BtoBサービス、SaaS、IT製品を徹底比較!企業のDX推進、課題を解決!

SFA JOURNAL by ネクストSFA

脆弱性診断(セキュリティ診断)の必要性や違いなどを徹底解説

【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬

セキュリティ診断とは専用のツールや専門家の手で、セキュリティ上の脆弱性がないか確認することです。システムに欠陥があると、ウイルス感染や不正アクセスの温床になります。これらの攻撃を受けると事業停止に追い込まれることもあるため、セキュリティ診断で脆弱性を確認し、改修を行うことが必要です。

本記事では、セキュリティ診断とはなにか、実行が必要な理由や、ペネトレーションテストとの違いなどを解説します。

おすすめのWebセキュリティサービス一覧

scroll →

会社名 サービス名 特長 費用 主なサービス
株式会社サイバーセキュリティクラウド 株式会社サイバーセキュリティクラウド 詳細はこちら 攻撃遮断くん
  • 一社通貫の万全なサポート体制で、稼働率99.999%・解約率約0.97%の圧倒的な運用力を誇る
  • 20,000サイト以上の豊富な導入実績あり! SBI証券や厚生年金基金などの金融機関からANA、PARCO、代ゼミまで規模や業界問わず幅広く対応
  • 万が一サイバー攻撃により損害を受けた場合に、最大1,000万円を補償する保険を付帯可能
1サイト月額11,000円~
※別途、初期導入費用がかかる
お問い合わせ
攻撃検知AIエンジン搭載
サイバー攻撃対策
サイバー保険付帯
株式会社スリーシェイク 株式会社スリーシェイク 詳細はこちら Securify(セキュリファイ)
  • 初期費用0円・最短1営業日でワンストップのセキュリティ対策を開始できる
  • 簡単3ステップで、3300項目以上の診断を実施
  • シンプルかつストレスフリーな操作性
  • リリースやアップデート時に課金なしで何度も診断可能
  • 【新機能リリース】攻撃対象になり得るIT資産を自動で棚卸し、管理できるASMを搭載!
ASMプラン:お見積り
BASICプラン:10万円/月額
STARTERプラン:5万円/月額
Freeプラン:0円/月額
※契約は年単位
お問い合わせ
ASM
Webアプリケーション診断
Wordpress診断
SaaS診断
株式会社アイロバ BLUE Sphere
  • WAFだけでは対処しきれないWebサイトのあらゆる脅威に、オールインワンのセキュリティサービスで対応
  • 他社を上回る機能を他社よりもリーズナブルに
  • 基本プランで全ての脅威に対処。WebサイトのSSL化にも無償で対応
~1.004TB 月額/45,000円
~5.022TB 月額/78,000円
~10.044TB 月額/154,000円
WAF
DDos攻撃からの防御
改ざん検知
DNS監視サービス
サイバーセキュリティ保険
ペンタセキュリティ株式会社 Cloudbric WAF+
  • WAFを超えた多彩な機能。クラウド型Webセキュリティプラットフォーム
  • 安心のサポートとユーザビリティ
  • 保護対象のFQDN数およびピーク時トラフィックの2つの条件の組み合わせで利用プランをご提案
  • 簡単3ステップでご利用開始
月額サービス料金
28,000円~

初期導入費用
68,000円~
WAFサービス
DDoS攻撃対策サービス
SSL証明書サービス
脅威IP遮断サービス
悪性ボット遮断サービス
バルテス株式会社 PrimeWAF
  • カンタン設定でしっかり防御
  • 状況がすぐにわかるダッシュボード
  • 月額料金も良心価格
1サイト限定プラン
初期費用 55,000円
0GB以上160GB未満 14,300円
160GB以上10TB未満 33,000円
10TB以上32TB未満 110,000円

サイト入れ放題プラン
初期費用 55,000円
0TB以上10TB未満 110,000円
10TB以上32TB未満 220,000円
ペネトレーションテストサービス
クラウド診断サービス
セキュアプログラミングのソフトウェア品質セミナー
WAF
EGセキュアソリューションズ株式会社 SiteGuard Cloud Edition
  • クラウド WAF だからカンタン導入・運用お任せ!
  • 圧倒的なコストパフォーマンス!
  • 信頼と実績の Web セキュリティ!
通信量 400GBまで
初期費用 ¥100,000
価格 (月額) ¥25,000

