脆弱性診断ツール比較!種類と選び方・おすすめサービス
目次を閉じる
- 脆弱性診断ツールとは
- なぜ脆弱性診断が重要なのか
- 脆弱性診断ツールの種類
- オープンソースツール
- 商用ツール
- 脆弱性診断ツールの選び方
- 脆弱性診断ツールの導入目的を確認する
- 脆弱性診断ツールの機能を確認する
- 脆弱性診断ツールを導入する際の注意点を確認する
- 脆弱性診断ツールの料金・価格相場を確認する
- おすすめ脆弱性診断ツール比較
- AeyeScan
- レイ・イージス・ジャパンの脆弱性診断サービス
- BLUE Sphere
- SIDfm
- Securify
- IssueHunt
- ImmuniWeb
- Microsoft Defender for Business
- セキュリティ脆弱性診断サービス
- SECURE-AID
- セキュリティ診断サービス
- yamory
- WEB改ざん検知サービス サイトパトロール
- DIT Security
- SECURE-ARGUS
- 脆弱性TODAY
- SCT SECURE
- SiteLock
- 脆弱性診断ツールの導入でセキュリティを強化しよう
脆弱性診断ツールとは
脆弱性診断ツールとは、コンピュータシステムやネットワーク、Webアプリケーションなどに存在するセキュリティの弱点(脆弱性)を発見するためのソフトウェアです。
これらのツールは、システム内部や外部からの攻撃をシミュレートし、潜在的なリスクを明らかにすることで、事前に対策を講じることを可能にします。
なぜ脆弱性診断が重要なのか
脆弱性診断は、次の理由で重要です。
セキュリティ強化
脆弱性を発見することで、攻撃者による不正アクセスやデータ漏えいを未然に防げます。
コンプライアンス
遵守多くの業界では、脆弱性診断が法規制や業界標準の一部として求められています。
リスク管理
脆弱性を把握し対策を講じることで、システム全体のリスクを減少させます。
コスト削減
早期に脆弱性を発見し修正することで、後の大規模なセキュリティ事故によるコストを抑えられます。
脆弱性診断ツールの種類
脆弱性診断ツールは、大きく分けてオープンソースツールと商用ツールの2種類があります。
オープンソースツール
オープンソースツールは、無料で利用できるものが多く、コミュニティによって開発・サポートされています。
商用ツール
商用ツールは、企業向けに提供される有料の脆弱性診断ツールです。高いサポート体制と高度な機能が特徴です。
脆弱性診断ツールの選び方
脆弱性診断ツールを選ぶ際は、次の流れで確認しましょう。
- 脆弱性診断ツールの導入目的を確認する
- 脆弱性診断ツールの機能を確認する
- 脆弱性診断ツールを導入する際の注意点を確認する
- 脆弱性診断ツールの料金・価格相場を確認する
脆弱性診断ツールの導入目的を確認する
脆弱性診断ツールの導入を検討する際は、まず導入目的を明確にしましょう。主な導入目的は次のとおりです。
導入目的 | 詳細 |
---|---|
セキュリティリスクを早期に発見したい | ネットワークやアプリケーションの脆弱性を早期に発見して対策を講じたい場合には、自動診断と手動診断を組み合わせた脆弱性診断サービスがおすすめ |
コンプライアンスを遵守したい | 法規制や業界基準を満たすためのセキュリティ診断を実施したい場合には、法的要件に対応したクラウド型の脆弱性診断ツールがおすすめ |
自社のセキュリティ対策を強化したい | 全社的なセキュリティ強化を目的とし、継続的な脆弱性チェックを行いたい場合には、定期的に更新される脆弱性データベースを持つソフトウェア型の脆弱性診断ツールがおすすめ |
新しい脅威に対応したい | 最新の脆弱性や攻撃手法に対応するため、バグバウンティプログラムに対応したプラットフォームの利用がおすすめ |
脆弱性診断ツールの機能を確認する
脆弱性診断ツールでできること、利用できる機能は次のとおりです。上記の導入目的・課題をどのように解決できるか記載しているため、必要な機能を洗い出しましょう。
【基本的な機能】
機能 | 詳細 |
---|---|
自動スキャン | ネットワークやシステムを自動的にスキャンし、脆弱性を検出 |
