脆弱性診断ツール比較 | Webアプリ・サイトを守るために【2020年最新版】

最終更新日:
脆弱性診断(脆弱性検査)・セキュリティ診断ツールの特徴・機能を徹底比較します。Webアプリやサイト、システムを安全に運用するために、必要な脆弱性診断。脆弱性診断ツールの選び方もあわせて紹介しています。

セキュリティ診断サービスの詳細資料
資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
一括資料請求する

あなたのWebサイトは安全に運用できていますか?
近年、世界各国でサイバー攻撃が増加しています。もちろん日本も例外ではなく、すでに被害を受けてしまった企業もあります。このような攻撃を未然に防ぐために、脆弱性診断を行い対策が必要です。

おすすめの脆弱性診断ツールを紹介しています。最後に、ぜい弱性診断ツールの選び方も紹介しているので、参考にしてみてください。

脆弱性診断とは

脆弱性診断は、脆弱性検査やセキュリティ診断とも呼ばれます。脆弱性とは、OSやミドルウェア、Webアプリケーションなど、システムにおける欠陥や弱点のことです。

そのような、システムの保守・運用をしていくうえで重要な機能に対し、攻撃者の視点からさまざまな疑似攻撃をしかけることで、潜在的な脆弱性を発見し、安全性を調査するツールが脆弱性診断ツールです。

脆弱性診断そのものについてもっと知りたい方は、こちらの記事もあわせてご覧ください。

脆弱性診断ツールのおすすめ

サイトパトロールクラウド - アットシグナル株式会社

サイトパトロールクラウド - アットシグナル株式会社 画像出典:サイトパトロールクラウド公式サイト

  • Webサーバーを定期的に監視
  • 更新と改ざんを判別して自動修復
  • セキュリティ対策を安価に実現

サイトパトロールクラウドは、WEBサイトの改ざんを検出して自動的に修正するリモート監視サービスです。
監視対象のWEBサーバーに定期的にHTTPやFTP/sFTPでアクセスし、HTMLやCGIなどのファイルが変更されているかどうかを監視。ファイルの変更なのか改ざんなのかを分析し、改ざんを検知した場合には自動的に修復してくれます。WWWサーバーの種類や形態を選ばないので、高価なサーバープランでしか利用できなかったセキュリティ対策が安価な共用プランでも実現可能です。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
サイトパトロールクラウドの資料を無料DL

脆弱性TODAY - 株式会社GRCS

脆弱性TODAY - 株式会社GRCS 画像出典:脆弱性TODAY公式サイト

  • 毎日新たに公開される脆弱性情報を素早く収集・整理
  • 国内外のあらゆる情報を網羅
  • テキストだけではなくCSV形式など取り込みが容易な形でレポートを提供

脆弱性TODAYは、セキュリティに精通した専門家が国内外の脆弱性情報を収集し、日本語に翻訳してメールでレポートを配信するサービスです。毎日午前6時までに公表された脆弱性情報を、平日はその日の午後にはメールで受け取りが可能。各ベンダー、US-CERTやJVNなどのポータル・サイトを含む30以上のWebサイトをカバーし、オープンソース・コミュニティの情報も網羅しているため、重要な情報を見落とすことなく入手できます。レポートはユーザーの視点に立って作成されており、正確性・利便性ともに非常に高く高品質なものとなっております。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
脆弱性TODAYの資料を無料DL

SECURE-AID - 株式会社アールワークス(阪急阪神東宝グループ)

SECURE-AID - 株式会社アールワークス(阪急阪神東宝グループ) 画像出典:SECURE-AID公式サイト

  • コストパフォーマンスの高い脆弱性診断
  • ユーザーのシステム環境に即した分析レポート
  • 脆弱性の解消をプロが代行

SECURE-AIDは、システムインフラの脆弱性を診断・分析・解消をするセキュリティ診断サービスです。

223,000円/1FQDN・1回で、脆弱性の診断と分析の実施が可能です。分析では、脆弱性診断結果とユーザーのシステム固有の情報と合わせてエンジニアが分析し、システムへの影響度と対策を提示してくれます。さらにオプションでは、脆弱性診断・分析結果に基づき、OS・ミドルウェア・ネットワークの脆弱性の解消まで代行を依頼できます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
SECURE-AIDの資料を無料DL

