サイバー攻撃が増加・巧妙化する昨今、ソフトウェアに対するセキュリティ対策の重要性は高まっています。
有効なセキュリティ対策を行うためには、まずソフトウェアに潜むリスクの把握が欠かせません。その際に有効なものが「脆弱性診断ツール」です。
今回は、脆弱性診断の方法や無料サービスを含むおすすめの脆弱性診断ツールを紹介します。脆弱性診断ツールを比較する際のポイントもお伝えするため、ぜひ参考にしてみてください。
- もくじ
1.代表的な脆弱性診断(セキュリティ診断)と注意事項
脆弱性診断と一口に言っても、対象や項目など診断の種類は様々です。ここでは代表的な診断を2つ挙げます。
1つは「Webアプリケーション診断」、もう1つは「プラットフォーム診断」です。
1-1 Webアプリケーション診断
Webアプリケーション診断とは、アプリやサイトそのものの脆弱性を診断することです。
Webアプリケーションに脆弱性があると、その構造の弱さにつけ込まれて大事な顧客情報を抜き取られるとか、アプリ・サイト上の情報を書き換えられてしまう場合があります。
このような事態を引き起こす代表的なサイバー攻撃の手法としては、SQLインジェクションや、クロスサイトスクリプティング、セッションハイジャックなどがあります。
これらの被害を未然に防ぐために、典型的なサイバー攻撃をそれぞれ擬似的に発生させ、対応できているのかを確認するのが主な診断方法となります。
ただし、WebアプリケーションやWebサイトの構造に合った診断内容になっていなければ、対策が不十分な場合もあります。上記のようなサイバー攻撃からWebアプリ・Webサイトを守るためには、サイトやアプリの設計・構造の理解が必要で、内部の仕組みに合わせた診断方法を都度選び取っていくのが良いでしょう。
1-2 プラットフォーム診断
プラットフォーム診断とは、ミドルウェア、サーバー、ネットワーク、OSなどの脆弱性を診断することです。
例えば、社内のファイル管理サーバーやメールサーバーなどに、外部もしくは内部から悪意を持ったユーザーが侵入してしまうと、重要情報の流出や情報の改ざんが行われる危険性があります。これを未然に防ぐのがプラットフォーム診断です。
現在はファイアウォールの普及により一定のサイバー攻撃は防げる状態になっていますが、設定ミスがあったり、ファイアウォールが機能しないアクセスを許可された端末からの侵入があると、攻撃を防ぐことができません。
プラットフォーム診断では、このようなプラットフォームの性質から起こる脆弱性を2つのアプローチで対策します。
1つは外部からの攻撃を想定してインターネット経由で 診断する「リモート診断」で、もう1つは悪意のある内部のユーザーからの攻撃を想定した内部セグメントから診断する「オンサイト診断」です。
このような異なる側面から、侵入手段の再現やアクセス可否、実際の被害の影響度の測定などを行なっていくのが良いでしょう。
>脆弱性診断とは何かを詳しく知りたい人は、次の記事を参考にしてください。
2.脆弱性診断の2つの手法
脆弱性診断は、その実施方法によってまた2つに大別されます。これは、手動で行う「手動診断」と専用のツールを用いて行う「ツール診断」です。
どちらもメリット・デメリットがありますので、状況とテストの目的によってうまく使い分けるのが良いでしょう。
2-1 手動診断とは
手動による脆弱性診断では、プログラムや設定ファイルなどをセキュリティの観点から人力で調査します。
手動診断は、実際にサイバー攻撃をする人間が行う手順を擬似的に再現する、という観点で最も効果が高い方法だと言えます。
サイバー攻撃の背景には常に悪質なハッカーがおり、彼らは知識とノウハウを活用してあらゆる攻撃を仕掛けてくる可能性があります。
そこで、手動で想定した攻撃方法を柔軟に再現でき、怪しい箇所をその場の状況を考慮して柔軟に調査できる手動診断は、診断の品質が高い傾向にあります。
しかし一方で、手動診断はセキュリティの知識・経験を持った人材を登用し、ある程度時間をかけて実施する必要があります。
