Webアプリケーションやネットワークの欠陥やセキュリティ上の問題点を自動検知できる脆弱性診断ツール(セキュリティ診断)。情報セキュリティ対策の重要性が増すなか、脆弱性診断ツールの提供数も増えており、自社に合ったツールの見極め方がわからないという声も聞かれます。本記事では、脆弱性診断ツールを比較選定するポイントや導入時の注意点を解説します。

また、導入実績の多い代表的な脆弱性診断ツールをご紹介します。自社の課題や目的に照らし、適切なサービスを見つけてください。

面倒なITサービス選定。無料でプロに相談しませんか? 詳しくはこちら

脆弱性診断ツールの比較方法・選び方

脆弱性診断ツールを比較選定する際のポイント

脆弱性診断ツールを比較選定する際のポイント

 

脆弱性診断ツールを比較検討する際、押さえておきたい選定ポイントは以下の4つです。

 

  • 診断の適用範囲 
  • 手動診断の有無
  • 診断結果レポートの精度・視認性
  • サポート体制 

 

各項目を詳しく見ていきます。

 

■診断の適用範囲

脆弱性診断ツールの適用範囲は製品によって異なるため、自社が診断したい範囲をカバーしているかを確認する必要があります。

 

脆弱性診断ツールの診断対象には以下のものがあります。

 

  • OS
  • ミドルウェア
  • ネットワーク機器
  • Webサイト・Webアプリケーション
  • スマホアプリ

 

■手動診断の有無

脆弱性診断ツールのなかには、手動による詳細設定が可能なものもあります。ツールによる診断では代表的な脆弱性の自動検知が可能ですが、手動診断を組み合わせることで診断の網羅性をさらに高めることができます。

 

ユーザー自身での設定が難しければ、オプションサービスとしてベンダーのエンジニアが自社に合った診断方法をカスタマイズしてくれる場合もあります。

 

■診断結果レポートの精度・視認性

ユーザーは、診断結果のレポートで脆弱性の有無を判断して必要な対策を講じるため、レポートの精度はセキュリティ性を左右します。

 

診断結果レポートの項目には以下のものがあります。

 

  • 診断結果のサマリレポート
  • 脆弱性の改善に必要な技術情報
  • 脆弱性のチェックリスト

 

詳細内容や表示方法はツールごとに異なります。デモ画面などがある場合は、レポートの見やすさ・わかりやすさといった視認性も確認しておきましょう。

 

また、ベンダーのホームページには導入実績が掲載されていることがあり、診断精度やユーザビリティを見極める参考になります。

 

■サポート体制

脆弱性診断ツールは初期設定や操作方法でつまずくことがあるため、ベンダーのサポート体制もチェックしておきたいポイントです。

 

以下の項目を確認し、導入前・導入後に適切なサポートが受けられるか見極めましょう。

 

  • 日本語対応か
  • サポート方法(メール、電話、チャットなど)
  • 対応可能な曜日・時間帯
  • 自己学習メニューの有無(FAQやeラーニングなど)

 

海外ベンダーの製品では、日本語によるサポートが不十分なものもあるため注意が必要です。

課題・ニーズ別に見た脆弱性診断ツールの向き・不向きの傾向

課題・ニーズ別に見た脆弱性診断ツールの向き・不向きの傾向

 

どのような脆弱性診断ツールを選ぶべきかは、自社の課題によっても変わってきます。
以下に課題・ニーズ別の向き・不向きの傾向をまとめました。

 

課題・ニーズ

向き・不向きの傾向

システム構成が複雑でツールによる自動診断だけでは不安がある

セキュリティ対策専門家による手動診断サービスが利用できる製品が向いている

セキュリティ上の問題点を検出した場合に速やかに対処したい

マルウェアなどの脅威を検知したら自動駆除する機能が備わっている脆弱性診断ツールが向いている

セキュリティ対策の知識が不足している/自社でツールを使いこなせるか不安がある

導入・運用サポートを強化しているベンダーが適している。導入コンサルティングや運用スキームの作成支援サービスなどがあれば、自社に合った効果的な運用方法を提案・支援してもらえる

脆弱性診断ツールがどのようなものかピンときていない

無料トライアルやデモ版がある脆弱性診断ツールであれば、ツールの仕組みや操作性などを契約前に確認することができる

脆弱性診断ツールの導入時に注意すべき点

脆弱性診断ツールの導入時に注意すべき点

 

脆弱性診断ツールを導入する際は、以下の2点に留意しましょう。

 