DIT Security

  • 総合的なセキュリティ対策
  • Webサイトを改ざんの検知機能
  • 脆弱性の診断機能

DIT Securityは、ネットワーク上のサーバ、端末、機器の脆弱性を診断するシステムです。

ある特定の部分に特化したセキュリティ対策ではなく、検知、防止、診断と幅広く総合的な対策が可能なことを強みとするサービスです。既存のセキュリティ製品とは大きく異なり、仮に防御が突破され改ざんなどの攻撃を受けたとしても、それを検知し一瞬で元の状態に戻し実害をゼロにすることをコンセプトとしてます。また脆弱性の診断機能は、ディスカバリスキャン、プラットフォームに対するOSやソフトウェアの既知の脆弱性を識別するシステムスキャンおよび、WEBアプリケーションの脆弱性を識別するWEBスキャンの3つで構成された診断ツールが利用できます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
DIT Securityの資料を無料DL

SECURE-ARGUS - 株式会社アールワークス(阪急阪神東宝グループ)

SECURE-ARGUS - 株式会社アールワークス 画像出典:SECURE-ARGUS公式サイト

  • 改ざん発生から0.1秒未満で自動復旧
  • ゼロデイ攻撃も検知・復旧
  • SaaS提供だから管理サーバ不要

SECURE-ARGUSは、システムの改ざんを瞬間検知、瞬間復旧するSaaS 型サービスです。

システム内のファイル・ディレクトリに対する予期せぬ変更や、ファイルの追加・削除・権限変更等の改ざんを発生と同時に検知し、わずか0.1秒未満でシステムを自動復旧可能です。一般的な防御製品が対応できないゼロデイ攻撃や、非公開ファイル等の内部犯行による改ざんに対しても有効です。SaaS型なので、管理サーバの購入・構築・維持といった手間をかけずに利用できます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
SECURE-ARGUSの資料を無料DL

SCT SECURE

  • 操作しやすい専用ポータル画面
  • 安全証明書の発行
  • ASV資格を持つ診断エンジンを採用

SCT SECUREは、高品質の診断を手軽に実行できるセキュリティサービスです。
「セキュリティ基準審議会によって認定されたベンダー」であるASV資格を有し、クレジットカード業界で採用されている診断基準『PCI DSS』の取得要件となるスキャニングテストを実施できます。また、専用のポータルから、リスクの分析、診断データの閲覧、レポート入力などを直感的に行えます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
SCT SECUREの資料を無料DL

セキュリティ診断サービス

  • 日本で唯一のActive Directory診断を実施
  • ネットワーク経由でセキュリティ強度測定
  • 総合的なセキュリティ強度測定診断も

セキュリティ診断サービスは、ソフトバンク・テクノロジーが提供している、重要機密を保有する企業向けの標的型攻撃対策支援サービスです。
「Active Directory 診断」は日本で唯一のActive Directoryサーバーのセキュリティ強度をはかり、Active Directoryサーバーの外側と内側の両面から診断して問題点を検出し、問題を提示します。このほかにも、ネットワーク経由でのセキュリティ強度を測定する「ペネトレーション診断」、特定のサーバーやクライアントの総合的なセキュリティ強度を測定する「ペネトレーションプラス診断」があります。


Webセキュリティ診断

  • NTT東日本のセキュリティ診断サービス
  • 定期的に脆弱性や改ざんの有無を診断
  • 結果をメールで通知、レポートの提供

Webセキュリティ診断は、NTT東日本が提供する脆弱性や改ざんの有無を定期的に診断するサービスです。
脆弱性診断は月に1度、改ざん検出は毎日行い、診断結果をメールで通知してくれます。さらに、PDFで診断結果レポートのダウンロードも可能です。初期費用は無料で、月額5,000円というお手頃な料金設定なので、気軽に導入でき安心して長期利用できます。

