがない端末が入っていたら、「覚えがない」を選択してパスワードを変更します。

5. アカウント接続サービスの確認

Googleアカウントを使って利用しているアプリやサービスの一覧が表示されます。使ったことがないアプリや今後使う必要がないものは削除します。

6. 2段階認証

Googleアカウントにログインするたびに、指定の携帯電話にコードが送られ、そのコードを入力しないとログインできないようにする認証方法です。2段階認証を使っている場合は、2段階認証の登録内容が表示されるので、確認して問題なければ完了をクリックします。

セキュリティ診断でサイバー攻撃や情報漏えいを未然に防ごう！

セキュリティ診断は、情報漏えいやシステムダウンにつながるサイバー攻撃に前もって備えておくセキュリティ対策のスタートです。経営陣や従業員のセキュリティ意識も向上します。後悔しないために、定期的なセキュリティ診断を受けることを検討しましょう。

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}