通信量 1TBまで
初期費用 ¥100,000
価格 (月額) ¥50,000

通信量 4TBまで
初期費用 ¥100,000
価格 (月額) ¥80,000

通信量 10TBまで
初期費用 ¥200,000
価格 (月額) ¥170,000

通信量 20TBまで
初期費用 ¥200,000
価格 (月額) ¥280,000

通信量 40TBまで
初期費用 ¥200,000
価格 (月額) ¥520,000
シグネチャ検査(更新、設定はマネージドサービスとして提供します。)
CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。)
アクセス制御
国別フィルタ
ダッシュボード
レポート機能
専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。)
Amazon Web Services, Inc. AWS WAF
  • ウェブトラフィックフィルタリング
  • AWS WAF Bot Control
  • アカウント乗っ取り詐欺の防止
  • アカウント作成詐欺防止
  • フル機能 API
  • リアルタイムの可視性
  • AWS Firewall Manager への統合
Web ACL 月あたり (時間で案分) USD 5.00
ルール 月あたり (時間で案分) USD 1.00
リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*)
Bot Control と Fraud Control 上記のタブによる追加費用
ウェブトラフィックフィルタリング
AWS WAF Bot Control
アカウント乗っ取り詐欺の防止
アカウント作成詐欺防止
フル機能 API
リアルタイムの可視性
AWS Firewall Manager への統合
株式会社ROCKETWORKS イージスWAFサーバセキュリティ
  • Webサーバ・Webサービスへの攻撃や不審な通信を自動で徹底ブロック
  • 最短即日・再起動も不要のカンタン導入
  • AWSをはじめ最新のクラウド環境にも対応
  • 人気ECサイト、Webサービスも安心の低負荷・低遅延
  • 日本人エンジニア執筆による「読んでわかる」レポートを毎月送付
イージスサーバセキュリティタイプ
月額/50,000円

イージスDDoSセキュリティタイプ
~2Mbps 初期費用/¥98,000 月額/¥40,000
~5Mbps 初期費用/¥98,000 月額/¥60,000
~10Mbps 初期費用/¥98,000 月額/¥120,000
~50Mbps 初期費用/¥198,000 月額/¥198,000
~100Mbps 初期費用/¥198,000 月額/¥250,000
~200Mbps 初期費用/¥198,000 月額/¥450,000
200Mbps以上 別途見積もり
サイバー攻撃の検出/遮断
月次レポート
サイバーセキュリティに関するアドバイザリー
法務相談(オプション)
SBテクノロジー株式会社 Imperva WAF
  • 自動学習機能による導入運用負荷軽減
  • 細かなポリシー設定
  • 簡単に導入可能
  • Imperva 独自の研究機関『ADC』
  • 仮想パッチの適用
- Web Application Firewall
株式会社セキュアスカイ・テクノロジー Scutum
  • かんたん導入 約1週間
  • おまかせ運用 運用不要、24時間365日フルサポート
  • 明快な料金 約3万円~
  • 安心の実績 稼働率は99.999%以上※2023年までの5年間の実績、12年連続シェアNo.1、年間500件以上の脆弱性診断
~500kbps 初期費用 98,000円 月額 29,800円
~5Mbps 初期費用 98,000円 月額 59,800円
~10Mbps 初期費用 98,000円 月額 128,000円

~50Mbps 初期費用 198,000円 月額 148,000円
~100Mbps 初期費用 198,000円 月額 198,000円
~200Mbps 初期費用 198,000円 月額 298,000円
200Mbps 初期費用198,000円 100Mbps毎に100,000円加算
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能
2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません)
3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能
4 レポート機能 下記の内容を管理画面上で報告する機能
 ・攻撃元(IPアドレス)top5
 ・攻撃種別top5
 ・防御ログの月別ダウンロード
5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能
6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能
7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能
8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能
9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能
10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能
11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能
エヌ・ティ・ティ・スマートコネクト株式会社 SmartConnect Network & Security
  • めんどうなセキュリティ対策をまるっとおまかせ
  • 変化するビジネス要件に、柔軟に対応できる
  • 安心・セキュアを継続できる品質と実績
- UTM
WAF
DDoS
Webプロキシ
メールセキュリティ
ロードバランサ
VPN
株式会社モニタラップ AIONCLOUD WAAP
  • ひとつのコンソールで提供する統合セキュリティ
  • 進化する脅威に対応するアプリケーションセキュリティサービス
- WAF
Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。