レポート生成 | スキャン結果を詳細なレポートとして出力 |
リアルタイムモニタリング | システムの状態をリアルタイムで監視し、異常を検知 |
脆弱性データベース | 最新の脆弱性情報を定期的に更新 |
連携機能 | 他のセキュリティツールやシステムと連携 |
【特定の課題・用途・業界に特化した機能】
機能 | 詳細 |
---|---|
Webアプリケーション診断 | SQLインジェクションやXSSなどの脆弱性を検出 |
ネットワーク脆弱性診断 | ネットワークインフラのセキュリティを診断 |
クラウドセキュリティ診断 | クラウド環境の脆弱性を検出し、対策を提案 |
コンテナセキュリティ診断 | DockerやKubernetes環境の脆弱性を検出 |
IoTデバイス診断 | IoTデバイスのセキュリティリスクを検出 |
脆弱性診断ツールを導入する際の注意点を確認する
脆弱性診断ツールを導入する際、失敗しないために次の項目も確認しておきましょう。
確認事項 | 詳細 |
---|---|
対応OS | ツールが対応しているOSを確認する |
対応プロトコル | HTTPSなど必要なプロトコルに対応しているか |
同時スキャン数 | 同時に実行できるスキャン数の上限 |
スキャンポリシー | 脆弱性の検知精度を調整できるポリシー |
結果の可視化 | 検出結果を視覚的に確認できるダッシュボード機能 |
クラウド・オンプレミス | クラウドサービスかオンプレミス製品か |
脆弱性診断ツールの料金・価格相場を確認する
脆弱性診断ツールの料金は、サービス内容や機能によって異なります。必要な機能と要件が搭載されているサービスの料金を確認しましょう。
初期費用は30,000円〜125,000円程度、月額費用は12,000円〜200,000円程度とサービスによって大きく異なります。さらに、オプション機能を追加した場合は別途料金が必要となる場合があります。
導入する企業のWebサイトの規模や診断したい内容によっても大きく異なるため、気になるサービスは公式サイトから見積もり依頼や相談の問い合わせをしましょう。
おすすめ脆弱性診断ツール比較
おすすめ脆弱性診断ツールを紹介します。各サービスの特徴や料金を紹介しているので、ぜひ比較検討する際の参考にしてください。
AeyeScan - 株式会社エーアイセキュリティラボ
- AIとRPA活用でセキュリティテストを自動化
- 診断結果をレポート化
- WordPress固有の問題、オープンポートの診断に対応
AeyeScanは、SaaS型のWebアプリケーションぜい弱性診断サービスです。セキュリティテストを予約・実行でき、危険度やOWASP Top 10項目などの軸でレポート化してくれます。画面遷移図のキャプチャや修正に必要な詳細情報などを表示可能です。診断対象の特定に適した手動巡回も対応できます。WordPressといったCMS固有の問題、オープンポートの診断などにも対応します。
AeyeScanの料金プラン・費用
要問い合わせ
レイ・イージス・ジャパンの脆弱性診断サービス - 株式会社レイ・イージス・ジャパン
- 最短で3営業日以内の診断に対応
- FQDN単位でのパッケージ型料金プラン
- 対策後の再診断に無償で1回対応
レイ・イージス・ジャパンの脆弱性診断サービスは、AIエンジン搭載のぜい弱性探査ツールと、診断エンジニアによる手動診断を組み合わせたWebアプリケーションやAPIなどを対象としたぜい弱性診断です。
ロジック周りをはじめ、手動でなければ診断が難しい診断も行うため、網羅的な診断が可能です。ぜい弱性への対策後の再診断について、無償で1回実施してもらえます。
レイ・イージス・ジャパンの脆弱性診断サービスの料金プラン・費用
要問い合わせ
BLUE Sphere - 株式会社アイロバ
- サイバー攻撃からWebサイトを包括的に守る
- サイバーセキュリティ保険付帯でインシデントの際も安心
- 総データ量と平均トラフィックによる従量課金制で費用はリーズナブル
BLUE Sphereは、さまざまなサイバー攻撃対策を行いながら、サイバーセキュリティ保険でインシデントの発生にも備えられるクラウド型サービスです。
