日々、多くのアプリケーションやプラットフォームがセキュリティの危機にさらされています。万が一のことを考えて自社のネットワークのセキュリティが大丈夫なのか確認したいと考える担当者の方も多いでしょう。しかし、一口にセキュリティ診断ツール・サービスと言っても機能や特徴はさまざまです。
この記事では、セキュリティ診断ツール・サービスを使うメリット、ツールやサービスを選ぶ際のポイント、おすすめのセキュリティ診断ツール・サービスを紹介します。
セキュリティ診断ツール・サービスとは
セキュリティ診断ツール・サービスとは、Webアプリケーションやネットワークなどのインフラ、OSやミドルウェアなどのプラットフォームに対して、擬似的に攻撃を行い、セキュリティの脆弱性を発見するツール・サービスのことです。
セキュリティ診断ツール・サービスのメリット
セキュリティ診断ツール・サービスを活用することで次のようなメリットが得られます。
まずは、セキュリティ対策が打てることです。セキュリティ診断ツール・サービスを用いることで、表面上は分からない脆弱性が発見できます。脆弱性の内容が分かれば対策を講じることが可能です。セキュリティ診断を行わなければ脆弱性が不明なままのため、アプリケーションやプラットフォームが危険にさらされたままになります。
セキュリティ対策を施すには、システム改修に携わる人件費などのコストがかかります。セキュリティ診断を行わず、脆弱性がどこにあるのかを把握できていない状態で対策を行うと、無駄なコストがかかってしまうかもしれません。診断を行って優先順位をつけた上で対策に取り掛かることで必要最小限の対策だけを行うことができ、コスト削減に繋がります。
また、セキュリティ診断は社会的信頼の向上にも寄与します。たとえば、サイバー攻撃を受け顧客情報を流出させてしまった場合、社会的な信頼が低下します。消費者としても利用しているサービスのセキュリティは万全か気になるところでしょう。セキュリティ診断を行っている実績をアピールすることで顧客からの信頼を得ることができます。
コンピュータウィルスや金銭を狙った犯罪など、サイバー攻撃の目的はさまざまです。日頃からセキュリティ診断ツール・サービスを用いて、セキュリティインシデントに備えておく必要があります。
セキュリティ診断ツール・サービス選びのポイント3つ
セキュリティ診断ツール・サービスは何を基準にして選べば良いのでしょうか。ツール・サービス選びのポイントを解説します。
1、手動診断可能か
ツールによる自動スキャンだけでなく、手動による細かい設定も可能かどうかは大きなポイントです。自動ツールと手動設定を組み合わせることで、より網羅的な診断が可能になるためです。
自身で手動の診断が難しい場合は、セキュリティ診断サービスを利用すると良いでしょう。経験豊富なセキュリティ専門のエンジニアが手動によるチェックを行ってくれることもあります。
2、診断の範囲
診断対象もしっかりと確認しましょう。診断対象となりうるのはWebアプリケーション、ネットワークなどのインフラ、OSやミドルウェアなどのプラットフォームがあります。中には、スマートフォンやタブレットなどのモバイル端末の診断をしてくれるツールやサービスもあります。
診断項目は、アプリケーションに対しては、ユーザ認証が不正に行われないか、サーバへのリクエストに含まれるパラメータに不正はないか、暗号化方式は適切かなど。ネットワークやプラットフォームに対しては、ポートスキャンやパケットフィルタリングのチェックなどがあります。
3、サポートが充実しているか
メールやチャット、電話による問い合わせができるか、FAQは充実しているかなどサポート体制が整っているかどうかも重要です。サポートがない場合、自身でインターネットなどを用いて使い方などを調べる必要があります。技術的に難しい場合もあるかもしれません。
セキュリティ診断サービスを利用して診断を行った場合、診断結果をもって脆弱性の改善を行ったあと、再診断を行ってくれる場合があります。改修した内容が正しいかどうか再チェックを行えるので、積極的に利用しましょう。
おすすめのセキュリティ診断ツール・サービス18選
「脆弱性診断とペネトレーションテストサービス」