SiteLock

  • 初心者でも簡単に始められる
  • 検知から処置や復旧作業まで任せられる
  • 安全性を視覚的に伝えられる機能

SiteLockは、アプリの脆弱性診断、改ざん監視、マルウェア検知・駆除などオールインワンで提供しているWebセキュリティです。
幅広い診断メニューを揃えており、最適な実施頻度を選べます。セキュリティの脅威を検知するだけでなく、問題発生時の処置から復旧作業までまで任せられます。またWebサイトの安全性を視覚的に伝えられる、安全シールをサイトに設置できます。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
SiteLockの資料を無料DL

Site Keeper(サイトキーパー)

  • 共用レンタルサーバでも運用可能
  • 日次ではなく一定時間ごとにチェック
  • 改ざん検知と修復に両対応

サイトキーパーは、エージェントアプリのインストールが不要で、導入が容易なサイト改ざん検知・修復サービスです。
貴社のサイトやサーバが改ざんされ、気づかぬうちに善意の攻撃者になってしまうリスクを防ぎます。一定時間ごとにクロールするため、利用者が改ざんに気付く前に、迅速に対策できるでしょう。共用サーバにも設置しやすいため、コストや技術的な面から、今までセキュリティ対策が難しかったサイトにも導入できる可能性があります。

Web改ざん発見くん

  • 月単位でのレポートや、過去のサマリを表示
  • クラウド型WAFのオプションサービス
  • 50ページまでは月額2,000から解析可能

Web改ざん発見くんは、クラウド型WAF「攻撃遮断くん」の有料オプションとして用意されているサービスです。
サイトを定期的にクロールし、改ざんを検知した際は自動的にメンテナンス画面に切り替え、利用者へ警告メールを送信します。ホワイトリストや除外ディレクトリも細かく設定できます。

Web改ざん検知ソリューション

  • 監視サーバの内容変更不要
  • サイト更新とサイト改ざんの自動判別
  • 無料トライアルと専用サポートデスク有り

Web改ざん検知ソリューションは、Webの改ざんや不正アクセスを検知するSaaS型サービスです。
不審なアクセスの検知時には、管理者へメールで通知します。監視したいサーバのURLを登録すれば、監視ファイルリストを自動的に取得します。ファイルリストは日次で更新され、ウェブサーバの設定や内容はそのままで、セキュリティレベルを引き上げられます。

Webアプリケーション脆弱性診断サービス


  • 自動ツールと手動検証での二重チェック
  • 診断実施後3か月以内に限り、再診断が無料
  • 脆弱性に関する情報を随時アップデート

Webアプリケーション脆弱性診断サービスは、Webサイトや、アプリケーションサーバの脆弱性を診断するサービスです。
インシデント対応チームと連携しており、脆弱性情報の更新速度が速いため、「ゼロデイアタック」を高精度で防御可能です。「ゼロデイアタック」とは、セキュリティホールが見つかった後、ソフトウェアが改良されるまでの猶予期間に行われる攻撃です。また、一度セキュリティ対策を行った後、最初に検出された脆弱性に対しては、無料で再診断を実施しているようです。

その他の脆弱性診断ツール

PC Check Cloud

  • セキュリティとユーザビリティの両立
  • 国内外のハード/ソフトIT資産を一元管理
  • セキュリティレベルをビジュアル表示

PC Check Cloudは、国内外を問わず、企業で活用されるPC端末やスマートデバイスなどのユーザビリティを保ったまま、状況把握・制御・セキュリティ管理を一元化するクラウドサービスです。
管理者がビジュアル表示でデバイスのセキュリティレベルを一目で確認できるほか、ハード/ソフトのIT資産の管理も可能です。USBメモリーなどの記憶媒体の制御はもちろん、稼働ログ収集による監視で、労務管理にも役立ちます。

セキュアスカイ・テクノロジー

  • 企業に合わせた診断のカスタマイズ
  • SaaS事業者に向いているアジャイル診断
  • 再診断は無償で実施

セキュアスカイ・テクノロジーは、エンジニア自らが調査していく診断、ネットワークなどへ診断、結果が早く返ってくるアジャイル診断、の合計3つの診断サービスがあります。
一度脆弱性診断を行った際に問題があった場合は対策が必要ですが、対策を講じたあとの再診断は無料で行えます。