セキュリティ対策として、WAF・DDoS防御・改ざん検知・DNS監視を一つにまとめることで、Webサイトを包括的に守ります。さらに、サイバーセキュリティ保険が自動付帯されるので、インシデントの発生した場合でも損害賠償や費用損害の補償があります。また、利用料金は3か月の総データ量と平均帯域で変動する従量課金制であり、コストの無駄なく使えます。
BLUE Sphereの料金プラン・費用
料金プラン(3か月の平均帯域) | 初期費用 | 月額費用 |
---|---|---|
〜1Mbps | 100,000円 | 45,000円 |
〜5Mbps | 100,000円 | 78,000円 |
〜10Mbps | 100,000円 | 154,000円 |
BLUE Sphereの評判・口コミ
- 情報収集対象900種類以上※、セキュリティホール情報46,000件以上※
- 導入企業実績1,500社以上※
- ぜい弱性の質問に対応してくれるヘルプデスク完備
SIDfmは、ぜい弱性情報の収集から対処進捗の管理まで実行できるツールです。世界中からぜい弱性情報や対策情報などを収集し、顧客に必要な情報を特定し日本語で情報提供しています。
使用しているOSやアプリケーションなどを登録することで、必要な情報のみ検索でき、メール通知も可能です。ぜい弱性の状態把握や対応状況などの可視化ができるため、継続的に情報資産のぜい弱度を監視可能です。
※出典:サイバーセキュリティクラウド「SIDfm 脆弱性情報収集・管理ツール」(2024年2月5日閲覧)
SIDfmの料金プラン・費用
料金プラン | 初期費用 | 年間費用 |
---|---|---|
SIDfm Group | 100,000円(税抜) | 400,000円(税抜) |
SIDfm Biz | 100,000円(税抜) | 700,000円(税抜) |
SIDfm RA | 100,000円(税抜) | 800,000円(税抜) |
SIDfm VM | 100,000円(税抜) | 480,000円(税抜) |
SIDfmの評判・口コミ
- アプリケーションレイヤーを対象とした診断に対応
- セキュリティの専門家でなくても診断の実施と管理が可能
- 日本語で修正方法の例示を解説してくれる診断結果画面
Securify(セキュリファイ)は、アプリケーション、ミドルウェアを診断対象としたWebアプリケーションぜい弱性診断ツールです。検出されたぜい弱性の背景や修正方法などを日本語で解説してくれるので、セキュリティの専門知識がなくても、診断から改善まで自社内で完結可能です。
最短3ステップで診断を開始でき、登録した診断対象のURLを起点に、自動で診断対象のエンドポイントを抽出してくれます。SQLインジェクション、相対パスインポートをはじめ多くの項目について高い精度で何度でも診断できます。
Securify(セキュリファイ)の料金プラン・費用
料金プラン | 月額費用 |
---|---|
FREE | 無料 |
STARTER | 50,000円 |
BASIC | 100,000円 |
Securify(セキュリファイ)の評判・口コミ
IssueHunt - IssueHunt株式会社
- ぜい弱性の発見に対し報奨金を支払うバグバウンティプログラムに対応
- ぜい弱性に特化した受付窓口の設置から改修提案もサポート
- 開発、運用、サポートすべて国産のサービス
IssueHuntは、提供サービスのぜい弱性の発見、診断、製品セキュリティ内製化のためのソリューションです。ユーザーや善意のセキュリティリサーチャーからのぜい弱性報告を受け付けるフォームの設置ややり取り、対応状況の管理、共有が可能です。
また、仕様書やプログラムページの開発、準備不要で、ホワイトハッカーによるぜい弱性診断を成果報酬型で行えます。著名企業のバグバウンティプログラムで報奨金獲得の実績をもつ技術者が多数登録しており、承認制や招待制でもバグバウンティを実施できます。
IssueHuntの料金プラン・費用
要問い合わせ
ImmuniWeb - 株式会社ミライル
- 国内外の省庁や銀行、証券といった業種で実績あり
- 最新のガイドラインや攻撃コードをAIが機械学習し情報蓄積
- SSL診断やトレードマークの不正使用診断に対応
