無料で利用できるセキュリティ診断サービス比較
さっそく、無料プランのあるセキュリティ診断サービスを紹介します。有料プランの価格のほか、ツールによる自動診断か専門家による手動診断かも比較しているので、サービス選定の参考にしてください。
Securify
- 【専門知識は不要!】URLを登録し最短3ステップで診断開始
- 【シンプルで直感的】使いやすいインターフェイスで操作も楽々
- 【継続的診断が可能】明確なレポートと予約機能で継続的な診断を
株式会社スリーシェイクが提供する「Securify」は、2,000を超える診断項目のあるWebアプリケーション脆弱性診断ツールです。複雑な事前設定は不要で、プロジェクトの作成とドメイン所有者を確認したら、診断対象のURLを登録し診断します。脆弱性の危険度や起こりうる問題などを管理画面で確認できます。レポート出力やSlack連携などによって、診断結果の外部共有も行いやすいでしょう。
| ツール診断 | ◯ | 手動診断 | ◯ |
| 有料プラン参考価格 | 初期費用無料 STARTER:月額50,000円 BASIC:月額100,000円 | ||
Securifyを利用したユーザーの口コミ
無制限でスキャンができるのはよいが、その料金体系が最初は不透明だったので、最初は導入までなかなか踏み切れなかった。もう少し分かりやすいプランを出すとよい。
続きを読む
IssueHunt バグバウンティ (IssueHunt株式会社)
- 脆弱性が発見された場合のみ支払いの発生する成果報酬型
- 開発から運用・サポートまで、全て国内自社対応の安心サービス
- 面倒な準備不要。コアな業務に集中できる運用代行サポートも有
企業の情報システム部門でよくある悩みが資料請求で解決できるかも。今すぐ製品の資料を手に取り、セキュリティ対策改善のヒントをつかみませんか。
自診くん
株式会社ラックが提供する「自診くん」は、インターネットに接続している端末に危険性がないか、ブラウザで自己診断できるサービスです。主に、サイバー攻撃に悪用されないかの確認が可能で、診断費用は無料です。利用規約の同意にチェックするだけで、使用している端末の診断がはじまります。
エレシーク
株式会社コーボー・ホールディングスの「エレシーク」は、Webページにおける簡易的なセキュリティ診断ツールです。Webサイト改ざんや情報漏えい、マルウェア感染を調査します。ブラウザ上で対象のURLを入力するだけで、無料診断を実行します。脆弱性が発見された場合は、深刻度のスコア判定レポートを確認できる有料サービスもおすすめです。
Burp Suite
PortSwigger社の「Burp Suite」は、Webアプリケーションのセキュリティテストを行うツールです。Web資産をスキャンしてセキュリティ体制を確認します。JilayやGitLab、Trelloとの統合が可能で、ソフトウェア開発プロセスにもセキュリティを組み込めます。機能制限はありますが、Burp Suite Community Editionは無料で利用でき、従量制の料金設定もポイントです。
ZAP
「ZAP」は、オープンソースのセキュリティ診断サービスです。主にWebアプリケーションに存在する脆弱性を発見するために使用します。なお、コストを抑えた導入が可能ですが、利用するには専門知識や技術をもつエンジニアが必要です。
Nikto
「Nikto」は、Webサイトの脆弱性をメインに診断できるオープンソースのツールです。Webアプリケーション上の問題だけでなく、ミドルウェアの設定におけるセキュリティ上の問題も検出します。技術があればプラグインを利用して機能を拡張も可能です。
Nmap
「Nmap」は、ポートスキャン機能などにより、さまざまなセキュリティの脆弱性をチェックできるオープンソースのツールです。自社のポートが外部からアクセス可能かを調べられます。OSやバージョンの検出機能なども搭載しています。
無料のセキュリティ診断サービスと有料サービスの違い
セキュリティ診断にかかるコストをできるだけ抑えるには、無料サービスは魅力的な選択肢です。ただし、「無料」を謳った悪質な診断サービスも存在するので注意してください。
例えば、偽のセキュリティ診断を行うように誘導し、診断をスタートすると「非常に危険な状態です!」と表示されます。その後、高額なセキュリティ製品を購入させる詐欺が発生しています。
また、オープンソース(OSS)製品の場合、診断結果を読み解いてサイト改修するための専門的な知識が必要です。有料サービスなら、使い方のサポートや診断結果にもとづくアドバイスが受けられます。エンジニアや情報システム担当者がいない企業でも、的確なセキュリティ対策を実施できるでしょう。
有料のセキュリティ診断サービスも含めて検討したい方には、以下の記事が役立ちます。最新サービスの特徴や機能を比較し、料金相場も紹介しています。
