更新日:2025/07/09
【2025年最新比較表あり】脆弱性診断(セキュリティ診断)の必要性や違いなどを徹底解説
【監修】株式会社ジオコード 管理部長
小島 伸介
株式会社ジオコード入社後、Web広告・制作・SEOなどの事業責任者を歴任。
上場準備から上場まで対応した経験を生かし、サービス品質の改善を統括する品質管理課を立ち上げ。その後、総務人事・経理財務・情報システム部門を管掌する管理部長に就任。
セキュリティ診断とは、専用ツールや専門家の手で、Webサイトやシステムに潜むセキュリティ上の脆弱性(欠陥)を発見するサービスです。脆弱性を放置すると、ウイルス感染、不正アクセス、情報漏えいなど、事業継続を脅かす重大なリスクにつながる可能性があります。
本記事では、2025年最新情報に基づき、セキュリティ診断の必要性、種類、選び方、ペネトレーションテストとの違いを徹底解説。貴社のセキュリティ対策強化に役立つ情報を提供します。
おすすめの不正侵入検知サービス一覧
scroll →
| 会社名 | サービス名 | 特長 | 費用 | 主なサービス |
|---|---|---|---|---|
株式会社サイバーセキュリティクラウド
|
攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
株式会社AndGo
|
Aikido Security |
|
ベーシック:52,500円/月 プロ:105,000円/月 カスタム:要お問い合わせ |
Webアプリケーション診断 プラットフォーム診断 クラウド診断 手動脆弱性診断 伴走サポート |
株式会社スリーシェイク
|
Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
| 株式会社ジオコード | NSP(Next Security Plugin) |
|
月額30,000円 初期費用100,000円 |
検証環境構築 プラグインアップデート バックアップ取得・復元 セキュリティ強化 月次レポート など |
| 三和コムテック株式会社 | SCT SECURE クラウドスキャン |
|
要お問い合わせ | リモートコントロール ブルートフォース攻撃 CGIとFORM処理の脆弱性診断 リモート管理アクセス レポート機能 など |
| イエラエ株式会社 | GMOサイバー攻撃ネットde診断ASM |
|
月額40,000円~ | Webアプリケーション診断 ネットワーク診断 CMS診断 定期スキャン グループ管理機能 など |
| 株式会社ユービーセキュア | vex |
|
要お問い合わせ | シナリオ作成 Handler機能 自動巡回機能 レポート機能 e-ラーニングの提供 など |
| NRIセキュアテクノロジーズ株式会社 | Webアプリケーション診断 |
|
要お問い合わせ | ユーザ認証方式診断 セッション管理方式診断 トランザクション処理診断 攻撃対策診断 暗号化方式診断 など |
| 株式会社レイ・イージス・ジャパン | 脆弱性診断 |
|
250,000円~(税抜) | 自動診断 手動診断 診断報告書 など |
| 株式会社エーアイセキュリティラボ | AeyeScan |
|
要お問い合わせ | IPA診断 OWASP TOP10診断 APIスキャン 生成AI機能 Web-ASM など |
| 日本RA株式会社 | Web Doctor |
|
260,000円/ライセンス | Webサイト診断 Webアプリケーション診断 報告書作成 オンライン報告会 手動診断 など |
| 株式会社ビットフォレスト | VAddy |
|
月額19,800円~(税抜) | SQLインジェクション クロスサイトスクリプティング コマンドインジェクション 組織管理機能 レポート機能 など |
| NTTセキュリティ・ジャパン株式会社 | セキュリティ診断(脆弱性診断)サービス |
|
要お問い合わせ | 事前調査 リモート診断 診断結果分析 報告書作成 など |
| IssueHunt株式会社 | バグバウンディ |
|
要お問い合わせ | 要お問い合わせ |
| アクロニス・ジャパン株式会社 | Acronis Cyber Protect Cloud |
|
年額9,500円~ | ランサムウェア対策 スコアリング機能 脆弱性診断 レポート機能 グループ管理 など |
この記事の目次はこちら
セキュリティ診断(脆弱性診断)とはセキュリティ上の欠陥がないか調査すること