BSI Professional Services Japan株式会社
- 提供形態:リモート診断/オンサイト診断
- 参考価格:【初期費用】200,000円~ 【月額料金】-
「脆弱性診断とペネトレーションテストサービス」は、ISO27001取得企業およびPCIDSS準拠企業に多くの診断実績を持つBSI Professional Services Japan株式会社が提供するサービスです。
CREST認定企業としてCREST認定テスターによる診断サービスの提供も可能。ネットワーク/システム全体図を提供することで、リスクを鑑みた最適な診断項目・診断箇所を提案するアセスメントサービスを実施してくれます。また、セキュリティに関与するチームのスキルレベルに合った教育メニューの提案・実施にも対応可能。PCIDSS準拠企業の診断運用業務に対する内製化支援を提案し、リテラシー向上とコスト削減に貢献します。
「脆弱性診断サービス【Webアプリケーション診断】・【プラットフォーム診断】」
株式会社セキュアスカイ・テクノロジー
- 提供形態:サービス
- 参考価格:【初期費用】なし 【基本料金】Webアプリケーション診断:10HTTP(S)リクエストor6API/40万円〜、プラットフォーム診断:3IP/25万円〜、セットプラン:10HTTP(S)リクエストor6API+3IP/55万円〜
「脆弱性診断サービス【Webアプリケーション診断】・【プラットフォーム診断】」は、WebアプリケーションやOS/ミドルウェアに潜むセキュリティ上の問題点を攻撃者の視点で診断するサービスです。年間500件以上の診断サービスを提供するWebセキュリティのプロフェッショナルの豊富な経験・ノウハウと、ユーザーに寄り添ったスタッフ対応により、最新かつ信頼度の高いセキュリティ対策を提供します。
診断対象の選定をサポートする事前調査・無償再診断*・自社開発の診断ツール・ツール診断と手動診断の組み合わせによる高い脆弱性検出率・セット割引(Webアプリケーション診断+プラットフォーム診断)が特徴のサービスです。
(*再診断は、危険度Medium以上の脆弱性が対象で、1案件につき1回を無償で提供。)
「脆弱性診断サービス」
株式会社 USEN ICT Solutions
- 提供形態:クラウド
- 参考価格:【初期費用】70,000円~ 【月額料金】-
USEN GATE 02「脆弱性診断サービス」は、セキュリティ上の問題点を診断レポートにし、安全性を徹底的に調査するサービスです。セキュリティ環境を見える化することで、対策を促し、セキュリティリスクの低減を図ることができます。
診断手法として「自動診断型」と「手動診断型」の2タイプを用意。診断対象は「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」の2タイプ、上記の組み合わせと契約形態により、用途・目的に合わせて選ぶことが可能です。
「RayAegis AIセキュリティ診断」
株式会社アリス
- 提供形態:リモート診断
- 参考価格:【初期費用】450,000円~【月額料金】-
「RayAegis」は、高度なAIセキュリティ診断をサブドメイン・FQDN単位によるシンプルな価格体系で提供するサービスです。Webビジネスを展開し、進化するサイバー攻撃に対し継続的に備えたい企業におすすめです。
本サービスは、さまざまなセキュリティの課題に対し、深いセキュリティの知見と独自開発したAI技術を用いてセキュリティ診断を実施できる点が特徴。各企業の要望に応える様々なメニューを用意しています。AIクイックツール診断をはじめとした各種メニューは国際規格に準拠。WAFやIPSを迂回する攻撃、全世界で収集したゼロデイ攻撃までを短期間で診断することが可能です。
また、FQDN数による価格体系のため、広範囲な診断を低コストで実現可能。ページ数やリクエスト数による価格体系よりも費用対効果が高いのが強みです。そのほかTLPTやIoTセキュリティなどの特殊なケースにも個別で対応可能です。
「セキュリティ・プラス プラットフォーム診断サービス」
株式会社アズジェント
- 提供形態:サービス
- 参考価格:【初期費用】別途お問い合わせ【月額料金】-