APIセキュリティ
企業のAPIに対する可視性を提供し脅威を遮断します。

ボット緩和
ボットのトラフィックを管理し、Webサイトを保護します。

DDoS保護
アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。
フォーティネットジャパン合同会社 FortiWeb
  • WEBアプリケーション保護
  • 機械学習に基づいた脅威検知
  • セキュリティ ファブリックの統合
  • 高度な分析
  • 誤検知の減災
  • ハードウェアベースのアクセラレーション
- アプリケーションのセキュリティ
コンテンツセキュリティ
デバイスのセキュリティ
NOC/SOC セキュリティ
ウェブセキュリティ
管理された検出と対応
SOC-as-a-Service
インシデント対応サービス
サイバーセキュリティの評価と準備状況
バラクーダネットワークス Barracuda Web Application Firewall
  • Web攻撃とDDoSを確実に防止
  • 悪意のあるボットの動きを完全に静止
  • APIとモバイルアプリの保護
  • きめ細かなアクセス制御と安全なアプリ配信を実現
  • セキュリティの自動化と統合
  • 攻撃とトラフィックパターンの可視化
- WebアプリケーションとAPIの保護

+ OWASPおよびゼロデイ攻撃に対する保護
+ 高度なボット攻撃からアプリケーションを保護
+ API保護
+ サーバクローキング
+ URL暗号化
+ GEO IPとIPレピュテーションチェック
+ マルウェア対策とウィルス対策
+ マルチプロトコルサポート
+ アプリケーションDDoS対策
+ 大規模なDDoSの防止
+ JSONセキュリティ
+ XMLファイアウォール
+ アクティブ脅威インテリジェンス
+ クライアントサイドプロテクション

アプリケーションデリバリ
+ アプリケーションの負荷分散と監視
+ コンテンツルーティング
+ キャッシュ、圧縮、トラフィックの最適化

データ保護とコンプライアンス
+ アウトバウンドDLP
+ コンプライアンス認証

IAM
+ SAMLサポートとSSO
+ クライアント証明書ベースの認証
+ AD FSとの統合
+ LDAP、Kerberos、およびRADIUSとの統合
+ 2要素認証

レポート
+ Barracuda Active Threat Intelligenceダッシュボード
+ 直感的なドリルダウンレポート
+ 包括的なログ
+ SIEMとの統合

管理
+ HAクラスタリング
+ ロールベースの緻密なアクセス制御
+ REST APIによる自動化とスケーラビリティ
+ 統合的なDevSecOpsの有効化
+ デフォルトのセキュリティテンプレート

中央管理
+ 単一コンソール
+ 証明書の中央管理
+ 中央管理通知とアラート

使いやすさ
+ アプリケーション学習(アダプティブプロファイリング)
+ 仮想パッチと脆弱性スキャナとの統合
+ 自動構成エンジン
セコムトラストシステムズ株式会社 マネージドWAFサービス
  • AWS、Azure 等の、各種クラウド環境でも利用することができます。
  • メーカーシグネチャに加え、個別シグネチャを迅速に作成することができます。
  • クラウド型なので直ぐにご利用いただけます。(※大規模システム向けにはオンプレミス型(マネージドWAFサービス標準型)も提供できます)
  • ストラッツ(Struts)の脆弱性対策も実施することができます。
  • クレジットカード番号の外部流出を検知し防止することができます。
  • DDoS攻撃対策も実施することができます。(オプション)
- DDoS対策
ファイアウォール
IPS
WAF
Amazon Web Services, Inc. AWS Shield
  • AWS Shield Standard
    ↳基盤となる AWS サービスの静的しきい値 DDoS 保護
    ↳インラインの攻撃緩和
  • AWS Shield Advanced
    ↳アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
    ↳正常性に基づく検出
    ↳高度な攻撃緩和機能
    ↳自動アプリケーションレイヤー DDoS 緩和策
    ↳積極的なイベント応答
    ↳保護グループ
    ↳可視性と攻撃の通知
    ↳DDoS コスト保護
    ↳専門サポート
    ↳グローバルな可用性
    ↳一元化された保護管理
- AWS Shield Standard
基盤となる AWS サービスの静的しきい値 DDoS 保護
インラインの攻撃緩和

