企業におけるセキュリティ対策は、今後ますます義務化が進んでいくと考えられています。
Securify Scanは自社のプロダクトに対して、手軽な脆弱性診断の実施を可能にします。
脆弱性(ぜいじゃくせい)とは
脆弱性とはパソコンのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因で発生するセキュリティの欠陥です。脆弱性は「セキュリティホール」とも呼ばれ、残ったままにしておくとウィルス感染の危険性や、不正アクセスの原因に繋がります。
脆弱性は、多くの場合ソフトウェアなどの開発メーカーが提供する更新プログラムで対策されますが、毎日のように次々と新しい脆弱性が発見されていることも事実です。何もしないまま身を守り切るのは困難といえるでしょう。
こうしたリスクにあふれているインターネットの環境からサービスを守るためには、脆弱性診断ツールは欠かせないものとなっています。
脆弱性診断ツールが必要な理由
脆弱性診断ツールを導入することによって、なりすましや情報漏洩などの情報セキュリティリスクを抑制しつつ、顧客の信頼を獲得しやすくなります。サイバー攻撃をおこなう悪意ある第三者より先に脆弱性を検出できれば、事前の対策を実現でき、企業機密や個人情報を防止できます。
一度でも情報セキュリティの事故が発生すれば、対応や復旧に費用や時間がかかり、顧客からの信頼を失うことになります。会社の今後を左右する事態にもなりかねないため、脆弱性診断ツールの利用は欠かせないものといえるでしょう。
脆弱性診断をおこなうべきタイミング
脆弱性診断は会社の事業にとって重要なタイミングでの実施が重要です。攻撃者の手段の変化や、コンピューターウイルスの進化など、脆弱性の原因は日々変化を続けているため、継続的な対策が求められます。脆弱性診断ツールを利用し、対策をおこなえば今後一切の情報セキュリティリスクを恐れずに済むというわけにはいきません。
次のようなタイミングで、脆弱性診断ツールの利用を検討しましょう。
- アプリケーションを新開発し、リリース直前である
- 提供中のWebサービスのセキュリティに不安がある
- アプリやサービスの拡張に伴い、セキュリティレベルを上げたい
他にも、定期的に脆弱性診断をおこなうことでもセキュリティ性を維持できます。季節や事業の節目で脆弱性診断ツールを利用することもおすすめです。
脆弱性診断ツールの種類
脆弱性診断ツールには、大きく分けてWebアプリケーション診断と、プラットフォーム診断の2種類があります。それぞれの詳細を解説します。
Webアプリケーション診断
Webアプリケーション診断では、Webアプリケーション(ソフトウェア)やスマートフォンアプリの脆弱性を診断します。主に顧客の重要情報を扱うECサイトや、スマホアプリを運営する企業においては必須の検査方法です。
アプリケーション診断では次の5つの診断がを実施されます。
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
- コマンドインジェクション
- パラメーター改ざん
- セッション・フィクセーション
これらの診断では、個人情報の盗難や、DoS攻撃(サーバーやネットワークに大量アクセスや膨大なデータを送りつけ、サービスに支障が出るほどの負荷をかけるサイバー攻撃)に対する脆弱性、データベースやスクリプトの不正操作や、非公開領域の不正アクセスのリスクをチェックできます。
プラットフォーム診断
プラットフォーム診断では、OSやサーバー、ミドルウェアなどの脆弱性を診断します。プラットフォーム診断の実施により、外部や内部から悪意を持ったユーザーによる情報流出や改ざんが行われる危険を減らすことができます。
また、プラットフォーム診断にはリモート診断とオンサイト診断の2種類があります。リモート診断は外部からの攻撃を想定してインターネット経由で診断する方法で、オンサイト診断は悪意ある内部ユーザーからの攻撃を指定して診断する方法となっています。
一般的には、この2つの診断方法は併用され、高精度の脆弱性診断を実現しています。診断内容には、5つの項目が挙げられます。
- ホスト情報収集
- 脆弱性検査
- アカウント検査
- サービス設定検査
- ポートスキャン