工数や人材の確保ができなければ実施できない上、人に依存するので人的ミスで誤診断が起こる可能性もあります。
2-2 ツール診断とは
ツール診断では、ツールに組み込まれたプログラムによって脆弱性をチェックします。
診断ツールはあらかじめ決まった内容を網羅的・高速で実施することができるので、総じてコストが安く実施難易度も低い傾向にあります。人に依存しないので、夜間実行や定期実行することでツールが保証する内容を長期的かつ確実に保証することができます。
また、手動による脆弱性診断で発生しやすい人的ミスも抑制できます。
一方で、ツールは比較的浅い調査を網羅的に行うという性質があるため、より複雑な脆弱性は見逃してしまう可能性もあります。決まった項目を機械的に確認するので、例えば複数の脆弱性が重なった結果発生しうる被害を検知できないこともあるでしょう。ツールならではの誤検知が発生しやすい点にも注意が必要です。
また、種類によりますが、ツール自体が高額なケースもあります。長期的な運用と費用対効果は常に考慮してツールの導入を決定するのが必須と言えます。
3.無料で利用できる脆弱性診断ツール3選
脆弱性診断ツールとは、ソフトウェアに潜む脆弱性(セキュリティ上の弱み)を機械的に診断するツールのことです。あらゆるソフトウェアには脆弱性が少なからず存在し、それがサイバー攻撃のターゲットにされかねません。
たとえば、数万行のソースコードに1行の不備があっただけでも、それが不正侵入や情報漏洩のきっかけとなる場合があります。こうした脆弱性を見逃すことがないよう、独自の診断項目でソフトウェアをチェックするのが脆弱性診断ツールです。
コストを抑えたい企業には、無料で利用できる脆弱性診断ツールがおすすめです。無料の脆弱性診断ツールは多くありますが、なかでもおすすめなツールを3つ厳選して紹介します。
料金や診断対象、診断項目を比較しながら、自社に合ったサービスを選びましょう。(2024年4月時点での情報にもとづいて記載しています。)
3-1 サイバー攻撃自動診断
出典:サイバー攻撃自動診断
料金 | 無料利用可 |
---|---|
診断対象 | Webアプリ・サイト |
診断項目数 | 6,000項目以上 |
種類 | クラウド型 |
「サイバー攻撃自動診断」は、バルテス株式会社が提供する、Webアプリ向けの脆弱性診断ツールです。Webからの簡単な申し込みで、必要な時に何度でも診断できるようになる手軽さが強みといえます。
無料ながら6,000項目を超える診断項目があり、主要な脆弱性をカバーできます。手軽に高品質な脆弱性診断を実施したい企業におすすめです。
3-2 Vuls
出典:Vuls
料金 | 無料利用可 |
---|---|
診断対象 | インストールされたソフトウェア |
診断項目数 | 要お問い合わせ |
種類 | インストール型 |
「Vuls」は、フューチャー株式会社が提供する、脆弱性診断ツールです。オープンソース(プログラムが公開されている)なソフトウェアであり、企業の目的に合わせて柔軟に運用できる強みがあります。
脆弱性データベースにより、サーバーにインストールされたソフトウェアや、ネットワーク接続されたハードウェアなどの脆弱性を診断可能です。ただし、サービスを利用するためには、OSやミドルウェア、ネットワークなどの専門知識が必要となります。
3-3 OpenVAS
出典:OpenVAS
料金 | 無料利用可 |
---|---|
診断対象 | インストールされたソフトウェア |
診断項目数 | 4万5,000項目以上 |
種類 | インストール型 |
「OpenVAS」は、ドイツのGreenbone社によって開発された脆弱性診断ツールです。こちらもオープンソースソフトウェアであり、企業の目的に合わせて運用できます。
4万5,000を超える豊富な診断項目が強みで、システムのサーバーに潜む脆弱性を広範に検出可能です。ただし、利用にはOSやミドルウェア、ネットワークなどの専門知識が必要となります。
4.精度が高い有料の脆弱性診断ツール8選