ImmuniWebは、Webサイトやサーバーのぜい弱性を一括診断できるサービスです。200台のマシン※による分散診断をAIのアリゴリズムで実行し、対応が難しい箇所をエンジニアが診断することで、診断対象を均等に診断可能です。
サイバーセキュリティ事故による賠償費用や対応費用、調査費用などを補償する保険付きで、万が一の事故に備えられます。NISTやEU GDPRなど国内外のセキュリティガイドラインを網羅しているため、海外に拠点をもつ企業におすすめです。
※ボクシル掲載資料参照(2022年10月閲覧)
ImmuniWebの料金プラン・費用
要問い合わせ
Microsoft Defender for Business - 日本マイクロソフト株式会社
- 組織のエンドポイントセキュリティを統合管理
- 数兆件ものシグナルを人間とAIで分析
- ネットワーク保護とWebブロッキング
Microsoft Defender for Businessは、すべてのデバイスのエンドポイントセキュリティを保護する、300人以下の中小企業向けセキュリティサービスです。脅威に先回りして防御するために、数兆件ものシグナルを人間とAIで分析します。悪質なコンテンツからのネットワーク保護とWebブロッキングも提供します。
Microsoft Defender for Businessの料金プラン・費用
- 月額費用:380円/1ユーザー
Microsoft Defender for Businessの評判・口コミ
セキュリティ脆弱性診断サービス - 株式会社セキュアイノベーション
- 高品質な純国産診断ツールを使用
- 疑似ハッカーによるアタックシミュレーション
- 改善対応に役立つわかりやすい診断レポート
セキュアイノベーションのセキュリティ脆弱性診断サービスは、さまざまなセキュリティ診断に対応している純国産のセキュリティ診断サービスです。
診断ツールと疑似アタックによる、二重のセキュリティ診断を実施することで、検知漏れや誤検出を抑え、網羅的で信頼性の高いセキュリティ診断を実現します。また、疑似ハッカーによるアタックシミュレーションでは、検知漏れやツールでは見つからなかったぜい弱性も見逃しません。診断レポートは診断結果だけでなく、対処方法も記載されているので、具体的な改善対応につながります。
セキュアイノベーションのセキュリティ脆弱性診断サービスの料金プラン・費用
要問い合わせ
セキュアイノベーションのセキュリティ脆弱性診断サービスの評判・口コミ
SECURE-AID - 株式会社アールワークス (阪急阪神東宝グループ)
- ぜい弱性自動診断の費用は月額1,000円
- ぜい弱性の解消をプロが代行
- WordPressのぜい弱性自動診断オプションも
SECURE-AIDは、システムインフラのぜい弱性を診断・分析・解消を提供するセキュリティ診断サービスです。1回223,000円/1ドメインの料金で、ぜい弱性の診断と分析の実施が可能です。
分析では、ぜい弱性診断結果とユーザーのシステム固有の情報と合わせてエンジニアが分析し、システムへの影響度と対策を提示してくれます。さらにオプションでは、ぜい弱性診断・分析結果に基づき、OS・ミドルウェア・ネットワークのぜい弱性の解消まで依頼できます。WPScanによるWordPressのぜい弱性自動診断・診断結果レポートも依頼可能です。
SECURE-AIDの料金プラン・費用
【プラットフォーム診断・分析・脆弱性の解消】
- 初期費用:24,000円(税抜)/FQDN
- 月額費用:1,000円(税抜)/FQDN
【セキュリティ監査対応のプラットフォーム診断】
- 初期費用:96,000円(税抜)/アセット
- 年間ライセンス費用:828,000円(税抜)〜
セキュリティ診断サービス - SBテクノロジー株式会社
- 日本で唯一のActive Directory診断を実施
- ネットワーク経由でセキュリティ強度測定
- 総合的なセキュリティ強度測定診断も
SBT セキュリティ診断サービスは、SBテクノロジー株式会社が提供している、重要機密を保有する企業向けの標的型攻撃対策支援サービスです。