AWS Shield Advanced
アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
正常性に基づく検出
高度な攻撃緩和機能
自動アプリケーションレイヤー DDoS 緩和策
積極的なイベント応答
保護グループ
可視性と攻撃の通知
DDoS コスト保護
専門サポート
グローバルな可用性
一元化された保護管理

セキュリティ診断(脆弱性診断)とはセキュリティ上の欠陥がないか調査すること

セキュリティ診断(または脆弱性診断)とは、コンピューターのOSなどに疑似攻撃を行い、セキュリティ上の欠陥(脆弱性)がないか調査するサービスです。

企業の多くはサイバーセキュリティ対策を実施していますが、その方法に問題点があるかどうか、客観的に理解するのは難しいでしょう。

セキュリティ診断では、サイバー攻撃を仕掛ける側の立場から脆弱性を判断します。これにより適切な対策を実施し、不正アクセスやウイルスへの感染などのリスクのより強固に防止することが目的です。

脆弱性が生じる理由

脆弱性(ぜいじゃくせい)は、サイバーセキュリティ上の欠陥に当たり、「セキュリティーホール」とも呼ばれています。脆弱性が生じる原因は、設計段階でのミス、プログラムの不具合、設定上の間違い、管理体制の不備などがあります。このうち、プログラムの不具合などは見つかり次第、開発メーカーが更新プログラムを提供するのが一般的です。

問題は、更新プログラムを実行しても、脆弱性の完全な克服は困難であり、新たな欠陥が次々と見つかる点です。セキュリティ対策を講じていても新たな脆弱性の隙を突いて、不正アクセスやウイルスへの感染が生じる恐れがあります。

脆弱性の放置は重大事故につながる恐れがある

コンピューターやネットワークの脆弱性を放置すると、サイバー攻撃を受けやすくなります。結果として情報漏えいなどの重大事故につながる恐れがあるため対策が必要です。

データの改ざんや消去

不正アクセスをされると、ホームページの内容が書き換えられたり、重要ファイルが消去されたりする恐れがあります。ホームページやSNSなどに不適切な内容や文章が掲載されれば、企業の信頼が失墜しかねません。

さらに、ホームページのリンク先を変更し、訪問者がウイルスに感染するように仕向ける手口もあります。機密情報などの重要なファイルを消去されれば、業務の継続に影響が出る恐れもあります。

情報漏えいにつながる

顧客や従業員の氏名や住所、クレジットカードの利用履歴などの個人情報が窃取されれば、情報漏えいにつながる恐れがあります。

2023年に上場企業とその子会社が個人情報漏えい・紛失事故を報告した数は147社あり、このうち最も多かった原因は「ウイルス感染・不正アクセス」で、全体の53.1%(93件)を占めています。なお、実際に漏えいした個人情報は4,090万8,718人分です(※)。

※参考:IPA 独立行政法人 情報処理推進機構.「情報セキュリティ白書2024」P49.(2024-10-11).

身代金を請求される

データを改ざんするだけでなく、復元と引き換えに身代金を請求されることもあります。また、個人情報の窃取では、データを公開すると脅し多額の金銭を請求する手口にも注意が必要です。

このように、データの消去や暴露と引き換えに金銭を請求する手口を「二重恐喝」と呼び、ランサムウェアの感染で多く見られます。

業務停止に追い込まれる

不正アクセスによりシステム障害が発生すれば、業務停止に追い込まれます。さらに、復旧作業には多くの期間と費用がかかる点にも注意が必要です。

例えば、ランサムウェアの感染の場合、2023年の調査では復旧にかかった期間は「1週間以上1カ月未満」が最多となっています。また、費用は5,000万円以上の割合が過去3年間で最も多くなっています(※)。

※参考:IPA 独立行政法人 情報処理推進機構.「情報セキュリティ白書2024」P15.(2024-10-11)

