セキュリティ診断サービス」とは
「セキュリティ診断サービス」とは、ネットワークやサーバー、Webアプリ、OSなどのプラットフォームを対象に脆弱性対策となるサービスです。脆弱性を悪用したサーバー攻撃は終わりなく攻撃を繰り返す傾向があり、企業システムのセキュリティ強化のためには脆弱性対策方法として「セキュリティ診断サービス」によるサポートがリスク回避に役立ちます。
「セキュリティ診断サービス」にはどのようなタイプがある?
Webアプリケーションのセキュリティ診断
Webアプリケーションの脆弱性を診断します。サイバー攻撃の的になりやすいwebアプリケーションには「セキュリティ診断サービス」の導入の必要性が高まっています。データ改ざん、情報漏えい被害を防止するために早めの措置となります。
プラットフォームのセキュリティ診断
内部ネットワークと外部ネットワークの両方からセキュリティ診断することができます。webサイトやメールなどの外部診断する「リモート診断」とPCやデータベースなどの内部診断する「オンサイト診断」があります。
「セキュリティ診断サービス」の選び方は?
・セキュリティを行う対象を決めてザービスを選びましょう。対象によってサービスが異なります。アプリのみの診断で良いのか?総合的な診断が必要なのか?確認することが必要となります。
・診断の方法にはツール診断と手動診断があります。ツール診断は低価格で簡単に導入できるメリットがありますが、セキュリティチェックが弱くなる面があります。手動診断はサービス提供会社のセキュリティ専門担当者が脆弱性を直接診断するので、セキュリティチェックの強化が期待できますが、コスト面ではツール診断よりも高めで導入時間がかかります。
・「セキュリティ診断サービス」で活用できる診断項目は、サービスごとに異なりますので、各サービスの機能についてじっくりと確認すると良いでしょう。
・サービスの価格の違いは、診断基準の上下によって異なってきます。ツール診断であるか専門家の手動による診断であるかによっても価格変動があります。脆弱性の発見を多角的に繰り返し詰めて行う場合にはサービスの価格も高めとなります。
・診断後のレポート提出や対策など、脆弱性発見に対して専門家のアドバイスによるサポートは、大規模なシステム管理には必要となります。管理体制と予算に合わせて、必要なサービスを選ぶと良いでしょう。
「セキュリティ診断サービス」比較検討時の注意点は?
・無料版のツールは、低コストですが導入方法や操作はすべて自分で行う必要があります。
・有料のサービスの場合は、専門のエンジニアによるアドバイスやサポートが受けられますがコストはかかります。
・コスト面での検討と導入時のサポートの有無について考慮し、無料版のツールか有料サービスが選択しましょう。
・費用効果を考えて、必要なサービスを購入しましょう。
・「セキュリティ診断サービス」の結果は、わかりやすい表示の診断レポートであるか確認しましょう。
・セキュリティの問題に対して解決を促してくれる相談サポートのあるサービスを選びましょう。
主要な「セキュリティ診断サービス」の一覧
「Webアプリケーション診断」( 株式会社ラック)
https://www.lac.co.jp/consulting/web-application.html
おすすめ対象者
大手金融機関や東証一部上場企業に対応
主要機能
クロスサイトスクリプティング診断/SQLインジェクション診断/セッション管理診断/認証診断/ファイル拡張子診断/OSコマンドインジェクション診断/ディレクトリトラバーサル診断/権限昇格診断/パラメータ書き換え診断/Webアプリケーション固有の問題についての診断
特徴
Webアプリケーション診断/手動診断と診断ツールを組み合わせた診断実施/Webアプリの仕様や特性に合わせた多様な手法で診断/最新の攻撃手法を診断パターンに反映/19,700団体の豊富な導入実績
費用
参考価格:1サイト(20画面遷移) 1,000,000円~/お見積もり希望は問い合わせ
サポート
各種問い合わせ対応
「Webアプリケーション診断サービス」(株式会社アズジェント)
https://www.asgent.co.jp/services/webapp-diagnose.html