「Active Directory 診断」は日本で唯一のActive Directoryサーバーのセキュリティ強度をはかり、Active Directoryサーバーの外側と内側の両面から診断して問題点を検出し、問題を提示します。このほかにも、ネットワーク経由でのセキュリティ強度を測定する「ペネトレーション診断」、特定のサーバーやクライアントの総合的なセキュリティ強度を測定する「ペネトレーションプラス診断」があります。
SBT セキュリティ診断サービスの料金プラン・費用
要問い合わせ
yamory - ビジョナル・インキュベーション株式会社
- ITシステムのぜい弱性をクラウドで一元管理
- チームごとのぜい弱性リスク数と対応状況を可視化
- ライセンス違反のリスクも検知
yamoryは、ITシステムのぜい弱性を検知するだけでなく、検知後の対応フローまで示すクラウドシステムです。セキュリティアナリストが分析や評価したぜい弱性の情報を、オートトリアージ機能※により、自動で対応が必要な優先度順に分類してくれます。
スキャンにかかる時間は数分と迅速に判定でき、見落としやチェック漏れも防止可能です。また、ぜい弱性を検知した後は、Slackのチャンネルを設定することで、対応が推奨されるぜい弱性をチーム内ですばやく共有できます。
※ オートトリアージ機能は特許を取得(特許番号:6678798)
yamoryの料金プラン・費用
料金プラン | 月額基本料金 | アセット単価/月 |
---|---|---|
Businessプラン | 100,000円 | 800円 |
CSIRT / PSIRTプラン | 200,000円 | 1,000円 |
Enterpriseプラン | 個別見積もり | 個別見積もり |
WEB改ざん検知サービス サイトパトロール - アットシグナル株式会社セキュリティ事業部
- Webサーバーを定期的に監視
- 更新と改ざんを判別して自動修復
- WordPress強靭化サービスも提供
WEB改ざん検知サービス SITE PATROLは、Webサイトの改ざんを検出して自動的に修正するリモート監視サービスです。
監視対象のWebサーバーに定期的にHTTPやFTP/sFTPでアクセスし、HTMLやCGIなどのファイルが変更されているかどうかを監視。ファイルの更新なのか改ざんなのかを分析し、改ざんを検知した場合には自動的に修復してくれます。高価な専用サーバープランでしか利用できなかったセキュリティ対策が、安価な共用サーバーでも実現可能です。また、WordPress強靭化サービスも提供しています。
WEB改ざん検知サービス SITE PATROLの料金プラン・費用
料金プラン | 初期費用 | 月額費用 |
---|---|---|
エントリーパトロール | 30,000円(税抜) | 12,800円(税抜) |
オーディットパトロール | 58,000円(税抜) | 29,800円(税抜) |
スタンダードパトロール | 64,000円(税抜) | 34,800円(税抜) |
エンタープライズパトロール | 85,000円(税抜) | 48,000円(税抜) |
DIT Security - デジタル・インフォメーション・テクノロジー株式会社
- 総合的なセキュリティ対策
- Webサイトを改ざんの検知機能
- 国内銀行で約80%※のシェア
DIT Securityは、ネットワーク上のサーバー、端末、機器のぜい弱性を診断するシステムです。特定の部分に特化したセキュリティ対策ではなく、検知、防止、診断と幅広く総合的な対策を強みとするサービスです。
防御が突破されWebが改ざんされても、それを検知し一瞬で元の状態に戻し被害をゼロにします。また、ぜい弱性の診断機能は、ディスカバリスキャン、OSやソフトウェアの既知のぜい弱性を識別するシステムスキャン、Webアプリケーションのぜい弱性を識別するWebスキャンの3つで構成された診断ツールを利用できます。
※出典:デジタル・インフォメーション・テクノロジー「総合的なセキュリティ対策をお探しなら DIT Security」(2032年10月20日閲覧)
DIT Securityの料金プラン・費用
要問い合わせ
SECURE-ARGUS - 株式会社アールワークス (阪急阪神東宝グループ)
- 改ざん発生から0.1秒未満※で自動復旧