セキュリティ診断(または脆弱性診断)とは、コンピューターのOSなどに疑似攻撃を行い、セキュリティ上の欠陥(脆弱性)がないか調査するサービスです。
企業の多くはサイバーセキュリティ対策を実施していますが、その方法に問題点があるかどうか、客観的に理解するのは難しいでしょう。
セキュリティ診断では、サイバー攻撃を仕掛ける側の立場から脆弱性を判断します。これにより適切な対策を実施し、不正アクセスやウイルスへの感染などのリスクのより強固に防止することが目的です。
脆弱性が生じる理由
脆弱性は、Webサイトやシステムの開発・運用における様々な要因で発生します。例えば、開発時のコーディングミス、OSやミドルウェアの設定ミス、古いバージョンのソフトウェア利用、セキュリティパッチ未適用、不適切なアクセス権限設定などが挙げられます。開発メーカーから提供される更新プログラムの適用は重要ですが、それだけでは不十分な場合も多くあります。
問題は、更新プログラムを実行しても、脆弱性の完全な克服は困難であり、新たな欠陥が次々と見つかる点です。セキュリティ対策を講じていても新たな脆弱性の隙を突いて、不正アクセスやウイルスへの感染が生じる恐れがあります。
脆弱性の放置は重大事故につながる恐れがある
コンピューターやネットワークの脆弱性を放置すると、サイバー攻撃を受けやすくなります。結果として情報漏えいなどの重大事故につながる恐れがあるため対策が必要です。
データの改ざんや消去
不正アクセスをされると、ホームページの内容が書き換えられたり、重要ファイルが消去されたりする恐れがあります。ホームページやSNSなどに不適切な内容や文章が掲載されれば、企業の信頼が失墜しかねません。
さらに、ホームページのリンク先を変更し、訪問者がウイルスに感染するように仕向ける手口もあります。機密情報などの重要なファイルを消去されれば、業務の継続に影響が出る恐れもあります。
情報漏えいにつながる
顧客や従業員の氏名や住所、クレジットカードの利用履歴などの個人情報が窃取されれば、情報漏えいにつながる恐れがあります。
2023年に上場企業とその子会社が個人情報漏えい・紛失事故を報告した数は147社あり、このうち最も多かった原因は「ウイルス感染・不正アクセス」で、全体の53.1%(93件)を占めています。なお、実際に漏えいした個人情報は4,090万8,718人分です(※)。
※参考:IPA 独立行政法人 情報処理推進機構.「情報セキュリティ白書2024」P49.(2024-10-11).
身代金を請求される
データを改ざんするだけでなく、復元と引き換えに身代金を請求されることもあります。また、個人情報の窃取では、データを公開すると脅し多額の金銭を請求する手口にも注意が必要です。
このように、データの消去や暴露と引き換えに金銭を請求する手口を「二重恐喝」と呼び、ランサムウェアの感染で多く見られます。
業務停止に追い込まれる
不正アクセスによりシステム障害が発生すれば、業務停止に追い込まれます。さらに、復旧作業には多くの期間と費用がかかる点にも注意が必要です。
例えば、ランサムウェアの感染の場合、2023年の調査では復旧にかかった期間は「1週間以上1カ月未満」が最多となっています。また、費用は5,000万円以上の割合が過去3年間で最も多くなっています(※)。
※参考:IPA 独立行政法人 情報処理推進機構.「情報セキュリティ白書2024」P15.(2024-10-11)
サイバー攻撃の加害者にされる
サイバー犯罪の中には、特定を免れるために第三者のパソコンやサーバーを乗っ取り、そこから攻撃を仕掛けるケースがあります。これを「踏み台にする」と言います。
自社が踏み台にされれば、サイバー犯罪の被害者になるだけでなく、ウイルスをばらまく加害者にもなってしまいます。さらに、警察の調査では犯人の嫌疑をかけられ、誤認逮捕された例もあります。
セキュリティ診断(脆弱性診断)を行う必要性
セキュリティ診断はセキュリティ上の脅威を防ぎ、企業の信頼を維持し続けるために必要です。なお、セキュリティ診断はあくまでも脆弱性の判断のみとなります。診断結果を元に対策を行うことがなにより大切です。
セキュリティ上の脅威を防ぐため
セキュリティ診断は、不正アクセスやマルウェアの感染などの脅威(セキュリティインシデント)を防ぐために必要です。仮にセキュリティツールを複数導入していても、IDやPWの管理がずさんなど、自社では気が付かない部分に脆弱性が隠れていればサイバー攻撃は防げません。
