最終更新日:2024-06-20
Webサービスやアプリの提供開始前に、セキュリティ診断サービスを利用して脆弱性を調べたいが、「費用が心配」「選び方がわからない」とお悩みの方へ。セキュリティ診断サービスの価格の目安や、価格によるサービスの比較、おすすめサービスなどについて解説します。
セキュリティ診断サービスとは、Webサイト・スマホアプリなどのアプリケーションや、サーバー・ネットワーク・OSなどのプラットフォームに脆弱性がないかを診断するサービスです。
セキュリティに穴があると自社が攻撃されるだけではなく、自社のWebサービスを利用した顧客やユーザーが被害にあうリスクも生じます。一般的に、セキュリティ診断を実施すると、7~8割のWebサービスで脆弱性が検出されるとも言われています。
従来、こういった脆弱性は社内のセキュリティチームがチェックするのが一般的でした。しかし、社内の「専門知識を持つ人材の不足」「専門領域の分化・多様化」や、マルウェアなど企業へのサイバー攻撃が巧妙化・複雑化しているといった要因から、近年では、外部のセキュリティ診断サービスを利用する企業が増えています。
セキュリティ診断サービスの種類は、以下の2タイプに大別できます。
(1)ツールで自動診断するタイプ
(2)技術者が専門知識・スキルを駆使して診断するタイプ
(1)は、使い方がわかる人が社内にいれば、必要に応じて、効率よくセキュリティ診断ができます。その反面、診断前のシナリオ設定などに手間がかかるほか、脆弱性の見逃しや誤検出が発生する恐れも。
一方、(2)の技術者が手動診断と診断ツールを組み合わせて診断するサービスは、専門家ならではの経験と判断力、あらゆる攻撃を想定する想像力が加わるため、ツールよりも高い検出精度が期待できます。
セキュリティ診断サービスの内容は、以下の3つのポイントから把握するのがおすすめです。
| 診断範囲 | サーバー、ネットワーク、Webアプリケーション、モバイルアプリなど、診断の対象となる範囲を指します。 価格に応じて脆弱性診断の対象とする範囲が異なり、無料・安価なサービスは狭く、高額なサービスはより広い範囲を対象としています。加えて、診断項目数もサービスによって様々。たとえば「Webアプリケーションの脆弱性を調べたい」という場合でも、SQLインジェクション、クロスサイトスクリプティング(XSS)、パラメーターの改ざんなど、複数の診断項目があるため、事前に確認が必要です。 |
|---|---|
| 診断の深さ | ツールによる自動診断か、経験豊富な技術者による手動診断も組み合わせて行うかによって、診断の深さが異なります。 無料のものはツールで機械的に診断するだけですが、高価なサービスは技術者による手動診断も提供。手動診断では、個々のシステムの仕様や特性を踏まえたうえで、攻撃者の視点からあらゆる疑似攻撃を考察・試行するため、ツールでは気づけないような脆弱性まで探れます。 |
| 診断後の 対応 |
価格に応じて、レポート内容の充実度(対策の記載があるか)や、その後のサポートなどの有無などが異なります。 無料ツールの場合、脆弱性の有無をツールでスキャンするのみで、基本的にユーザー自身で結果を読み解く必要がありますが、有料のツール・サービスでは手厚いサポートが期待できます。 |
セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
セキュリティ診断サービスは、一回あたりの費用の目安としては、「無料のものから100万円以上かかるものまで」幅広い価格帯で展開されています。具体的に4つの価格帯に分けて、それぞれおすすめのサービスを紹介します。
また、価格帯ごとに提供されるサービス内容が異なります。「1.診断範囲」「2.診断の深さ」「3.診断後の対応」の3つの観点から、それぞれの価格帯で提供されているサービス事例を紹介します。
ただし、システムの規模や受ける診断内容、オプションによって、価格は大きく異なります。加えて、診断実施が平日か休日か、昼間か夜間か、リモートか訪問かも関係します。あくまでも一つの目安としてご参照ください。
なお、アスピック編集部では、経験者へのヒアリングや公開資料などをもとに調査しています。万一、価格に修正事項などがある場合は、お手数ですがアスピック編集部までご連絡をお願いいたします。
| 診断範囲 | 診断の深さ | 診断後の対応 |
|---|---|---|
| 企業のニーズや予算に応じて最適な診断範囲を決定。 診断対象となるWebページやサーバー、ネットワーク機器の安全性を徹底診断する。診断項目はASVS 4.0 L1などを基準に構成 |
熟練したセキュリティ専門家による手動診断と、独自開発の診断ツールを併用。 攻撃者の視点から様々な疑似攻撃を考察・試行することで、Webアプリケーションの安全性を徹底的に調査する |
総評、評価ランク(5段階)のほか、検出された脆弱性と、その確認方法、セキュリティリスクレベル(緊急度)、推奨する対策、業種別の統計情報をまとめたレポートを提供。 レポートをもとに報告会を実施する |
| 診断範囲 | 診断の深さ | 診断後の対応 |
|---|---|---|
| FQDN単位で対象システムを隅々まで診断。 Webアプリケーションのセキュリティテストのガイドラインである「WSTG 4.2」に則り、105項目を網羅的に診断する |