無料診断で判定できる項目・できない項目
無料のセキュリティ診断サービスは、費用をかけずに自社の脆弱性をチェックできる一方、判定できる範囲には明確な限界があります。どこまで無料で確認できて、どの部分が有料診断でないと判定できないのかを理解することで、誤解や過信を防ぎ、適切なセキュリティ対策につながります。
- ■無料診断で判定できる項目
-
- ・URL単位の基本的なWeb脆弱性(XSS、SQLインジェクションなどの簡易チェック)
- ・開放ポートや外部公開サービスの確認(Nmapなどによる基本スキャン)
- ・サーバー設定の一部不備(古いバージョン、ヘッダー設定など)
- ・既知の脆弱性データベースに登録された一般的な問題の検出
- ・SSL/TLS証明書の設定チェックや暗号化レベルの確認
- ・簡易なマルウェア感染の有無やブラックリスト登録状況の確認
- ■無料診断では判定できない項目
-
- ・ビジネスロジックの欠陥(権限昇格・金額改ざん・不正取引など)
- ・認証/認可周辺の複雑な脆弱性(多段階攻撃・セッション管理の不備など)
- ・API診断やモバイルアプリの詳細な脆弱性調査
- ・クラウド設定の誤り(AWS、Azure、GCPなどの構成診断)
- ・手動診断が必要な深刻な脆弱性(論理的な欠陥・設計上の問題)
- ・診断後の改善提案や再診断などのアフターケア
- ・監査対応(ISMS、FISC、PCI DSSなど)に必要な証跡の提供
無料のセキュリティ診断が向いている企業・向いていない企業
ここでは、無料診断が向いている企業と向いていない企業を分かりやすく整理します。
- ■無料のセキュリティ診断が向いている企業
-
- ・まずは手軽に脆弱性をチェックしたい小規模企業・スタートアップ
- ・特定URLやWebアプリを簡易的にスキャンしたい企業
- ・テスト環境での初期チェックとして利用したい企業
- ・主要な脆弱性だけ把握し、現状のリスクを大まかに確認したい企業
- ・コストを抑えつつ、定期的に表面的な診断を実行したい企業
- ■無料のセキュリティ診断が向いていない企業
-
- ・個人情報・顧客データ・決済情報など重要データを扱う企業
- ・金融・医療・公共機関など、厳格なセキュリティ基準が求められる組織
- ・深刻な脆弱性やビジネスロジックの欠陥まで調査したい企業
- ・手動診断や専門家による改善提案が必要な企業
- ・監査対応(ISMS/FISC/PCI DSS など)が必要な企業
無料で試せるセキュリティ診断サービス比較
ここからは、無料トライアルを利用できる有料のセキュリティ診断サービスを紹介します。サービス導入前に、機能を試したり使用感を確かめたりして、自社との相性を確認できます。各サービスの資料請求も可能なので、ぜひご利用ください。
Webアプリケーション脆弱性検査ツール vex
- 自動巡回、またはシナリオマップによる簡易なシナリオ作成
- ユーザの利用環境に合わせて幅広く利用できる柔軟な利用形態
- 目的や利用者に合わせた日本語/英語10種類の多種多様なレポート
株式会社ユービーセキュアが提供する「Webアプリケーション脆弱性検査ツール vex」は、Webサイトの特性や利用者に応じて検査手法を選択できます。簡易なシナリオ作成をする自動巡回や、複雑なテストシナリオにも対応するHandler設定など、自動と手動を組み合わせられます。診断結果のレポートも、目的にあわせた項目やレイアウトでわかりやすさが特徴です。2週間の無料トライアルを実施しています。
| ツール診断 | ◯ | 手動診断 | ◯ |
| 有料プラン参考価格 | ー | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
AeyeScan
- 【学習コストゼロ】非エンジニアの方でもOK!定評ある使いやすさ
- 【高度なAI技術】高精度な巡回・わかりやすい日本語のレポート
- 【無料トライアル】本格的な診断・画面遷移図による可視化を体験
株式会社エーアイセキュリティラボが提供する「AeyeScan」は、AIとRPAを活用したWebアプリケーションの脆弱性診断ツールです。専門知識が不要で、最短10分で導入できます。AIがサイトを自動巡回し、診断すべき画面を抽出。画面遷移図を自動生成します。さらに、OWASP基準など幅広い診断項目にも対応します。無料トライアルも可能です。
| ツール診断 | ◯ | 手動診断 | ◯ |
| 有料プラン参考価格 | ー | ||
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
insightVM (Rapid7 Japan株式会社)
- 定期的なスキャンは差分だけ!最小限の負荷で脆弱性を発見!