セキュリティ診断では、自社だけでは判断できないセキュリティ上のリスクの可視化が可能です。このため、脅威に対しやるべき対策を過不足なく実行できます。
企業の信頼や信用を維持するため
セキュリティインシデントが発生すれば、業務が一定期間停止するだけでなく、復旧後も企業の信頼や信用に影響が出てしまいます。
消費者の多くは個人情報の漏えいした企業や団体に対しネガティブな印象を受けるため、今後、該当企業のサービスの利用を控えるかもしれません。このため、セキュリティ診断を行い、対策を十二分に行うことが大切です。
脆弱性診断(セキュリティ診断)を行う対象
セキュリティ診断は、社内ネットワーク全体から、Webサイト、ECサイト、顧客管理システム、スマートフォンアプリまで、幅広いIT資産を対象に実施できます。具体的な診断対象と内容を見ていきましょう。
プラットフォーム診断(ネットワーク診断)
プラットフォーム診断(ネットワーク診断)とは、システムを構成するネットワーク機器などに脆弱性がないか検査するものです。具体的には、OSやサーバー、VPN、ミドルウェアなどが対象です。
OSなどは世界中で使用さているため、脆弱性はほぼ毎日発見されています。しかし、自社のみで更新プログラム全てを確認し、適用するのは困難です。
プラットフォーム診断では使用機器の脆弱性に対する最新情報の収集や、設定の不備の確認などを行います。また、サーバーにあるネットワーク接続のための出入口「ポート」を確認し、不要なポートが開いていないかなども検査します。
ホスト診断
ホスト診断とは、企業のサーバーにログインし、内部から脆弱性を確認する方法です。ネットワーク診断が外部から脆弱性を確認するのに対し、ホスト診断は内部から確認するため、より多くの問題点を把握できます。
例えば、アカウント設定やパスワード設定、セキュリティパッチの適用状況などです。管理体制など基礎的な問題点も把握できます。
無線LANセキュリティ診断
無線LANは便利な反面、脆弱性があれば社内ネットワークに侵入されやすいです。無線LANセキュリティ診断では、無線LANアクセスポイントに以下のセキュリティリスクがないか確認します。
- 盗聴:無線LAN通信の電波の傍受がされないか
- なりすまし:正規のアクセスポイントを偽っているものはないか
- 不正なアクセスポイント:窃取を目的としたアクセスポイントはないか
Webアプリケーション診断
Webアプリケーション診断では、自社で作成したWebサイトやWebアプリに脆弱性がないか確認します。具体的には、ECサイトや企業のホームページなどが挙げられます。
Webアプリケーションには特有の脆弱性があるため注意が必要です。例えば、ディレクトリの構成に脆弱性があると、本来確認できないはずのファイルの中身が見える状態になります。これを「ディレクトリリスティング」と呼び、このような攻撃ができる隙がないか確認します。
スマートフォンアプリケーション診断
スマートフォンアプリケーション診断では、自社で開発したスマートフォン向けアプリに脆弱性がないか確認します。OSが異なるため、Webアプリケーション診断とは別の診断が必要です。
診断では、アプリ本体、アプリをインストールした端末、アプリとサーバー間の通信など、複数の視点から診断を行います。
セキュリティ診断(脆弱性診断)の方法
セキュリティ診断は、大きく分けて「ツール診断」と「手動診断」の2つの方法があります。ツール診断は自動化された網羅的な診断に、手動診断は専門家による詳細な診断に強みがあります。
さらに、実施方法として、インターネット経由の「リモート診断」、専門家が訪問する「オンサイト診断」があり、対象システムや環境によって使い分けられます。
ツール診断と手動診断
ツール診断と手動診断、それぞれの特徴を解説します。
ツール診断
ツール診断とは、専用のツールを使って脆弱性を判断する方法です。 ソフトウェアタイプやクラウド型のセキュリティ診断ツールもあり、これらを使えば自社のみでも診断が可能です。
ツール診断のメリットは、診断時間や費用を抑えられる点です。自社にセキュリティエンジニアが在籍しているなら、補助として使ってもよいでしょう。一方で、診断項目一律で脆弱性を見落とす恐れがあるため、自社に専門性がないと活用は難しいでしょう。
手動診断
手動診断とは、ホワイトハッカーやセキュリティの専門家などが、手動で診断をする方法です。ツールだけでは見落とす脆弱性を発見でき、依頼者の環境に応じた診断ができる点がメリットです。