ここでは、有料の脆弱性診断ツールを8つ紹介します。高品質なサービスであるため、精度の高い診断結果や手厚いサポートを求める企業におすすめです。
4-1 脆弱性診断
出典:レイ・イージス・ジャパン
料金 | 20万円~※診断対象による |
---|---|
診断対象 | Webアプリ・サイト/モバイルアプリ/サーバー/IoT機器など |
診断項目数 | 要お問い合わせ |
種類 | 手動・ツールの併用 |
株式会社レイ・イージス・ジャパンは、幅広いソフトウェアやハードウェアを対象とした脆弱性診断サービスを提供しています。独自のAIを活用した高精度な診断が強みです。同社の診断員が手動診断との併用で実施してくれるため、ツールの扱いに慣れていない人でも安心です。
4-2 Vex
出典:Vex
料金 | 要お問い合わせ |
---|---|
診断対象 | Webアプリ・サイト |
診断項目数 | 要お問い合わせ |
種類 | インストール型 |
「Vex」は、株式会社ユービーセキュアが提供する、Webアプリ向けの脆弱性診断ツールです。
純国産であり、日本語のわかりやすいレポートで結果を確認できます。使い方のトレーニングや導入支援など、サポート体制も充実しています。
重要度の高い脆弱性に対しては、緊急リリースが行われるため、最新の脆弱性に素早く対応可能です。
4-3 AeyeScan
出典:AeyeScan
料金 | 要お問い合わせ |
---|---|
診断対象 | Webアプリ・サイト |
診断項目数 | 要お問い合わせ |
種類 | クラウド型 |
「AeyeScan(エーアイスキャン)」は、株式会社エーアイセキュリティラボが提供する、Webアプリ向けの脆弱性診断ツールです。
AIを活用した自動化機能が充実しています。特に、AIが診断用のテストシナリオを自動生成し、Webアプリの挙動をアクティブに診断してくれるのが強みです。
4-4 セキュリティ診断
出典:NRIセキュア
料金 | 要お問い合わせ |
---|---|
診断対象 | Webアプリ・サイト/モバイルアプリ/プラットフォームなど |
診断項目数 | 要お問い合わせ |
種類 | 手動・ツールの併用 |
NRIセキュアテクノロジーズ株式会社は、幅広いソフトウェア・ハードウェアの脆弱性診断サービスを提供しています。
高度なセキュリティ資格の保有者が多数在籍しており、手動による脆弱性診断と併用した高品質なサービスが強みです。インターネットを介した外部からの脅威だけでなく、社内で生じる脅威についても診断できます。
4-5 Web Doctor
出典:Web Doctor
料金 | 30万円~ |
---|---|
診断対象 | Webアプリ・サイト |
診断項目数 | 要お問い合わせ |
種類 | クラウド型 |
「Web Doctor」は、日本RA株式会社が提供する、Webサイト向けの脆弱性診断ツールです。
インターネット経由でツールが疑似的な攻撃を試み、さまざまな不正侵入のリスクを検出してくれます。同社スタッフが診断を実施するため、利用者がツールを操作する必要はありません。診断の実施から3~5日程度と短期間でレポートを受け取れます。
4-6 AppScan
出典:AppScan
料金 | 要お問い合わせ |
---|---|
診断対象 | Webアプリ・サイト |
診断項目数 | 要お問い合わせ |
種類 | インストール型 |
「AppScan」は、テクマトリックス株式会社が提供する、Webアプリ向けの脆弱性診断ツールです。
専用の画面(ウィザード形式)を用いて細かい設定を行えます。診断の結果画面では、脆弱性の内容ではなく、修正方法をベースに内容を確認できるため、開発者は迅速に修正を行えるでしょう。
4-7 VAddy
出典:VAddy
料金 | 月額1万9,000円~ |
---|---|
診断対象 | Webアプリ・サイト |
診断項目数 | 5~17項目 |
種類 | クラウド型 |
「VAddy」は、株式会社ビットフォレストが提供する、Webアプリ向けの脆弱性診断ツールです。