おすすめ対象者
大手から中小に至るまで業種を問わずに対応
主要機能
クロスサイトスクリプティング/クロスサイトリクエストフォージェリ/SQLインジェクション/OSコマンドインジェクション/ディレクトリトラバーサル/強制ブラウジング/認証機能/アクセス制御の不備
特徴
Webアプリケーション診断/専門の技術者による検査と報告/システム改修後の再診断サービスと30日間のQAサポート/オンサイト、リモート どちらにも対応可能
費用
問い合わせ
サポート
各種問い合わせ対応
「Webアプリケーション診断」(NRIセキュアテクノロジーズ株式会社)
https://www.nri-secure.co.jp/service/assessment/web_application
おすすめ対象者:金融機関や東証一部上場企業を中心とする多くの企業に対応
主要機能
ユーザ認証方式のチェック/セッション管理方式のチェック/トランザクション処理のチェック/クロスサイトスクリプティング攻撃、SQLインジェクション攻撃への対策のチェック/暗号化方式のチェック/ユーザ側のセキュリティへの配慮のチェック/XML処理固有のセキュリティ問題への対策のチェック
特徴
Webアプリケーション診断/担当者のスキル・経験に裏付けられた高い技術力/大手金融機関からも認められた実績あるサービス/最新の攻撃手法に対応/PC・スマホ・携帯向け/手動診断と診断ツールを組み合わせた診断実施
費用
見積もり問い合わせ
サポート
各種問い合わせ対応
「セキュリティ・脆弱性診断サービス」(バルテス株式会社)
https://www.valtes.co.jp/solution/vulnerability.html
おすすめ対象者
大手企業、官公庁、教育機関などに対応
主要機能
ツールと手動のハイブリッド診断/機能テストとセット対応も可能/報告書作成/
特徴
web、スマホ、IoTセキュリティ診断/「サイバーリスク保険」付き診断/最新セキュリティ対応/再診断までの完全レポート/1案件1担当制/1,000件以上の診断実績から蓄積したノウハウから対応/全診断の約78%でリスク高の脆弱性を検出
費用
見積もり問い合わせ
サポート
各種問い合わせ対応
「セキュリティ診断・脆弱性診断 SiteScanシリーズ」アイティーエム株式会社)
https://www.itmanage.co.jp/security/sitescan/
おすすめ対象者
各種業界問わす対応
主要機能
脆弱性レポート/前回の結果との比べてレポート提示が可能/オンデマンド診断が可能/専門セキュリティエンジニアサポート/
特徴
WEB、ネットワークのセキュリティ診断/ツール診断と手動診断/ネットワークやWebアプリケーションの脆弱性を発見/日本語によるわかりやすいレポートの提供/診断項目と診断方法が柔軟に選択可能/充実したサポートメニュー/従来の約1/2の価格で提供可能
費用
https://www.itmanage.co.jp/security/price/#sitescan価格表
サポート
各種問い合わせ対応
「Vuls」(フューチャー株式会社)
おすすめ対象者
大手から中小に至るまで業種を問わずに対応
主要機能
自動トリアージ/オフラインスキャン/複数プラットフォームを横断管理/プロセス情報による優先度付け/
特徴
ツール診断/脆弱性スキャナとしての高い支持/検出した脆弱性をチケット化、発生から対処までをチームで管理
費用
Vuls OSS 0円/FutureVuls standard 1台月額4,000円/FutureVuls CSIRT 100台年額300万円
無料プラン
2週間無料
サポート
各種問い合わせ対応/導入サポート/セキュリティコンサルティングサービス
セキュリティ診断サービス導入のメリット、デメリット
メリット
・前もって脆弱性を発見することで、サイバー攻撃による被害を防ぐことができます。
・自社のセキュリティ対策での原因や課題を明確にすることができます。
・セキュリティ対策を行っていることで外部システムとの連携が円滑に運び、企業イメージや信頼度をアップする効果があります。
・脆弱性を放置しておくと無駄なコストがかかってしまうので、セキュリティ対策をおこなうことでコスト削減に繋がります。