■導入目的を明確にする

脆弱性診断の効果を高めるには、「何についての脆弱性を確認したいのか」「脆弱性診断で何をチェックしたいのか」といった目的について、導入前に明確にしておくことが大切です。脆弱性診断ツールの適用範囲や付随するサービス内容にはそれぞれ違いがあり、目的に合ったツールでなければセキュリティ性の向上につながらないこともあります。まずは、自社の情報セキュリティ上の課題や診断ツールに求める機能を検討したうえで選定しましょう。

 

■脆弱性を修正したら再診断を行う

脆弱性診断は実施して終わりではなく、検知された脆弱性を修正しなければセキュリティリスクは回避できません。そのため、診断結果を受けて対策を講じた場合は、改めて診断を行い、脆弱性が本当に改善されたかを確認することが重要です。

最適な脆弱性診断ツールでセキュリティリスクを低減 

脆弱性診断ツールを選定する際は、まず自社が診断したい対象システムに適用できるかを確認し、目的に合った機能・サービスが用意されているものを選びましょう。診断結果のレポートのわかりやすさやサポート体制を比較検討することも、効果的な運用実現欠かせないポイントです。

脆弱性診断ツール 7選

1.SECURE-AID

(参照元:https://www.rworks.jp/security/vulnerability/secure-aid/)

サービス名

SECURE-AID

キャッチフレーズ

法人向けセキュリティパッケージ

サービス概要

システムは、コンテンツの更新、利用ソフトウエアのアップデートなどで、次々と変化します。セキュリティ対策はワンショットではなく、継続的に運用として実施していくことが重要です。
SECURE-AIDは、システムインフラの脆弱性診断・分析・脆弱性の解消をワンストップで提供します。

【特長】
・月額1,000円で診断できる
・お客様環境に合わせた分析レポート
・脆弱性の解消をプロが代行

(参照元:株式会社アールワークス (阪急阪神東宝グループ) HP)

向いてる形態

BtoB/BtoC

機能一覧

・脆弱性診断
・脆弱性診断結果の分析
・脆弱性解消の代行

価格

・脆弱性診断(年間契約)  1,000円 / 1FQDN・月額
・脆弱性分析(SPOT契約)  198,000円 / 1回
・脆弱性分析(年間契約)  40,700円 / 年12回まで・月額
・脆弱性 診断・分析パック(SPOT契約)  223,000円 / 1FQDN・1回
・脆弱性分析 報告会(SPOT契約)  65,000円 / 1FQDN・1回
・脆弱性対応(SPOT契約)  264,000円 / から・1回

運営企業

株式会社アールワークス (阪急阪神東宝グループ)

サービス詳細

SECURE-AIDの詳細を見る

 

2.ネットワークセキュリティ診断アドバンスサービス

(参照元:https://belue-c.jp/nwadvance-2/)

サービス名

ネットワークセキュリティ診断アドバンスサービス

キャッチフレーズ

ネットワークセキュリティ診断 アドバンスサービス

サービス概要

『ネットワークセキュリティ診断アドバンスサービス』とは、セキュリティエンジニアが攻撃者の視点で対象システムの
OSやミドルウェアのサービスまたはWebアプリケーションサービスに内在する
情報セキュリティ上の欠陥(既知脆弱性)を診断します。
リモートでもオンサイトでも実施が可能です。

【特長】
・従来の脆弱性診断(ネットワーク、Webアプリケーション)に加え、検出が困難なミドルウェアサービス
(インストールパッケージ)に対して診断を実施します。
これにより、ネットワーク経由で検出が困難な脆弱性も洗い出します。

(参照元:株式会社ベルウクリエイティブホームページ)

向いてる形態

BtoB/BtoC

価格

・価格はお問合せください

運営企業

株式会社ベルウクリエイティブ

サービス詳細

ネットワークセキュリティ診断アドバンスサービスの詳細を見る

 

3.SCT SECURE セキュリティ診断

(参照元:https://www.sct.co.jp/business/product/001559.shtml)

サービス名

SCT SECURE セキュリティ診断

キャッチフレーズ

専門の診断士が手動で診断いたします

サービス概要

≪SCT SECURE セキュリティ診断~プラットフォーム診断、Webアプリ診断など各種診断に対応≫
プラットフォーム診断、Webアプリケーション診断に加えて、各ペネトレーション診断も対応可能です。
一例として、様々な作りのWebサイトにも、経験豊富な診断士がお客様のWebサイトに合った方法で丁寧に検査を行います。また、ツールだけでは難しい完了処理にも対応いたしますので、ツール診断よりもさらに深く診断することができます。
【特徴】
・ 要件確認をシンプルに。
・ニーズに合わせた診断のカスタマイズ。
・充実したレポート。
(参照元:三和コムテック株式会社 HP)