1万9,800円~と、リーズナブルな月額料金で手軽に利用できます。診断項目を主要な脅威のみに絞っており、安易に設定と結果の確認が可能です。
利用期間中は、毎日診断を実施できるので、脆弱性の早期発見につながり、即時に修復の対応ができるでしょう。
4-8 Syhunt Mobile
料金 | 要お問い合わせ |
---|---|
診断対象 | モバイルアプリ |
診断項目数 | 300項目以上 |
種類 | インストール型 |
「Syhunt Mobile」は、ブラジルのSyhunt(シハント)社が提供する、モバイルアプリ向けの脆弱性診断ツールです。
各モバイルOS(iOS・Android)における脆弱性診断に対応しており、幅広い診断項目をカバーしています。脆弱性の検出精度も高いことから、主に海外で利用されています。
5.脆弱性診断ツール選びで失敗しないための比較ポイント
ご紹介したように非常に多くの脆弱性診断ツールがあり、「1つのサービスに決められない」という人も多いのではないでしょうか。ここでは、脆弱性診断ツール選びで失敗しないための比較ポイントを3つ紹介します。
5-1 予算や期待効果に見合った料金か
予算や期待効果に見立った料金かをチェックしましょう。脆弱性診断ツールは、無料なものから数十万円かかるものまでさまざまです。
高価なものほど、機能が豊富で診断の精度が高いとは限りません。限られた予算に収まる料金のなかで、より効果が期待できるサービスを選びましょう。
5-2 クラウド型かインストール型か
脆弱性診断ツールには、主に「クラウド型」と「インストール型」があります。クラウド型は、インターネット経由で使える手軽さが強みです。
インストール型は、導入の手間が生じるものの、自社向けのカスタマイズがしやすい点が強みといえます。自社に合ったタイプの脆弱性診断ツールを選びましょう。
5-3 サポート体制は充実しているか
サポート体制が充実しているかをチェックすることも失敗しないためのポイントです。
導入支援のサポートがあると、セキュリティの知識や経験がない場合でも安心できます。また、定期的・高頻度なアップデートが行われているサービスであれば、新しい脆弱性にも対応できるでしょう。「ツールだけでは不安」という人は、手動の診断と組み合わせたサービスがおすすめです。
6.脆弱性診断ツールを活用する際の注意点
脆弱性診断ツールでチェックできる診断項目には、限りがあるため、注意が必要です。
たとえば、ソフトウェアの運用体制をチェックしたい場合、アナログなIT資産の管理方法といった目視を含む確認や運用担当者からのヒアリングなども必要となるケースがあります。
こうした診断にはツールがアクセスできない要素も多いため、手動の診断も組み合わせなければ難しいでしょう。
脆弱性診断を手軽に行えるのは魅力的ですが、ツールに頼り過ぎるのはNGです。
より広範に・より確実に脆弱性を検出したい場合は、手動とツールを組み合わせた脆弱性診断サービスが有力です。
たとえば、バルテス株式会社の脆弱性診断サービスでは、セキュリティのプロがツールを併用しながら脆弱性診断を実施します。
プロの信頼性とツールの効率性を両立できるサービスを活用してみるのもよいでしょう。
まとめ
今回の記事では、セキュリティや脆弱性を診断する方法と診断ツールについてご紹介しました。
セキュリティ診断を行う対象とその手法によって大きく大別できるセキュリティ診断手法ですが、どの手法を選ぶかは診断対象のWebシステムや企業内で抱える課題にもよります。
セキュリティ診断を導入して解決したい課題や導入する目的を再認識し、適切なツールや手法を導入するのが良いでしょう。その際に、便利なツールが存在することを知っておき、自動化をうまく活用してコスト削減・品質向上を賢く行なっていくことがキーポイントになります。
脆弱性診断ツールによって料金や診断対象、診断項目などはさまざまです。今回は、無料のものから有料なものまで紹介しましたが、料金だけで選ばず、サービス内容を比較しながら自社に合ったサービスを選びましょう。