AIエンジンを搭載した脆弱性探査ツールで自動診断を行うほか、ベテランのホワイトハッカーが手動診断を実施。 独自ツール群を駆使してロジック周りの診断などを行う |
診断結果と、検出された脆弱性への対策方法を記載したメールを送付。診断結果を解説する報告会も開かれる。 また、脆弱性への対策を行った場合には、当該部分への再診断を実施(3カ月以内) |
| 診断範囲 | 診断の深さ | 診断後の対応 |
|---|---|---|
| Webアプリケーション、SaaS、WordPress、コーポレートサイトなどの診断を実施。 セキュリティチェックにおいて重要な多数の診断項目に対応する |
セキュリティエンジニアでなくても使える、シンプルな操作性のツールを用いて、セルフ診断を実施。 エンジニアによる高精度な手動診断が受けられる追加サービスも提供している |
診断結果をスコアで表示。検出された脆弱性の背景と修正方法とあわせて、レポートとして出力する。 診断結果はSlackやメールなどで開発メンバーに共有できる |
| 診断範囲 | 診断の深さ | 診断後の対応 |
|---|---|---|
| 「情報漏えい対策」「認証部分に特化」「OWASP Top 10を対象」など、企業のニーズに沿った診断対象を設定。 多数のリサーチャーが脆弱性を探すので、網羅的な診断が可能に |
ホワイト・ハット・ハッカーたちが脆弱性診断を行い、見つけた脆弱性に応じて報酬を受け取るというシステム。 通常では検知が難しい脆弱性も発見されやすい |
発見された脆弱性は、発生し得る影響や深刻度などから優先順位を決定し、報告。 修正が完了し次第、同社のサポートチームが修正を確認する |
| 診断範囲 | 診断の深さ | 診断後の対応 |
|---|---|---|
| 各種サーバーや、コンテナ・コンテナイメージ、ソフトウェア、プログラミング言語のライブラリなどのスキャンに対応。 ユーザーに影響が大きいとみなしたもののみを自動抽出し、可視化 |
NVDやJVNのほか、各ディストリビューションなどが提供する脆弱性情報を自動で取得。 それらの情報をもとに、自動で脆弱性診断を実施する |
スキャン・診断結果がSkackやメールで通知される |
導入価格が100万円以上のセキュリティ診断サービスを紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Webアプリケーション診断ハイブリッド公式Webサイト)
197,00団体以上への豊富な導入実績を持つ、同社のセキュリティ診断サービスの1つ。専門家による手動診断をメインとしつつ、ユーザーの要望に応じて、独自開発した診断ツールを組み合わせた診断にも対応。過去の膨大な診断結果を統計データ化し、評価・分析に活用している点が強み。
診断報告書には脆弱性の確認方法と緊急度に加えて、総評、5段階の評価ランク、推奨する対策、更には業種別の統計情報も記載されるため、同業他社と比較した自社のレベルも把握できる。
報告書の納品から1カ月間のサポートとして、危険度の高い脆弱性の再診断も受けられる。再診断に際し、技術者が訪問する場合は、別途見積もりが必要。英語によるサービス提供も。
導入価格が100万円未満のセキュリティ診断サービスを紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:脆弱性診断公式Webサイト)
独自開発のプラグイン・AIツールによる自動診断メインの「AIクリック・ルーツ診断」や自動診断と手動診断を組み合わせて行う「AIリモート脆弱性診断」などを提供するセキュリティ診断サービス。
診断範囲を問わない定額価格体系(自動診断はFQDNあたり30〜40万円)のため、ページ数が多ければ多いほど1ページあたりの単価が安くなることから、大規模なECサイトにもおすすめ。事前にどこまで診断してもらうか、優先順位をつける必要もないため、依頼に際し、負担感もない。ページ数の多いECサイトでも1~5営業日の短期間診断が可能。
「AIクリック・ルーツ診断」の場合も、検出結果をエンジニアが精査するため、ツール任せとは一線を画す、質の高い診断を得られる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Cloudbric 脆弱性診断公式Webサイト)
「Webサイト診断」「Webアプリケーション診断」「プラットフォーム診断」の3種類に対応した脆弱性診断サービス。導入企業の環境・状況に応じて必要な診断を選択できる。
セキュリティのプロが手動で脆弱性情報の収集・解析を行う、柔軟で高精度な診断に強み。企業ごとに合わせた診断で、見逃しや誤検知を防止する。
「Webアプリケーション診断」では、多様な脆弱性を診断し、検知したリスクを「深刻度×悪用度」の評価スコアで優先順位付け。セキュリティ製品の導入が有効な場合は、サービス提案や導入支援を行うなど、診断で現状を把握して終わるのではなく、企業のセキュリティ対策までをトータルでサポートする。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Webアプリケーション診断公式Webサイト)