これらの項目の診断によって、動作しているOSやアプリケーションのデータ欠損や、サーバー設定の不備、アカウント・パスワードの安全性のチェックがおこなわれます。
脆弱性診断ツールを選ぶポイント
脆弱性診断ツールを選ぶときには、次のようなことに注目しながら選ぶようにしましょう。
- 診断方法で選ぶ
- レポートは読みやすいか
- 診断後の対応に注目する
- 料金は適正価格か
これらの要素を踏まえたうえで脆弱性診断ツールを比較すると、より自社のニーズに沿ったものを選びやすくなります。それぞれの詳細を詳しく解説していきます。
診断方法で選ぶ
脆弱性診断は次の2つの方法を使って診断します。
- 自動診断
- 手動診断
自動診断は「自動化されたツールを通して」の診断になるため、診断できない部分が発生したり、過剰反応による誤検知が発生する可能性があります。無料の診断ツールで利用できるものの多くは、このツール診断となっています。
手動診断はプロのセキュリティ診断士による診断なので、ほとんどミスなく検知されます。診断結果に時間はかかりますが、精度が高く、ツール診断では検知できない複雑な欠陥も診断できます。
平常運用では自動診断をおこない、大規模なサービスやイベント前といった重要なタイミングでは手動診断を利用する、といったケースごとの運用をおこなうとより効率的なセキュリティ対策が実施できます。
レポートは読みやすいか
脆弱性診断ツールによる診断結果のレポートが、わかりやすく具体的な改善策に繋がる内容なのかどうかも重要な要素です。自社での運用を想定し、分かりやすい表現でレポートをおこなってくれるツールを選びましょう。
また、レポート結果のスピードを重視する場合には速報機能があるかどうかもチェックが必要です。適切な日本語化がおこなわれていないツールも存在しているため、機能面の充実度以外の要素にも注目しましょう。
3.診断後の対応に注目する
脆弱性は診断したら終了ではなく、今後の対策が非常に重要です。フィードバックの有無や内容の詳細さのレベルなどを確認しておきましょう。
脆弱性診断ツールの使用後に、セキュリティ分野のプロフェッショナルから適切なアドバイスを提供してもらえる場合もあります。自社のセキュリティ方針に関して、プロの意見を聞きたい場合には、こうしたアフターフォローが充実度を比較して脆弱性診断ツールを選ぶことが大切です。
4.料金は適正価格か
脆弱性診断ツールには、無料提供されているものと商品として販売されている有料のものがあります。自社での導入で、適切な費用対効果が得られるかどうかを検討しましょう。
有料ツールが料金に見合ったものかどうかを判断する場合には、診断の内容だけでなく、レポートや再診断、報告会の有無なども含めて、複数のツールを比較しましょう。再診断に備えたい場合には、無料再診断がサービスに含まれるツールを選ぶなど、ニーズに応じた選択が必要です。
参考:知らなきゃ損する! 脆弱性診断の費用 を抑えるコツ|Dr.セキュリティ
【kyozon編集部おすすめ】脆弱性診断の人気ツール
数ある脆弱性診断ツールの中から、編集部がピックアップした人気の商品2つをピックアップして紹介します。
- Securify Scan(セキュリファイ スキャン)
- secuas(セキュアズ)
それぞれの詳細を解説していきます。自社に合ったツールを見つけたら、まずは資料請求をおこなってみましょう。
【自社でスムーズな診断】Securify Scan
| 内容 | |
| 提供会社 | 株式会社スリーシェイク |
| 価格・プラン |
|
| 無料トライアル | 〇あり |
| 主な特徴 |
|
Securify Scan(セキュリファイ スキャン)は、自社で簡単かつ素早く脆弱性診断と対応をおこなえるWebアプリケーション診断ツールです。URLを登録するだけで診断がおこなえるシンプルさが最大の特徴です。
診断結果はレポートで出力され、SlackやMicrosoft Teamsなどのコミュニケーションツール、またはメールで開発チームに共有されます。レポートには脆弱性の背景や修正方法も記載され、シームレスな対応を実現します。
誰にでも操作できる簡単さと機能の充実さ・正確さを両立しているため運用の難易度は低く、外部のセキュリティベンダーに依頼するよりも素早く課題解決のサイクルを回すことができるでしょう。