「セキュリティ・プラス プラットフォーム診断サービス」は、サーバ/ネットワーク機器/OS/ミドルウェアに対し、信頼性の高い複数の診断ツールによる検査を行った上、脆弱性診断に数多くの経験を有するセキュリティエンジニアが、手動で検査を行なうため、誤検出などを含まない高い診断精度を実現します。検査後は、具体的な対策についてアドバイスの提供を含む分かりやすい詳細なレポートを提示しています。
サービス内容は、事前調査・ツールおよびエンジニアによる手動での診断作業・報告書の提出・報告会(オプション)・報告後1か月間のQ&A対応・修正後の再診断(オプション)など幅広く用意しています。
診断の結果として作成する報告書は、発見された指摘事項を確認する上でとても重要な要素です。本サービスの報告書は、管理者向けの「サマリー」、修正を担当するエンジニア向けの「脆弱性詳細」の2部構成。担当ごとに使い分けができ、分かりやすいと好評です。
「セキュリティ・プラス Webアプリケーション診断サービス」
株式会社アズジェント
- 提供形態:サービス
- 参考価格:【初期費用】別途お問い合わせ【月額料金】-
「セキュリティ・プラス Webアプリケーション診断サービス」は、経験豊富な同社のセキュリティエンジニアが、Webアプリケーションに潜む脆弱性を検査し検出します。検査後、詳細で分かりやすいレポートを基に、同社のアナリストによる報告会を実施。検査結果と今後の対応策を提案してくれるサービスです。
サービスは、事前調査・ツールおよびエンジニアによる手動での診断作業・報告書の提出・報告会(オプション)・報告後1か月間のQ&A対応・修正後の再診断(オプション)の流れで行われます。
また、本サービスの報告書は、管理者向けの「サマリー」と修正担当エンジニア向けの「脆弱性詳細」の2部構成となっています。確認者に応じて使い分けることが可能なので分かりやすいと、実施した各企業からも好評です。
「Security Blanket」
株式会社M&K
- 提供形態:オンプレミス / クラウド / SaaS
- 参考価格:【初期費用】100,000円 ~【月額料金】-
「Security Blanket」は、診断事業者として10年超の実績をもつ株式会社M&Kが提供するサービスです。脆弱性診断に関する技術力とノウハウを保有、大手セキュリテイ事業者とも技術協業しています。
本サービスの特徴は、自社開発(純国産製品)の自動診断ツールで、即時性の高いカスタマイズ・アップデートが可能な点。SaaS型提供のため、低価格で利便性・継続性の高いサービスを実現しています。
「Webアプリケーション診断」では、脆弱性カテゴリ毎に概要・再現手順・対策方法を細かくレポートし、自動診断+手動診断のハイブリッド診断も可能な「Security Blanket PRO/Advance」、対象Webアプリケーションを自動診断し、予約機能で都合の良い時間帯に診断が可能な「Security Blanket Standard/365」を用意。ネットワークに対しセキュリティ上の問題を検査する「ネットワーク診断」でも、手動セキュリティ診断の「Security Blanket N/W Pro」とSaaS型セキュリティ診断の「Security Blanket N/W Standard」を用意しています。
「Vex」
株式会社ユービーセキュア
- 提供形態:サービス
- 参考価格:別途お問い合わせ
Webアプリケーション向けの脆弱性検査ツールです。強力な検査シナリオ作成機能 を搭載。Webアプリケーション内を巡回し自動的にテストシナリオを作成したり、画面に表示されたシナリオを自由にマッピングすることでシナリオを作成できます。
マルチバイト文字列に起因する脆弱性や、利用されることが多いフレームワーク固有の脆弱性など アプリケーションの特性に応じた診断項目を網羅しています。
レポート出力形式も豊富で、開発者向けやサイトオーナー向けなどさまざまなフォーマットで出力することが可能です。日本語だけでなく英語でのレポート出力にも対応しています。
「Webセキュリティ診断」
東日本電信電話株式会社(NTT東日本)
- 提供形態:サービス
- 参考価格:5,500円〜
脆弱性やWebサイト改ざんの有無をシステムが定期的に診断します。