サイバー攻撃の加害者にされる

サイバー犯罪の中には、特定を免れるために第三者のパソコンやサーバーを乗っ取り、そこから攻撃を仕掛けるケースがあります。これを「踏み台にする」と言います。

自社が踏み台にされれば、サイバー犯罪の被害者になるだけでなく、ウイルスをばらまく加害者にもなってしまいます。さらに、警察の調査では犯人の嫌疑をかけられ、誤認逮捕された例もあります。

セキュリティ診断(脆弱性診断)を行う必要性

セキュリティ診断はセキュリティ上の脅威を防ぎ、企業の信頼を維持し続けるために必要です。なお、セキュリティ診断はあくまでも脆弱性の判断のみとなります。診断結果を元に対策を行うことがなにより大切です。

セキュリティ上の脅威を防ぐため

セキュリティ診断は、不正アクセスやマルウェアの感染などの脅威(セキュリティインシデント)を防ぐために必要です。仮にセキュリティツールを複数導入していても、IDやPWの管理がずさんなど、自社では気が付かない部分に脆弱性が隠れていればサイバー攻撃は防げません。

セキュリティ診断では、自社だけでは判断できないセキュリティ上のリスクの可視化が可能です。このため、脅威に対しやるべき対策を過不足なく実行できます。

企業の信頼や信用を維持するため

セキュリティインシデントが発生すれば、業務が一定期間停止するだけでなく、復旧後も企業の信頼や信用に影響が出てしまいます。

消費者の多くは個人情報の漏えいした企業や団体に対しネガティブな印象を受けるため、今後、該当企業のサービスの利用を控えるかもしれません。このため、セキュリティ診断を行い、対策を十二分に行うことが大切です。

脆弱性診断(セキュリティ診断)を行う対象

セキュリティ診断は自社のネットワークだけでなく、自社で開発したアプリケーションにセキュリティ上の欠陥があるか調べることもできます。主な診断対象を紹介します。

プラットフォーム診断(ネットワーク診断)

プラットフォーム診断(ネットワーク診断)とは、システムを構成するネットワーク機器などに脆弱性がないか検査するものです。具体的には、OSやサーバー、VPN、ミドルウェアなどが対象です。

OSなどは世界中で使用さているため、脆弱性はほぼ毎日発見されています。しかし、自社のみで更新プログラム全てを確認し、適用するのは困難です。

プラットフォーム診断では使用機器の脆弱性に対する最新情報の収集や、設定の不備の確認などを行います。また、サーバーにあるネットワーク接続のための出入口「ポート」を確認し、不要なポートが開いていないかなども検査します。

ホスト診断

ホスト診断とは、企業のサーバーにログインし、内部から脆弱性を確認する方法です。ネットワーク診断が外部から脆弱性を確認するのに対し、ホスト診断は内部から確認するため、より多くの問題点を把握できます。

例えば、アカウント設定やパスワード設定、セキュリティパッチの適用状況などです。管理体制など基礎的な問題点も把握できます。

無線LANセキュリティ診断

無線LANは便利な反面、脆弱性があれば社内ネットワークに侵入されやすいです。無線LANセキュリティ診断では、無線LANアクセスポイントに以下のセキュリティリスクがないか確認します。

  • 盗聴:無線LAN通信の電波の傍受がされないか
  • なりすまし:正規のアクセスポイントを偽っているものはないか
  • 不正なアクセスポイント:窃取を目的としたアクセスポイントはないか

Webアプリケーション診断

Webアプリケーション診断では、自社で作成したWebサイトやWebアプリに脆弱性がないか確認します。具体的には、ECサイトや企業のホームページなどが挙げられます。

Webアプリケーションには特有の脆弱性があるため注意が必要です。例えば、ディレクトリの構成に脆弱性があると、本来確認できないはずのファイルの中身が見える状態になります。これを「ディレクトリリスティング」と呼び、このような攻撃ができる隙がないか確認します。

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断では、自社で開発したスマートフォン向けアプリに脆弱性がないか確認します。OSが異なるため、Webアプリケーション診断とは別の診断が必要です。