世界トップレベルのセキュリティエンジニアによる高品質の脆弱性診断サービス。経産省主催のイベントや世界最大のハッキングイベントで好成績を残しているホワイトハッカーが、ツールとノウハウを組み合わせて診断を行う。
診断プランは4つ。自社に適したプランの提案を受けられるので、「どれを選べばいいかわからない」といった場合も安心。約2,400社以上で利用実績あり。
診断後は脆弱性診断ツール「GMOサイバー攻撃ネットde診断」が1年間無償で付与され、任意のタイミングでアプリやプラットフォームの脆弱性をA〜Eの5段階でチェック可能。B以上の場合に同社より付与される「サイバー攻撃対策シール」は、セキュリティへの取り組みとサイトの信頼性アピールに役立つ。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:脆弱性診断公式Webサイト)
品質保証専門会社である同社が提供する、豊富な診断実績を持つセキュリティ診断サービス。「Webセキュリティ診断」「スマホアプリセキュリティ診断」「IoTセキュリティ診断」を提供する。
診断内容や費用の明瞭化に努めており、診断前には診断項目・期間を明示した見積書に加え、診断箇所を記載した遷移図を提示。
ツール診断と手動診断の長所を組み合わせて迅速かつ確実な診断を行い、診断後には、リスクの対策方法まで詳細に記載した報告書が作成される。診断報告会は、オプションで実施可能。報告された脆弱性の修正後の再診断も料金に含まれる。
また、診断完了後にサイバーリスク保険(最大1,000万円の保証)が1年間無料提供されるため、安心してシステムを運用できる。
導入価格が30万円未満のセキュリティ診断サービスを紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Vex公式Webサイト)
国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールへの選出実績を持つ。
Webアプリケーションの脆弱性を網羅した検査機能に強みがあり、自動・手動を組み合わせた多様な検査方法に対応。たとえば、シンプルなサイトや大規模なサイトであれば自動巡回、画面遷移図に落としにくい検査対象の場合は手動設定をメインに検査、複雑なものは自動と手動を組み合わせた検査シナリオで対応する。視覚的にわかりやすい画面遷移図でシナリオを作成できるため、手間なく実施できる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Securify公式Webサイト)
複雑な事前設定なしで利用できる、クローリングによる自動診断に対応したアプリケーション脆弱性診断ツール。診断開始までわずか3ステップ。診断項目もSQLインジェクションやクロスサイトスクリプティング(XSS)、OSコマンドインジェクションをはじめとする約2,000項目と豊富。診断結果では、発見された脆弱性の詳細、背景、修正方法などを提示。外部連携機能も備え、SlackやTeamsとの連携、レポート出力などにより、チーム内外へ共有可能。脆弱性のスムーズな改修に貢献する。
自社プロダクトの開発工程の中に組み込んだり、アップデートや修正ごとに実施したりと、様々なシーンで利用可能。診断結果は一覧画面で確認でき、脆弱性の概要だけでなく「どう対応すればいいか」といった対応方法まで提示してくれるのが心強い。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:AeyeScan公式Webサイト)
AIとRPAを活用した簡単・高精度な診断により、セキュリティ診断の内製化をサポートする、アプリケーション脆弱性診断サービス。
CI/CDツールとの連携により、診断対象の設定から診断、結果報告までの自動化を実現。診断ベンダーも認める充実の検査項目と検出率で、最短10分程度で診断が完了。また、「修正を行なった場所だけ」など、狭い範囲だけを素早く巡回したい場合は、ブラウザの操作履歴を記録するだけで手動巡回もできる。
画面遷移図で脆弱性の検出箇所を自動で視覚的に表示し一覧化。全体の状況を素早く把握できる総評や、修正に関する個別アドバイスを含むレポートも魅力。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:VAddy公式Webサイト)
人工知能技術の活用により、セキュリティの専門知識がない現場担当者でも手軽に脆弱性検査ができる、クラウド型診断ツール。Web-APIを利用すれば、検査の定期・自動実行にも対応する。
ツールのインストールといった事前準備は不要で、すべての基本操作がWebブラウザで完結する手軽さも魅力。テレワーク環境や複数拠点間の利用にもおすすめ。
月額固定料金のため、何度も脆弱性診断を実施可能。利用シーン(診断項目数)に応じた複数の料金プランを用意しており、1カ月単位でアップグレード/ダウングレードできるので、「診断を実施するタイミングだけ契約する」という使い方も。そのほか、VAddyの年間契約に、OWASP TOP10に準拠した手動診断などに使える診断チケットを付加したプランも用意。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:IssueHunt公式Webサイト)