脆弱性診断ではSQLインジェクションやクロスサイトスクリプティング、ディレクトリインデックス、OSコマンドインジェクション、ディレクトリトラバーサル、クロスサイトリクエストフォージェリを診断。ほかにWebサイトが改ざんされていないかの検出も行います。
脆弱性診断は月に1回、Webサイトの改ざん検出は1日1回 行われます。診断結果はメールで通知されるほか、いつでも好きなタイミングでPDF閲覧することが可能です。
「SiteLock」
GMOグローバルサイン・ホールディングス株式会社
- 提供形態:サービス、クラウド、SaaS
- 参考価格:4,620円〜10万9,560円(年間費用)
簡単で手軽に始められるのが特徴のWebサイト監視サービスです。その人気のために脆弱性を狙われることが多い 「WordPress」にも標準対応。脆弱性検知のタイミングを毎日、毎週、毎月、四半期ごとの中から選ぶことも可能です。
マルウェア診断は毎日実行。マルウェアに感染していた場合は自動で駆除する機能もあります。
悪意のある第三者によって、スパムメールの踏み台やWebサイトに不正なリンクを埋め込まれてしまうと各機関のブラックリストに登録されることも。SiteLockでは、これらの ブラックリストに登録されていないかの監視も用意しています。
「SCT SECURE クラウドスキャン」
三和コムテック株式会社
- 提供形態:クラウド、SaaS、ASP
- 参考価格:別途お問い合わせ
定期的な診断を行うクラウド型のセキュリティ診断サービスです。ネットワークとWebアプリケーションの脆弱性を同一のサービスで診断可能。
ハッキングなどの攻撃を受ける前にアプリケーション改善に必要な情報を提供します。診断は最新の脆弱性情報をもとに毎日実行 。クラウド型のためメンテナンスは不要です。
クレジットカード会社などのセキュリティ基準であるPCI DSSに準拠 した安全性の高い診断を提供。診断中に危険度の高い脆弱性を検知した際は、メールによる通知を送ります。
「GRED Webセキュリティ診断 Cloud」
株式会社セキュアブレイン
- 提供形態:クラウド
- 参考価格:別途お問い合わせ
診断対象のページのURLを登録すれば、独自開発したツールが自動的に情報を収集し診断。 煩雑な事前準備などなく手軽に始める ことが可能です。また、脆弱性の情報は日々更新されるため、ツールは最新の情報にもとづいて診断を行います。
診断結果は視覚的にわかりやすいダッシュボードで提供。危険度に応じ「レッド」「オレンジ」「イエロー」「グリーン」に色分けされるため、簡単に状況の把握ができます。 診断結果はPDFレポートとして出力することも可能です。
オプションとして、診断結果に対する問い合わせやアドバイスを提供するサービスも行っています。
「セキュリティ診断サービス」
株式会社レイ・イージス・ジャパン
- 提供形態:サービス
- 参考価格:別途お問い合わせ
「AIクイック・ツール診断」では、独自の自動化ツールを用いて高速な脆弱性スキャンを行います。クロスサイトスクリプティングやSQLインジェクションなど45もの項目を網羅的にスキャン。「AIリモート脆弱性診断」では、 AIを活用した独自ツールと手動での診断を組み合わせ、網羅的な診断を可能とします。診断項目は68項目です。
「ペネトレーションテスト」では、独自ツールを用いた脆弱性診断はもちろん、専門性の高いセキュリティエンジニアが 実際のハッカーが用いる手法をもってユーザのシステムへの侵入を試みます。
「Web脆弱性診断」
株式会社ピーエスシー
- 提供形態:クラウド、サービス
- 参考価格:18万円〜68万円(基本価格)
「クイックプラン」はスピード重視で最短3日間での診断が可能です。重要事項に絞った診断を行い報告書も提示されます。
「スタンダードプラン」はバランスよく診断が行えます。診断後のシステム改修におけるサポートや再診断もプラン内で対応。 外国語のレポートにも対応しているところも特徴の一つです。
「プロフェッショナルプラン」では、自動ツールに加えて手動での診断も行います。複数の攻撃シナリオが用意されており、網羅的に診断可能です。 診断サイトの特性に合わせた個別診断もできます。