診断では、アプリ本体、アプリをインストールした端末、アプリとサーバー間の通信など、複数の視点から診断を行います。

セキュリティ診断(脆弱性診断)の方法

セキュリティ診断の方法には、専用のツールを使う「ツール診断」と、ホワイトハッカーなど人の手で診断をする「手動診断」の2種類があります。

また、診断を実施する方法にはインターネット経由で脆弱性を判断する「リモート診断」と、エンジニアが現地に赴き判断する「オンサイト診断」の2種類があります。

ツール診断と手動診断

ツール診断と手動診断、それぞれの特徴を解説します。

ツール診断

ツール診断とは、専用のツールを使って脆弱性を判断する方法です。 ソフトウェアタイプやクラウド型のセキュリティ診断ツールもあり、これらを使えば自社のみでも診断が可能です。

ツール診断のメリットは、診断時間や費用を抑えられる点です。自社にセキュリティエンジニアが在籍しているなら、補助として使ってもよいでしょう。一方で、診断項目一律で脆弱性を見落とす恐れがあるため、自社に専門性がないと活用は難しいでしょう。

手動診断

手動診断とは、ホワイトハッカーやセキュリティの専門家などが、手動で診断をする方法です。ツールだけでは見落とす脆弱性を発見でき、依頼者の環境に応じた診断ができる点がメリットです。

デメリットは、全て手動診断とすると作業時間やコストが膨らむ点です。このため、ツール診断と手動診断を組み合わせる方法もあります。

リモート診断とオンサイト診断

リモート診断とオンサイト診断の違いを解説します。

リモート診断

リモート診断とは、インターネット経由でセキュリティ診断をする方法です。インターネット上に公開されているサーバーやアプリが対象です。

オンサイト診断

オンサイト診断とは、顧客のネットワーク環境のある場所まで担当者が赴き診断する方法です。イントラネットサーバーなど、インターネットと接続していない環境の診断も可能です。

セキュリティ診断(脆弱性診断)とペネトレーションテストの違い

セキュリティ診断と同じく、システムの脆弱性を確認する方法に「ペネトレーションテスト」があります。ペネトレーションテスト(侵入テスト)では実践的な模擬ハッキングを行い、現在のセキュリティ対策でどの程度サイバー攻撃に耐えられるか判断します。

両者の違いは調査の目的です。セキュリティ診断は不正アクセスやウイルス感染の可能性のある部分の特定が目的です。攻撃の侵入口を網羅的に調査するものの、セキュリティが実際に機能するかどうかまでは確認しません。

一方、ペネトレーションテストでは、サイバー攻撃を受けた際、セキュリティがどの程度機能するか確認するのが目的です。合わせて、セキュリティ対策が十分か、突破されたときどの程度被害が生じるかも確認します。実際のサイバー攻撃と同様の方法を使うため、調査範囲は限定的です。

セキュリティ診断(脆弱性診断)実施時の流れ

セキュリティ診断を行うときの流れは以下のとおりです。

  1. 事前調整をする
  2. 診断を実施する
  3. レポートを確認する
  4. レポート内容に沿って改修する
  5. アフターフォロー

それぞれ解説します。

事前調整をする

まずはセキュリティ診断サービスを選定し、診断対象を決定します。診断対象により必要な資料や環境が異なり、診断の範囲により実施日数が異なるため事前に確認しましょう。ある程度セキュリティ診断の内容が決まったら見積もりを依頼し、具体的な日程調整を進めます。

診断を実施する

事前調整で決定した実行スケジュールに沿って診断を進めます。多くの場合、診断中であっても重大な脆弱性が発見されれば、担当者から速報が送られてくるため確認しましょう。

レポートを確認する

全ての調査が終了すると、セキュリティ診断会社で診断内容を分析してまとめた「セキュリティ診断レポート」が作成されます。受け取ったらどのような脆弱性があるかなど内容を確認しましょう。

会社によっては報告会などを実施し、担当者から直接説明を聞けたり、疑問を確認できたりするサービスもあります。

レポート内容に沿って改修する

セキュリティ診断で行うのは脆弱性の確認のみです。システムの改修は自社で行う必要があるため注意しましょう。

アフターフォロー

セキュリティ診断会社によっては、診断後に質問期間を設けたり、改修状況を確認したりするアフターフォローを設けています。積極的に活用しましょう。

セキュリティ診断(脆弱性診断)の選び方

セキュリティ診断を選ぶときは、診断方法が自社の課題にあっているか確認しましょう。また、手動診断は専門家の力量により結果が左右されるため、経験年数などを確認するとよいでしょう。