- 業種:メーカー / 製造系
- 会社名:回答なし
- 従業員規模:5000人以上
- 部署:広報・PR部門
- 役職:部長・課長クラス
- 業種:IT / 通信 / インターネット系
- 会社名:回答なし
- 従業員規模:2〜10人
- 部署:情報システム部門
- 役職:契約・派遣・委託
【継続型の脆弱性診断・監視サービス】secuas(セキュアズ)
| 内容 | |
| 提供会社 | 有限会社アズリアル |
| 価格・プラン |
※月額/年間契約 |
| 無料トライアル | 〇あり |
| 主な特徴 |
|
secuas(セキュアズ)は、Webサイトに潜む脆弱性を1日1回継続的に監視・診断してくれるWebアプリケーション診断ツールです。診断は毎日おこなわれますが、アクセス数が減少する深夜に実施されるため、サイトにかかる負荷は最小限化されています。
発見された脆弱性は即時検知・通知されるため、トラブルに発展する前に対策が可能です。夜間にチェックし、翌日の朝に対応というスピード感のあるセキュリティ体制の構築に役立ちます。
検査項目は150以上と極めて豊富で、世界的なセキュリティ脅威基準のOWASP TOP10にも対応しており、深刻な問題をもたらす可能性のある脆弱性にも的確に対応をおこなうことができるでしょう。
脆弱性診断ツール19選
ここでは先述した診断ツールを選ぶポイントをもとに、おすすめの診断ツールを19個紹介します。
- グローバルセキュリティエキスパート株式会社(GSX)
- 株式会社セキュアスカイ・テクノロジー(SST)
- 株式会社セキュアイノベーション
- 株式会社セキュアブレイン
- ABURIDA
- Lac セキュリティ診断
- NRIセキュアテクノロジーズ株式会社
- SiteLock
- Vex
- Asgent(アズジェント)
- V-threat
- SCT SECURE クラウドスキャン
- RayAegis(レイ・イージス)セキュリティ診断サービス
- セキュリティブランケットシリーズ
- OWASP ZAP
- ReCoVAS
- 株式会社日立ソリューションズ・クリエイト
- バックドア検証サービス
- 株式会社アルファネット
それぞれの詳細を順番にみていきましょう。
グローバルセキュリティエキスパート株式会社(GSX)
GSXはサイバーセキュリティの構築や、ルール作りを支援している企業です。
サイバーセキュリティに特化した会社であり、脆弱性診断の実施やセキュリティコンサルティングサービスを提供しています。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・文書パッケージ・情報セキュリティルール策定支援パッケージ |
料金 | 33万円(税込) |
公式サイト |
株式会社セキュアスカイ・テクノロジー(SST)
SSTはWebアプリケーションの開発や、運用などのセキュリティサービスを提供しています。
脆弱性診断サービスにきめ細かく対応しているので、最新のセキュリティ対策を実施し、安全に自社サイトを運用できるようになるでしょう。診断報告書も日本語のためわかりやすく、改善に役立つツールです。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・ブロック機能 |
料金 | ・エキスパート診断:128万円 |
公式サイト |
株式会社セキュアイノベーション
株式会社セキュアイノベーションは経産省「情報セキュリティサービス基準」の登録事業者であり、信頼性の高い脆弱性診断サービスを提供しています。
対応するスタッフは全員「認定脆弱性診断士」の資格を保有しているため、安心して任せられるでしょう。また、脆弱性を発見した場合は、対処方法も具体的にレポートに記載してもらえるので改善へつなげられます。
診断内容 | ・疑似攻撃 |
サービス内容や機能 | ・ツール診断と手動診断 |
料金 | 要問い合わせ |
公式サイト |
株式会社セキュアブレイン
株式会社セキュアブレインは、インターネット用のセキュリティ製品を開発・研究・販売する企業です。「ネット犯罪からすべての人を守る」をミッションにしており、安心安全なWebサービス運営に必要なセキュリティを提供しています。