セキュリティ・プラス

  • 専門の技術者と遭難しながら診断
  • 再診断と30日間のサポートサービス
  • オンライン・リモートに対応

セキュリティ・プラスは、専門家に調査を依頼し、詳細なレポートを提示してくれます。厳しいチェックに加え、再診断をオプションで付け足せたり、修理後30日間のサポートが受けられたりと充実の対応力も特徴です。ソフトとはまた違った魅力があります。

アルファネット

  • より多くの診断項目
  • ツールに頼ることなくすべて手作業
  • わかりやすい解説付きの報告書

アルファネットは、ECや資料請求といった動的なサイトに対して診断を行うサービスです。
14もの診断項目に対して専門家が一つひとつ手で見ていくので、抜け漏れのない診断がなされます。診断後のレポートも丁寧な解説が付いており、専門用語でわかりにくいということは生じません。

V-threat(ブイスレート)

  • ツールとベネトレーションの組み合わせで診断
  • 申し込みから1週間後には診断可能
  • Webアプリ診断は、再診断も無料で付与

V-threatは、サーバーやネットワーク機器、OSなどを調査するサービスです。
ツールとベネトレーションのをかけ合わせて診断を行うため、通常の方法以上に抜け漏れのない結果が出せます。お申し込みから1週間ほどで診断が行えるので、時間がないけど正確な診断をしたい場合にも便利です。

バルテス

  • 自動ツールと手動診断のハイブリッド
  • 最新のセキュリティにまで対応
  • テストや再診断まで提供

バルテスは、Webやスマホアプリまで診断できるサービスです。
Webサービスの場合は、自動のツールと手動の診断を掛け合わせているので、より効率的に精度の高い診断が行えます。また、最新のセキュリティにまで対応しているので、より安心できる診断になっています。

Security Blanket(セキュリティブランケット)

  • 国産の診断ツール、日本語表示
  • SaaS型で自動診断ツールを提供
  • 価格はお客さまのニーズに合わせて選択

SecurityBlanketは、国産の診断ツールです。
サイト診断や、サーバーで使用されているミドルウェアを診断するためのツールになります。1回単位で使用ライセンスが購入できるなど、ニーズに合わせてプランを選択できるため、より簡単に予算を編成できます。

脆弱性診断ツールの選び方

上記で紹介した脆弱性診断ツールの中から、より自社にマッチしたものを選ぶための、知っておきたいポイントを紹介します。

診断項目

脆弱性診断によって、どんな問題を防ぎたいかで必要な項目が変わってきます。
機密情報の漏えいや個人情報の流出、ウイルスの感染の防止など、防ぎたい問題を明確にしてツールを選ぶ必要があります。

ツール診断か手動診断か

ツール診断

簡単に自動で膨大なパターンをチェックできます。ただし、複雑なサイト構成には対応できず、細かい部分まで診断しきれないデメリットがあります。

手動診断

人の目で見て手動で診断していきます。時間はかかりますが、ツール診断では診断しきれないような細かいところまで診断ができます。

価格

脆弱性診断には数十万円から数百万円と、高額な費用がかかります。低コストで抑えたいところですが、価格によって診断レベルが変わってくることもあるため、重要度に応じて適した価格帯から選ぶことをおすすめします。

サポート体制

安心して利用するためにも、サポート体制はチェックしておきたいです。診断によって発見された、脆弱性の改修方法についての相談や、改修後の修正確認診断など、アフターサポートも確認しておきましょう。

脆弱性診断ツールで安全なサイト運用を

脆弱性診断を行わなくとも、自社内で脆弱性を見つけることもできますが、効率やコストを考慮するとやはりツールを使う方が確実です。

本文でも紹介してきたとおり、脆弱性診断ツールと一口にいってもさまざまなツールがあります。何が必要なのか目的を明確にして、最適なツールを選びましょう。


ボクシルマガジンではこの他にもセキュリティに関する記事をいくつか紹介しているのでぜひ参考にしてください。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

この記事が良かったら、いいね!をしてください!最新情報をお届けします!
御社のサービスを
ボクシルに掲載しませんか?
月間1000万PV
掲載社数3,000
商談発生60,000件以上
この記事とあわせて読まれている記事