デメリットは、全て手動診断とすると作業時間やコストが膨らむ点です。このため、ツール診断と手動診断を組み合わせる方法もあります。
リモート診断とオンサイト診断
リモート診断とオンサイト診断の違いを解説します。
リモート診断
リモート診断とは、インターネット経由でセキュリティ診断をする方法です。インターネット上に公開されているサーバーやアプリが対象です。
オンサイト診断
オンサイト診断とは、顧客のネットワーク環境のある場所まで担当者が赴き診断する方法です。イントラネットサーバーなど、インターネットと接続していない環境の診断も可能です。
セキュリティ診断(脆弱性診断)とペネトレーションテストの違い
セキュリティ診断と同じく、システムの脆弱性を確認する方法に「ペネトレーションテスト」があります。ペネトレーションテスト(侵入テスト)では実践的な模擬ハッキングを行い、現在のセキュリティ対策でどの程度サイバー攻撃に耐えられるか判断します。
両者の違いは調査の目的です。セキュリティ診断は不正アクセスやウイルス感染の可能性のある部分の特定が目的です。攻撃の侵入口を網羅的に調査するものの、セキュリティが実際に機能するかどうかまでは確認しません。
一方、ペネトレーションテストでは、サイバー攻撃を受けた際、セキュリティがどの程度機能するか確認するのが目的です。合わせて、セキュリティ対策が十分か、突破されたときどの程度被害が生じるかも確認します。実際のサイバー攻撃と同様の方法を使うため、調査範囲は限定的です。
セキュリティ診断(脆弱性診断)実施時の流れ
セキュリティ診断を行うときの流れは以下のとおりです。
- 事前調整をする
- 診断を実施する
- レポートを確認する
- レポート内容に沿って改修する
- アフターフォロー
それぞれ解説します。
事前調整をする
まずはセキュリティ診断サービスを選定し、診断対象を決定します。診断対象により必要な資料や環境が異なり、診断の範囲により実施日数が異なるため事前に確認しましょう。ある程度セキュリティ診断の内容が決まったら見積もりを依頼し、具体的な日程調整を進めます。
診断を実施する
事前調整で決定した実行スケジュールに沿って診断を進めます。多くの場合、診断中であっても重大な脆弱性が発見されれば、担当者から速報が送られてくるため確認しましょう。
レポートを確認する
全ての調査が終了すると、セキュリティ診断会社で診断内容を分析してまとめた「セキュリティ診断レポート」が作成されます。受け取ったらどのような脆弱性があるかなど内容を確認しましょう。
会社によっては報告会などを実施し、担当者から直接説明を聞けたり、疑問を確認できたりするサービスもあります。
レポート内容に沿って改修する
セキュリティ診断で行うのは脆弱性の確認のみです。システムの改修は自社で行う必要があるため注意しましょう。
アフターフォロー
セキュリティ診断会社によっては、診断後に質問期間を設けたり、改修状況を確認したりするアフターフォローを設けています。積極的に活用しましょう。
セキュリティ診断(脆弱性診断)の選び方
セキュリティ診断を選ぶときは、診断方法が自社の課題にあっているか確認しましょう。また、手動診断は専門家の力量により結果が左右されるため、経験年数などを確認するとよいでしょう。
診断方法
診断方法はツール診断と手動診断のどちらに対応しているか、また組み合わせて実行できるかなどを確認しましょう。
企業の状況により適した診断方法は異なるものの、個人情報などの機密性の高い情報を扱っているのであれば、手動診断の方がよいでしょう。手動診断であれば担当者と相談しながら診断を進められるなど、サポートが充実していることが多いためです。
診断水準
手動診断の場合、診断水準の高さは担当者の力量により差が生まれます。また、自社と同じ業界や診断対象での導入事例が多いほど、専門性は高くなります。
診断水準を確認したいときは、スタッフの保有資格や受賞歴、経験年数などを確認するとよいでしょう。また、サービス会社の質を確認したいときは、診断年数や診断対象数、導入事例を確認してみましょう。
サポート内容
サポートが充実していれば、継続して堅牢なセキュリティ対策を実施しやすくなります。セキュリティ診断は一度実施して終わりではなく、年に1回以上の実施が推奨されています。このため、サポートが充実している会社に依頼した方が、継続してセキュリティレベルを維持しやすくなります。
特に、診断後に具体的な対策案が提示されるなど、アフターサポートが充実していれば不便があったときも頼りやすいでしょう。