診断内容 | ・ITインフラ診断 |
サービス内容や機能 | ・Web改ざん対策 |
料金 | 要問い合わせ |
公式サイト |
ABURIDA
ABURIDAでは、ベテラン診断士によるツールと手動診断の併用によって、高い検出率を実現しています。ツールでは検出できない脆弱性も人力で検出することで、高精度な脆弱性診断を実現しています。
診断内容 | ・疑似攻撃 |
サービス内容や機能 | ・報告書提出 |
料金 | 価格はすべて税込です。 ・お試しプラン:9万円 |
公式サイト |
Lac セキュリティ診断
Lac セキュリティ診断では、熟練のエンジニアが最新の知識とノウハウで実施する脆弱性診断を受けることができます。
診断結果では、報告書にまとめられ、脆弱性を評価し改善点を明示します。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・金融犯罪対策コンサルティング |
料金 | 要問い合わせ |
公式サイト |
NRIセキュアテクノロジーズ株式会社
NRIセキュアテクノロジーズ株式会社は、野村総合研究所グループのサイバーセキュリティ専門企業です。同社ではIT関係の脆弱性診断ツールを提供しています。
Webアプリケーションのセキュリティ上の問題を素早く発見し、適切な対策を支援できます。また、大手金融機関での運用実績も豊富です。
診断内容 | ・セキュリティ診断 |
サービス内容や機能 | ・セキュリティ対策 |
料金 | 要問い合わせ |
公式サイト |
SiteLock
SiteLockは、国内外でおよそ1200万ものサイトが導入している実績豊富な脆弱性診断ツールです。
Webサイトの脆弱性を診断し、異常が見つかった場合は自動的にマルウェアを駆除します。WordPressにも対応していることも特徴の一つです。初期費用は発生せず、月額料金を支払うことでサービスを受けられるため、比較的安価な脆弱性診断ツールといえるでしょう。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・マルウェア検知 |
料金 | ・エントリー:4,620円 |
公式サイト |
Vex
Vexは純国産のWebアプリケーション脆弱性検査ツールです。独自のアルゴリズムにより、高い検知率を実現しています。
Vexが発行しているレポートは、日本語はもちろん英語にも対応しているため、報告先が海外などのケースにおいても役立ちます。
診断内容 | ・手動診断 |
サービス内容や機能 | ・自動テストシナリオ |
料金 | 要問い合わせ |
公式サイト |
Asgent(アズジェント)
Asgentは、ネットワークセキュリティ機器の選定や導入、運用、監視、コンサルティングなどを提供している企業です。最近では巧妙なサイバー攻撃やフィッシングサイトが登場しており、セキュリティに詳しいスタッフがいない場合の対応は困難です。
しかし、Asgentは高い技術を持ったスペシャリストが、システム導入前から導入後までしっかりサポートするため、本来やるべき仕事に集中でき作業効率も上がります。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・ISOコンサルティング |
料金 | 要問い合わせ |
公式サイト |
V-threat
V-threatは株式会社バルクが提供している脆弱性診断サービスです。AIによる診断が可能であることから世界的に高い評価を得ており、実績数はWebアプリケーションだけで4,000万件を突破しています。費用はWebサイトのボリュームに関係なく1URLごとの一律価格のため安くできます。
診断内容 | ・ツール診断 |
サービス内容や機能 | ・標的型攻撃メール訓練 |
料金 | 要問い合わせ |
公式サイト |
SCT SECURE クラウドスキャン
SCT SECUREは、最新のセキュリティ情報に基づき、定期的に診断するクラウド型のセキュリティサービスです。クラウド型のため、アプリのインストールやハードウェアの設置が不要です。