- 脆弱性をスコア化!深刻度に応じて対応の優先順位づけが可能!
- ダッシュボードで今発生しているリスクが一目でわかる!
GRED Webセキュリティ診断 Cloud (株式会社日立システムズ)
- 発見された脆弱性を危険度で色分けして一目で確認可能!
- URL入力と簡単な設定のみで毎日の診断をスタート!
- ログインが必要なページの診断にも対応!
Secualive (株式会社トレードワークス)
- 自社開発の脆弱性自動診断ツールで定期的に診断を自動で行う
- 請負開発の納品前セキュリティチェックを短い期間で実施できる
- 低価格でセキュリティチェックを行いたい企業にオススメ
自社の課題解決につながるサービスを選定するには、複数製品を比較することが大切です。サービス数が多く決めかねている方は、最新の資料請求ランキングも参考にしてください。
セキュリティ診断サービスの正しい選び方
次に、セキュリティ診断サービスの選び方を見ていきましょう。無料サービスと有料サービスのどちらにおいても、以下の3つポイントに着目してみてください。
手動診断ができるか
セキュリティ診断サービスを選ぶときには、「手動診断」の有無を確認しましょう。診断方法には、主に「ツール診断」と「手動診断」があります。
ツールを使用した診断であれば、コストが安く短時間で完了します。しかし、複雑な構成には対応できません。つまり、ツール診断を行って脆弱性が発見されなくても、セキュリティリスクが隠れている可能性はあるでしょう。
一方、手動診断は、サービス提供元のエンジニアが疑似的な攻撃を仕掛けることで複数の攻撃パターンを検証し、社内の脆弱性を確かめます。そもそも、Webサイト特有の脆弱性は手動診断でなければ見つけられません。手動診断はコストが高く、時間もかかりますが、確実性の高い診断を行うためには必要です。
診断水準が高いか
診断水準が高いサービスであれば、自社の弱点をより正確に診断できるでしょう。特に手動診断の場合は、担当する技術者によって経験値が異なるため、診断結果は大きく変わります。診断サービスを利用する前に、担当するエンジニアの診断実績を確認することが大切です。
また、ツール診断の場合も、社内担当者の技術レベルによって求めるレポート内容は異なります。セキュリティに関する知識がない従業員でも理解できるレポートなのか、サンプルで確認するとよいでしょう。
アフターケアが充実しているか
セキュリティ診断では、診断後の脆弱性を改善することが重要です。そのため、充実したアフターケアが不可欠です。サービス利用後に相談できるのか、アドバイスを受けられるのかを確認しましょう。
例えば、重大な脆弱性が見つかった場合でも、改善策が分からなければ非常に危険です。どのような対策をすべきかなどを専門的なコンサルタントに相談できるサービスであれば安心でしょう。
まとめ
無料のセキュリティ診断サービスもありますが、悪質なサイトも存在するので注意が必要です。また、オープンソースの場合は専門的な知識や技術が求められるでしょう。診断の目的や運用など、自社にあわせたサービスの導入が大切です。
セキュリティ診断サービスを選ぶときは、手動診断の有無や診断水準、アフターケアの充実度を確認しましょう。有料サービスも視野にいれ、無料トライアルで実際に使用するのもおすすめです。
セキュリティ課題を抱える企業が抱えがちな悩みを、製品資料でクリアにできる可能性があります。まずは資料請求して、現場業務を一歩先へ進めましょう。
社内で使うウェブアプリケーションが外部の脅威にさらされた場合、どの程度の強靭さと脆弱性があるのかを手軽に診断してくれるセキュリティサービス。診断項目が多岐にわたっていて細かいところまで見てくれる。しかもスキャンの時間や回数は無制限であり、定額で利用できるので、利便性が高い。診断にはURLを入力しさえすればよく、直感的な操作が可能であるのもよい。
続きを読む