- ゼロデイ攻撃も検知・復旧
- SaaS提供だから初期費用無料
SECURE-ARGUSは、システムの改ざんを瞬間検知、瞬間復旧するSaaS型セキュリティサービスです。システム内のファイル・ディレクトリに対する予期せぬ変更や、ファイルの追加・削除・権限変更などの改ざんを発生と同時に検知し、わずか0.1秒未満でシステムを自動復旧可能です。
一般的な防御製品が対応できないゼロデイ攻撃や、非公開ファイルの内部犯行による改ざんに対しても有効です。SaaS型なので初期費用無料、インストール完了から3営業日以内で利用できます。
※出典:アールワークス「SaaS型システム改ざん瞬間検知・瞬間復旧サービス SECURE-ARGUS powered by WebARGUS | アールワークス」(2024年2月5日閲覧)
SECURE-ARGUSの料金プラン・費用
- 初期費用:無料
- 月額費用:34,000円/Agent
脆弱性TODAY - 株式会社GRCS
- 毎日新たに公開されるぜい弱性情報を素早く収集・整理
- CSIRTトレーニングセンター監修
- テキストだけではなくCSV形式といった取り込みが容易な形でレポートを提供
脆弱性TODAYは、セキュリティに精通した専門家が国内外のぜい弱性情報を収集し、日本語に翻訳してメールでレポートを配信するサービスです。
毎日午前6時までに公表されたぜい弱性情報を、平日はその日の午後にはメールで受け取り可能。各ベンダー、US-CERTやJVNなどのポータルサイトを含む30以上※のWebサイトをカバーし、オープンソースコミュニティの情報も網羅しているため、重要な情報を見落とすことなく入手できます。レポートはユーザーの視点に立って作成されており、正確性・利便性ともに非常に高く高品質なのが強みです。
脆弱性TODAYの料金プラン・費用
- 月額費用:200,000円(一般法人の場合)
※出典:GRCS「脆弱性情報日次配信サービス 脆弱性TODAY| 株式会社GRCS」(2024年2月5日閲覧)
SCT SECURE - 三和コムテック株式会社
- ワンタイム診断や定期診断などのニーズに合わせた診断を提供
- 安全なWebサイトに安全認証マークを配信
- カード業界のセキュリティ基準であるPCI DSS ASV資格保有
SCT SECUREは、三和コムテックの提供する、最新のセキュリティ情報にもとづいてぜい弱性診断を行うクラウド型セキュリティサービスです。
クラウドスキャンやインターナルスキャン、モバイルアプリ診断、管理リスク検査、Webサイトぜい弱性監視サービスなど、さまざまなメニューが取り揃えられています。またASV資格を毎年更新し、高品質のサービスが保証されています。
SCT SECUREの料金プラン・費用
要問い合わせ
- 月額385円(税込)からの低価格
- WordPressに標準対応
- 検知から処置や復旧作業まで任せられる
SiteLock(サイトロック)は、Webサイトのぜい弱性診断、改ざん監視、マルウェア検知・駆除などを1サービスで提供するGMOグローバルサイン・ホールディングスのWebセキュリティサービスです。
幅広い診断メニューを揃えており、最適な実施頻度を選べます。セキュリティの脅威を検知するだけでなく、問題発生時の処置から復旧作業までを任せられます。月額385円(税込)からの低価格で、WordPressにも標準対応しています。またWebサイトの安全性を視覚的に伝えられる安全シールをサイトに設置できます。
SiteLock(サイトロック)の料金プラン・費用
料金プラン | 初期費用 | 年間費用 |
---|---|---|
エントリー | 無料 | 4,620円 |
レギュラー | 無料 | 15,840円 |
ビジネス | 無料 | 44,352円 |
エンタープライズ | 無料 | 109,560円 |
脆弱性診断ツールの導入でセキュリティを強化しよう
脆弱性診断ツールは、企業のセキュリティを強化するために不可欠なツールです。正しいツールの選定と適切な導入・運用により、システムの脆弱性を早期に発見し、リスクを最小限に抑えられます。
この記事で紹介したポイントを参考に、自社に最適な脆弱性診断ツールを選び、効果的に活用してください。