診断結果で問題なしと判断されたウェブサイトは「安全証明マーク」が提供されます。このマークは最新のセキュリティ診断を受けているとアピールできるため、信頼向上につながります。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・メンテナンス不要(自己管理型) |
料金 | 要問い合わせ |
公式サイト |
RayAegis(レイ・イージス)セキュリティ診断サービス
RayAegisはAIを駆使して脆弱性診断サービスを実施している企業です。
経験豊富なスタッフがハッカーや従業員による不正入手を防ぎます。また、情報セキュリティ資格を取得している専門家も在籍しているため、企業の秘密情報を保護できます。
診断内容 | ・AIリモート脆弱性診断 |
サービス内容や機能 | ・フォレンジングサービス |
料金 | 要問い合わせ |
公式サイト |
セキュリティブランケットシリーズ
セキュリティブランケットシリーズとは、IT環境のセキュリティ運用を強力にサポートするツールです。Saas(サーズ型)で提供しているので、新しい機器や設備を用意する必要がなく、インターネット経由ですべて診断できるのが特徴です。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・標的型メール攻撃診断サービス |
料金 | 要問い合わせ |
公式サイト |
OWASP ZAP
OWASP ZAPは、オープンソースのWebアプリケーション脆弱性診断ツールです。
使いやすいデザイン性を備えており、簡易的な脆弱性診断であれば、URLを入力するだけで実施できます。OWASP ZAPは無料なので、導入するハードルも低くなっています。
診断内容 | ・Webアプリケーション診断 |
サービス内容や機能 | ・サーバー設定 |
料金 | 無料 |
公式サイト |
ReCoVAS
ReCoVASは、レンジフォース株式会社が運用するリモート診断と複数人による手動診断を組み合わせたセキュリティ診断サービスです。
遠隔で脆弱性診断を実施し、検出された脆弱性をレポートにまとめて作成します。また、レンジフォースでは、セキュリティ人材のトレーニングや、セキュリティに関する研究を実施しているため、専門的なスタッフによる診断を受けられます。
診断内容 | ・リモート診断 |
サービス内容や機能 | ・レポート出力 |
料金 | 価格はすべて税別 |
公式サイト |
株式会社日立ソリューションズ・クリエイト
株式会社日立ソリューションズ・クリエイトの脆弱性診断ツールは、ホワイトハッカーによる診断を受けられるため、より実践的かつ詳細な診断結果を得られます。ツールだけでは検出できない脆弱性にも対応できるため、トラブルが発生する前に対策できます。
診断内容 | ・手動診断 |
サービス内容や機能 | ・SSL設定 |
料金 | 要問い合わせ |
公式サイト |
バックドア検証サービス
富士ソフトのバックドア検証サービスは、パソコンやアプリなどの正規ルート以外から侵入する方法を探り当て、未然に対策をおこなうことができます。現在の社内で使用している製品や機器に対して疑似的なハッキングをしかけて脆弱性を検証し、再現性や対策についてのアドバイスを受けられます。
診断内容 | 要問い合せ |
サービス内容や機能 | 要問い合せ |
料金 | 要問い合せ |
公式サイト |
株式会社アルファネット
株式会社アルファネットのセキュリティ診断は、ツールのみでなく手動診断も実施しています。
セキュリティスタッフによる疑似攻撃を仕掛け、より実践的な脆弱性の診断が可能です。また、多数のツールと手法を組み合わせて診断するため、検出漏れを防止できます。
診断内容 | ・プラットフォーム診断 |
サービス内容や機能 | ・標的型メール訓練サービス |
料金 | 要問い合わせ |
公式サイト |
脆弱性診断ツールの導入でよくある疑問
脆弱性診断ツールの導入にあたって、よくある質問や疑問として以下のものがあります。
- 脆弱性診断ツールは自作できる?
- オープンソースの脆弱性診断ツールとは?
- ペネトレーションテストとの違いは?
- ホワイトボックス診断とは?
- 脆弱性診断の頻度は?
- 脆弱性診断の診断期間はどれくらい?
これらについて、それぞれお答えします。
脆弱性診断ツールは自作できる?