「セキュリティ脆弱性診断サービス」
株式会社セキュアイノベーション
- 提供形態:サービス
- 参考価格:別途お問い合わせ
ツールによる診断と手動による診断のハイブリッド方式 を採用。使用するツールも高品質で、最新の技術動向や攻撃手法を押さえた脆弱性項目をカバーしています。
診断レポートには脆弱性の有無やリスクレベルなどの診断結果だけでなく、脆弱性に対する対処方法まで記載 され、システム改修時に役立ちます。セキュリティエンジニアが診断レポートに対して、検知漏れや誤検知が発生していないかのチェックも実施。 信頼性の高いレポートが期待できます。
診断後にはQAサポートも実施。システム改修のコンサルティングやセキュリティ製品の導入支援などまで対応します。
「Sreake Security」
株式会社スリーシェイク
- 提供形態:サービス
- 参考価格:別途お問い合わせ
正しい挙動のみが許可されているか、サービスの仕様を理解した上で診断 を行います。ツールでは検知できないアプリケーションの仕様による脆弱性も検知可能です。
「ベーシック診断」ではWebアプリケーションやスマホアプリに対して、所定の項目をスピーディに診断します。
「アドバンス診断」ではベーシック診断に加え、ソースコード解析、ビジネスロジック解析、仮想攻撃診断 を含みます。セキュリティエンジニアによる報告会にも対応。「プラットフォーム診断」では、アプリケーション以外のミドルウェアやネットワーク、クラウドのセキュリティ診断などが行われます。
「Techvan Security Survey」
テクバン株式会社
- 提供形態:SaaS、サービス
- 参考価格:別途お問い合わせ
Webアプリケーションやプラットフォーム、ネットワーク通信上の脆弱性を診断します。
最新の脆弱性情報を学習したAIによる診断、ホワイトハッカーによるペネトレーションテスト、セキュリティエンジニアによる手動診断、国産の SaaS型診断用ツール によるサイト全体の診断。これら4種類のサービスを組み合わせることでより質の高い診断を実現します。
脆弱性診断の結果にもとづいて脆弱性対策を行ったあとは、再診断オプションにて正しく脆弱性に対応できているか確認。 24時間365日のサポート体制 が整っており、万が一セキュリティインシデントが発生した場合には手厚いサポートを受けることができます。
「RAS3」
株式会社レイ・イージス・ジャパン
- 提供形態:仮想アプライアンス
- 参考価格:別途お問い合わせ
インポートするだけで利用可能。初期設定は5分で終わります。セキュリティ専門の担当者でなくても 簡単に基本的なセキュリティリスキャンを実行可能です。セキュリティの運用を外部に委託するコストがかかりません。
シンプルなツールですが、SQLインジェクションやクロスサイトスクリプティングなどへの攻撃を含む35もの項目をカバー します。
システムの開発中から簡易診断を行うことでリリース前に危険な脆弱性を発見 します。もちろん、リリース直前や運用フェーズでも定期診断は可能です。常に更新される新たな攻撃に対しても診断結果を出力します。
無料で使えるセキュリティ診断ツール6選
1、世界中に多くのユーザーを抱える「Nessus」Tenable Network Security Japan K.K.
無料で16個のIPをスキャンできるプラットフォーム脆弱性診断ツールです。脆弱性診断の学習やスモールビジネス向けに最適。無料版は有料版に比べると機能の制限もありますが、高速かつ正確な評価と脆弱性および構成を何千回も点検します。
スキャンポリシーは既存のテンプレートから選ぶことが可能です。脆弱性は危険性、重要度、流行度の観点から上位10件をレポートに出力。優先順位が明確なため対処の方針も立てやすくなります。 レポートはHTML、CSVなどの形式で作成でき、必要に応じて簡単にカスタマイズ可能です。
インストールから各種設定までユーザ自身で行うことが必要ですが、有料版の「Nessus Professional」であれば、24時間365日の電話サポートやチャットによるサポートなどが受けられます。
2、ローカルプロキシツールとしても使用可能「Burp Suite」PortSwigger Ltd.