自社のサービスやWebサイトの脆弱性に関する報告を広く募り、有効なものには報奨金を支払う「バグバウンティ(脆弱性報奨金制度)」に対応したセキュリティプラットフォーム。日本を代表する上場企業から急成長のベンチャー企業まで、幅広い導入実績を誇る。
従来型のセキュリティ診断と異なり、「成果報酬型のため固定費がかからず、予算を無駄なく使える」「幅広い視点で診断できる」「面倒な準備が不要で、最短即日開始が可能」などのメリットがある。オプションで、報告の一次受付や報告の確認・トリアージ、報告者への対応も代行してくれるため、運用負担がかからないのもポイント。
(出所:サイバーレスキュー公式Webサイト)
長年、デジタルマーケティングの課題解決に取り組んできた同社が手掛ける、完全成果報酬型のセキュリティ診断サービス。
日本国内の行政機関で国防に携わったホワイトハッカーと、サイバーセキュリティ先進国イスラエルのホワイトハッカーの合同チームが、実戦経験豊富な攻撃者の目線で診断。通常のセキュリティエンジニアでは難しい脆弱性の発見が期待できる。
そのほか、社員のサイバーセキュリティに関するリテラシーの向上・意識改革まで、一貫したコンサルテーションにも対応可能。毎月10社限定で無料の「簡易脆弱性診断」も行っているため、まずは試してみるのもおすすめ。
最後に、自社内で脆弱性診断を実施する場合に役立つ、無料で利用できるオープンソース型の脆弱性診断ツールをご紹介します。どれも診断対象を設定すると、診断結果が得られます。
オープンソースで、エージェントレスタイプの脆弱性診断ツール。LinuxやFreeBSDが対象となっている。NVD・JVDをはじめとした、多種多様な脆弱性データベースを入手して診断するため、最新の情報を含んだ診断が可能。
対象サーバーにあまり負荷がかからないFastモードと、精度重視のDeepモードから選べ、複数の脆弱性データベースを活かしたスキャンの精度の高さが特徴。スキャン結果をSlackや電子メールに通知可能。日本語マニュアルがあるほか、診断結果の日本語出力にも対応する。
オープンソースの脆弱性スキャナー・Nessusのソースコードをベースに開発されたツール。GUIの設定画面で、対象サーバーのIPアドレスを設定する程度でスキャンを実行可能。ソフトウェア、OS、ポートなどの脆弱性を確認する。実行結果のレポート出力に対応。
オープンソースのWeb脆弱性スキャナー。イギリスのNetsparker社が支援している。Webサーバー上で危険なプログラムや古いバージョンのプログラムを使用していないか、サーバーの設定ミスをしていないかなどをチェック可能。
セキュリティ診断サービスは、Webサービスやアプリケーション、ネットワークなどに潜むセキュリティ上の脆弱性を見つけるためのサービスです。
セキュリティ診断サービスは、大きく以下に分類されます。
(1)ツールで自動診断するタイプ
(2)技術者が専門知識・スキルを駆使して診断するタイプ
無料から100万円以上かかるサービスまで幅広い価格帯があり、価格に比例して「診断範囲」「診断の深さ」「診断後の対応」が充実していくのが一般的です。
今回は1回あたり「無料」「30万円未満」「100万円未満」「100万円以上」という区分で、価格による具体的なサービスの違い、おすすめサービスなどをご紹介しました。
セキュリティ診断を受けることで具体的な脆弱性を発見し、適切な対策を施すために、まずは予算に応じたサービス選びから始めてみてください。
セキュリティ診断サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
独自開発のプラグイン・AIツールによる「自動診断」と高い専門性をもったセキュリティエンジニアによる「手動診断」で脆弱性診断。安価な定額制でページ数の多いサイトも...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
企業のWebサイトやシステムの脆弱性を診断するサービスです。既知の脆弱性を調査するとともに、対策の優先度設定やサイバー攻撃へのソリューション提案まで実施します。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
世界1位を獲得したトップレベルのセキュリティエンジニアによる高品質の脆弱性診断。診断後も定期診断ツールが無償提供されるため、継続的にセキュリティを担保できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
国内各診断ベンダーにも利用されている「プロ品質」のWebアプリケーション脆弱性検査ツール。経済産業省のWebアプリ診断の推奨セキュリティツールにも選出。国内シェ...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
★★★★★ 4.5 13件の口コミ・評判
★★★★★ 4.5 13件の口コミ・評判
導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
AIとRPAを活用した次世代Webアプリケーション脆弱性診断SaaSです。Webセキュリティに詳しくないユーザーも簡単なマウス操作で診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