開発に必要な時間や手間を考慮するとITセキュリティ分野に造詣の深い会社や部署でなければ困難な選択肢といえるでしょう。
サービスの購入・利用費用こそかかりませんが、ほとんどの企業にとって効果的とはいえない選択肢となります。プログラミングの知識があれば不可能ではありませんが、基本的にはそれなりの時間と人手、専門的なノウハウを要する作業であることを考慮しましょう。
オープンソースの脆弱性診断ツールとは?
無料で利用できる脆弱性診断ツールのことを指しています。
オープンソースとは無償で公開されたソースコードのことを指し、そうしたコードによって構成されたソフトウェアはOSS(オープンソースソフトウェアの略)と呼称されています。OSSは無料で使用できるため、多くのユーザーに使用されています。
オープンソースの脆弱性診断ツールは導入に費用がかからないため、有料のツールよりも費用を抑えてセキュリティ対策を実施することができます。オープンソースを文化的に重視する開発者も多く、最新技術が提供され、高い性能を持つソフトウェアも少なくありません。
しかし、企業のサービスとして提供されているソフトウェアではないことには注意が必要です。問題が発生したら、基本的には自力で対処をおこなうか、開発者コミュニティに助けを求めるしかありません。開発者コミュニティはあくまでボランティアのため、確実なサポートとは言い難いものとなっています。
万が一のサポートに不安がある場合には、OSSは避け、企業がサービスとして提供している脆弱性診断ツールを利用するようにしましょう。
脆弱性診断とペネトレーションテストとの違いは?
ペネトレーションテストは、現実的なサイバー攻撃のシナリオを仮定して、実践的なセキュリティ体制を確認するテストです。
脆弱性診断と同じく、セキュリティレベル向上のための取り組みではありますが、使用される場面が異なります。
ペネトレーションテストの実施例としては、有害サイトへのアクセスやマルウェアを仕込んだリンクを踏んだ場合のシミュレーションが挙げられます。現状のセキュリティシステムはどのように振る舞うのか?どのような脆弱性があるのか?といったポイントを確認できるため、脆弱性診断ツールとは別のアプローチで問題を発見できるでしょう。
脆弱性診断は使用しているシステムの脆弱性やセキュリティの問題点を全体的に把握することに向いているため、異なった強みを持っているといえます。
ホワイトボックス診断とは?
ホワイトボックス診断とは、システムの内部構造に重点を置いた静的なテスト方法です。
一方、動作しているシステムに対するテストをブラックボックス診断と呼びます。
ホワイトボックス診断では、システム内のソースコードなどを網羅的にチェックする際に実施されます。また、プログラムに対してどの程度の範囲でテストを実施するかを決めることも重要です。テスト手法に問題があると、ホワイトボックス診断で見つけられる不具合を見逃してしまうことになります。
脆弱性診断の頻度は?
独立行政法人情報処理推進機構によると、以下の頻度が推奨されています。
- サーバおよび管理端末等で利用しているソフトウェア:随時
- プラットフォーム診断:少なくとも四半期に1 回
- Webアプリケーション診断:新機能の開発・追加時、システム改修時
- Webサイトのアプリケーションやコンテンツ:少なくとも週に1回
- 設定等の重要なファイルの定期的な差分チェック:少なくとも週に1回
- Webサイト改ざん検知ツールによる監視:少なくとも週に1回
これらの頻度を考慮しつつ、脆弱性診断サービスを利用しましょう。
脆弱性診断の診断期間はどれくらい?
脆弱性診断にかかる期間は、サービスや検査項目などによって異なりますが、一般的には約3週間程度になります。
ほとんどの場合、診断後から約1ヶ月のサポートを受けることが可能です。
まとめ
脆弱性診断ツールは、毎日のように新たなウィルスなどが出現する現代において必須レベルのツールといえるでしょう。脆弱性を放置すると、自社のネットワークはもちろん顧客にまで広がる可能性もあります。
Webサイトを安全に保つためには、ツールと手動による診断方法が望ましいといえます。診断後の改善策を具体的に明示してもらえればより効果の高い対策を実施できるため、アフターフォローの内容も含めて最適なツールを選ぶことが大切です。
今回の記事を参考に、自社に最も合った脆弱性診断ツールを選び、セキュリティを強化しておきましょう。