セキュリティ対策は脆弱性に注意しよう
セキュリティ診断は、自社のIT環境に潜む脆弱性を洗い出し、サイバー攻撃のリスクを低減するための有効な手段です。定期的な診断と適切な対策を実施することで、情報漏えいや事業停止といった深刻な被害を防ぐことができます。
なお、セキュリティ診断は脆弱性の発見までが役割であり、その後の対策(脆弱性修正、セキュリティ強化)は自社で行う必要があります。
より具体的な対策については、以下の記事でWebセキュリティ対策ツールやサービスを紹介しています。ぜひ、あわせてご確認ください。
おすすめの不正侵入検知サービス一覧
scroll →
| 会社名 | サービス名 | 特長 | 費用 | 主なサービス |
|---|---|---|---|---|
|
株式会社サイバーセキュリティクラウド
|
攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
|
株式会社AndGo
|
Aikido Security |
|
ベーシック:52,500円/月 プロ:105,000円/月 カスタム:要お問い合わせ |
Webアプリケーション診断 プラットフォーム診断 クラウド診断 手動脆弱性診断 伴走サポート |
|
株式会社スリーシェイク
|
Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
| トレンドマイクロ株式会社 | TippingPoint |
|
要お問い合わせ | 要お問い合わせ |
| 株式会社東計電算 | Total Security Function Service |
|
月額600円~/1台 | ウィルス対策機能 マルウェア対策機能 ファイアウォール ヒューリスティック分析 デバイス制御 など |
| Broadcom Inc. | Symantec Endpoint Security |
|
要お問い合わせ | 脆弱性の修復 デバイス制御 マルウェアの防止 ファイアウォール 分析・調査 など |
| エクスジェン・ネットワークス株式会社 | L2Blocker |
|
オンプレミス版:25,000円~ クラウド版:月額3,000円~ |
社内端末の管理機能 利用状況の可視化 不正に接続した端末への通知 未登録機器の利用申請 レポート分析 など |
| 株式会社セキュアソフト | SecureSoft Sniper IPS |
|
要お問い合わせ | リアルタイムモニター 統合報告書 システム監査 環境設定 セキュリティ設定 など |
| ソフォス株式会社 | Sophos Firewall |
|
要お問い合わせ | ディープパケットインスペクション ゼロデイ対策 SD-WAN接続 セグメンテーション機能 レポート機能 など |
| 株式会社IDCフロンティア | 不正侵入検知/防御サービス |
|
要お問い合わせ | 検知レポート 機器監視 設定管理 故障時機器交換 変更監視 など |
| ソースネクスト株式会社 | ZERO スーパーセキュリティ |
|
4,950円~ |
マルウェア検出 メール検査 ファイアウォール 迷惑メール対策 詐欺対策 など |
| フォーティネットジャパン合同会社 | FortiGuard IPS |
|
要お問い合わせ | ネットワーク保護 OT保護 リアルタイム展開 IOT保護 保護ライフサイクル など |
| NTTスマートコネクト株式会社 | クラウド型UTM |
|
月額38,500円~(税込) ※初期費用110,000円(税込) |
ファイアウォール機能 IPS(不正侵入防御)機能 アンチウィルス(アンチマルウェア)機能 アンチスパム機能 Webフィルタリング機能 など |
| サクサ株式会社 | サクサのUTM |
|
要お問い合わせ | Webフィルタリング機能 アンチウイルス機能 迷惑メールブロック機能 侵入検知・防止機能 |
| パロアルトネットワークス株式会社 | PA-SERIES |
|
要お問い合わせ | 脅威防御 SD-WAN URLフィルタリング WildFireマルウェア分析 DNSセキュリティ など |
| Google LLC | Google Cloud IDS |
|
要お問い合わせ | ネットワークベースの脅威検出 トラフィックの公開設定 コンプライアンス目標の支援 脅威警告の優先順位の提供 アプリのマスカレード検出 など |