無料で使用可能な「Community Edition」が用意されています。HTTPなどの通信内容を確認可能です。ローカルプロキシツールとしても利用でき、通信内容をキャプチャした上で内容を変更してサーバへ送ることなどができます。サーバへ送る値を攻撃性のある値に変更することで、脆弱性のチェックを行うことが可能です。
Burp SuiteではWindows、Linux、MacOS、JAR用のプログラムが提供されています。JAR版では別途JREのインストールが必要です。プロキシの設定にはツール側の設定とともにブラウザ側の設定も必要になります。
すべてのインターフェースやマニュアルは英語で書かれていますが、非公式の日本語化ツールが配布されています。
3、大規模なネットワークで高速ポートスキャンを実現「Nmap」Gordon Lyon
Nmapはネットワークのセキュリティ調査を行うためのツールです。オープンソースソフトウェアとして提供されています。大規模なネットワークを高速でポートスキャンするよう設計されています。
IPパケットを用いて利用可能なホスト、ホストの提供しているサービス、OS情報、パケットフィルタやファイアウォールの種類などを判別。ポートの状態を判別することでセキュリティホールがないか確認を行うことが可能です。
基本的にはコマンドラインでの対話形式の操作となりますが、インストーラにはGUIツールの「Zenmap」も含まれており、視覚的に操作を行うことも可能です。
4、ランサムウェア「WannaCry」への攻撃耐性をチェック「自診くん」株式会社ラック
インターネット上からクライアントPCに対して、接続が許可されているかどうかを診断できるサービスです。ランサムウェア「WannaCry」への攻撃耐性を主に診断するほか、接続許可されるべきでない機能のチェックも行えます。
インストール不要で使用でき、スマートフォンやタブレットでも使用可能です。診断は数分で完了し、結果はアイコンとメッセージで一目で判別できます。
特に社外に持ち出して使用する端末など、社内ネットワーク以外のインターネットに接続する環境でチェックしておくと良いでしょう。安全性が確認できない場合は、OSのセキュリティ設定やセキュリティソフトの設定の見直しが必要です。
5、サーバのバージョン固有の問題をチェック「Nikto」
オープンソースのWebサーバスキャナーです。6,700を超える潜在的に危険なプログラムについて包括的な検査を実施します。サーバのバージョンチェックやバージョン固有の問題をチェック。監視項目とプラグインは頻繁に自動更新され、常に最新の脆弱性に対応した状態が保てます。
「OSVDB」のプレフィックスがついた問題は、OSVDB(オープンソース脆弱性データベース)の参照IDに紐づけられており、OSVDBを参照することで脆弱性の詳細を知ることが可能です。
6、国際標準のWebアプリケーション診断「OWASP ZAP」
The Open Web Application Security Project(OWASP)という国際的なコミュニティにより開発されたWebアプリケーションのセキュリティ診断ツールです。
OWASP ZAPはPCへインストールして、セキュリティの脆弱性を 確認したいWebアプリケーションのURLを入力するだけで、対象となるWebアプリケーションへ攻撃を仕掛けて脆弱性を洗い出してくれます。
「簡易スキャン」では、攻撃ボタンを押すだけで対象のWebアプリケーションへ大量のリクエストを送り結果を確認可能。「静的スキャン」では、ブラウザを操作しながら機能が動作した際の診断を行えます。また「動的スキャン」では、静的スキャンで検査した箇所に対して簡易スキャンのときと同様に大量のリクエストを送ることができます。
無償の診断ツールを利用する場合の注意点
無償の脆弱性診断ツールにはサポートが用意されていないことがほとんどです。公式のマニュアルが用意されていても、専門知識を持っていない場合は、脆弱性が発見された際にどのような対応をすればいいのか見当がつかない可能性もあります。
有料のサービスではサポートが充実していることが多いため、セキュリティ専門のエンジニアが導入から運用まで助けてくれることもあるでしょう。発見された脆弱性に対するアドバイスも受けることができるため、より強固なシステム運用に貢献してくれます。
まとめ
セキュリティ診断ツールはWebアプリケーションやプラットフォームの脆弱性を発見するために必須のツールです。導入することでセキュリティ対策のコスト削減に繋がり、社会的信頼性も向上します。
今回ご紹介した情報を参考に、ぜひ導入を検討してみてはいかがでしょうか。サービス選定にあたっては、ぜひ資料を請求してみてください。