向いてる形態

BtoB/BtoC

機能一覧

・セキュリティ診断

価格

・都度見積となります。  価格はお問合せください

運営企業

三和コムテック株式会社

サービス詳細

SCT SECURE セキュリティ診断の詳細を見る

 

4.セキュリティ診断ツール(セキュドック)

(参照元:https://www.it-serve.co.jp/services/secudoc.htm)

サービス名

セキュリティ診断ツール(セキュドック)

キャッチフレーズ

セキュリティ診断ツール(セキュドック)

サービス概要

セキュドックは、簡単に使えるホスト型セキュリティ診断ツールです。
管理者の視点でマシンの内側からセキュリティを診断するため、OSの詳細情報(アカウントの状況、脆弱なパスワード、
パッチ適応状況など)を高速に診断し、日本語でわかりやすいレポートが自動作成されます。
「情報セキュリティ監査」はもちろん、セキュリティ知識や意識の向上にも大きく役立ちます。
セキュリティに対する高度な知識のない方でも、セキュドックのアシストによって、
セキュリティの維持・向上、管理における効率アップをはかることができます。

(参照元:東芝ITサービス株式会社ホームページ)

向いてる形態

BtoB/BtoC

価格

・価格はお問合せください

運営企業

東芝ITサービス株式会社

サービス詳細

セキュリティ診断ツール(セキュドック)の詳細を見る

 

5.VAddy

(参照元:https://vaddy.net/ja/)

サービス名

VAddy

キャッチフレーズ

手軽で高速なクラウド型Web脆弱性診断ツール

サービス概要

手軽で高速なクラウド型Web脆弱性診断ツールです。
VAddyは、開発現場に浸透するセキュリティツールを目指し、従来の製品とは異なる視点・思想で開発しています。
私たちは、セキュリティテストにおいて機械化できるところを機械化して煩雑な設定を無くし、
誰でも使えるレベルのツールとなることを目指しました。
VAddyの検査では、リスクが低いものや攻撃頻度が低いパターンの検査項目を減らし、
日々の検査で必ず検査すべきリスクの高い検査項目に限定しています。

【特長】
・ユーザフレンドリー
・高速
・自動化

(参照元:株式会社ビットフォレストホームページ)

向いてる形態

BtoB/BtoC

機能一覧

・開発現場に浸透するセキュリティテストツール
・レポート
・検査レポートダウンロード
・自動化で意識せずにセキュリティレベルを保つ
・チームで使える
・組織管理機能が管理者の負担を大幅に軽減

価格

・価格はお問合せください

運営企業

株式会社ビットフォレスト

サービス詳細

VAddyの詳細を見る

 

6.セキュリティ診断サービス

(参照元:https://www.anet.co.jp/security/cyber_security/shindan.html)

サービス名

セキュリティ診断サービス

キャッチフレーズ

セキュリティ診断サービス

サービス概要

セキュリティ診断サービスは、当社のセキュリティスペシャリストが、実際にハッキングで使われる 技術と
同じ手法を用いてお客様のWebサイトやネットワーク機器へ外部ネットワークから擬似攻撃を行い、
ハッキング 耐性を診断、報告書に纏めお客様にご提出します。

【特長】
・安心
・高品質
・分かりやすさ

(参照元:株式会社アルファネットホームページ)

向いてる形態

BtoB/BtoC

機能一覧

・Webアプリケーション診断
・ネットワークセキュリティ診断

価格

・価格はお問合せください

運営企業

株式会社アルファネット

サービス詳細

セキュリティ診断サービスの詳細を見る

 

7.SQAT®クラウドセキュリティ設定診断サービス

(参照元:https://www.bbsec.co.jp/lp/cloudsecurity/index.html)

サービス名

SQAT®クラウドセキュリティ設定診断サービス

キャッチフレーズ

SQAT®クラウドセキュリティ設定診断サービス

サービス概要

BBSecは、独立系のトータルセキュリティサービスプロバイダーです。
ソリューションが自社に限られるメーカー系では対応できない、
お客様のご要望にピンポイントで対応できるサービスメニューをご用意しております。
セキュリティコンサルティング(セキュリティアドバイザリー)やマネージドセキュリティ(SIEM 導入・SOC)を
はじめとする包括的なラインナップで、診断後あらたに取り組まれる課題に対しても、
ワンストップの体制でサポートさせていただきます。

(参照元:株式会社ブロードバンドセキュリティホームページ)

向いてる形態

BtoB/BtoC

価格

・価格はお問合せください

運営企業

株式会社ブロードバンドセキュリティ

サービス詳細

SQAT®クラウドセキュリティ設定診断サービスの詳細を見る