診断方法

診断方法はツール診断と手動診断のどちらに対応しているか、また組み合わせて実行できるかなどを確認しましょう。

企業の状況により適した診断方法は異なるものの、個人情報などの機密性の高い情報を扱っているのであれば、手動診断の方がよいでしょう。手動診断であれば担当者と相談しながら診断を進められるなど、サポートが充実していることが多いためです。

診断水準

手動診断の場合、診断水準の高さは担当者の力量により差が生まれます。また、自社と同じ業界や診断対象での導入事例が多いほど、専門性は高くなります。

診断水準を確認したいときは、スタッフの保有資格や受賞歴、経験年数などを確認するとよいでしょう。また、サービス会社の質を確認したいときは、診断年数や診断対象数、導入事例を確認してみましょう。

サポート内容

サポートが充実していれば、継続して堅牢なセキュリティ対策を実施しやすくなります。セキュリティ診断は一度実施して終わりではなく、年に1回以上の実施が推奨されています。このため、サポートが充実している会社に依頼した方が、継続してセキュリティレベルを維持しやすくなります。

特に、診断後に具体的な対策案が提示されるなど、アフターサポートが充実していれば不便があったときも頼りやすいでしょう。

セキュリティ対策は脆弱性に注意しよう

セキュリティ診断では自社のセキュリティに脆弱性がないか、ツールを使ったり、専門家が確認したりして判断します。セキュリティに脆弱性があるとサイバー攻撃で狙われやすくなります。このため、セキュリティ診断を実施し欠陥を確認して、改修を進めることが重要です。

なお、セキュリティ診断ではあくまでも脆弱性の判断しかできません。実際の対策は自社で進める必要があるため注意しましょう。以下の記事では、Webセキュリティ対策に役立つツールやサービスを紹介しています。ぜひ参考にしてください。





おすすめのWebセキュリティサービス一覧

scroll →

会社名 サービス名 特長 費用 主なサービス
株式会社サイバーセキュリティクラウド 株式会社サイバーセキュリティクラウド 詳細はこちら 攻撃遮断くん
  • 一社通貫の万全なサポート体制で、稼働率99.999%・解約率約0.97%の圧倒的な運用力を誇る
  • 20,000サイト以上の豊富な導入実績あり! SBI証券や厚生年金基金などの金融機関からANA、PARCO、代ゼミまで規模や業界問わず幅広く対応
  • 万が一サイバー攻撃により損害を受けた場合に、最大1,000万円を補償する保険を付帯可能
1サイト月額11,000円~
※別途、初期導入費用がかかる
お問い合わせ
攻撃検知AIエンジン搭載
サイバー攻撃対策
サイバー保険付帯
株式会社スリーシェイク 株式会社スリーシェイク 詳細はこちら Securify(セキュリファイ)
  • 初期費用0円・最短1営業日でワンストップのセキュリティ対策を開始できる
  • 簡単3ステップで、3300項目以上の診断を実施
  • シンプルかつストレスフリーな操作性
  • リリースやアップデート時に課金なしで何度も診断可能
  • 【新機能リリース】攻撃対象になり得るIT資産を自動で棚卸し、管理できるASMを搭載!
ASMプラン:お見積り
BASICプラン:10万円/月額
STARTERプラン:5万円/月額
Freeプラン:0円/月額
※契約は年単位
お問い合わせ
ASM
Webアプリケーション診断
Wordpress診断
SaaS診断
株式会社アイロバ BLUE Sphere
  • WAFだけでは対処しきれないWebサイトのあらゆる脅威に、オールインワンのセキュリティサービスで対応
  • 他社を上回る機能を他社よりもリーズナブルに
  • 基本プランで全ての脅威に対処。WebサイトのSSL化にも無償で対応
~1.004TB 月額/45,000円
~5.022TB 月額/78,000円
~10.044TB 月額/154,000円
WAF
DDos攻撃からの防御
改ざん検知
DNS監視サービス
サイバーセキュリティ保険
ペンタセキュリティ株式会社 Cloudbric WAF+
  • WAFを超えた多彩な機能。クラウド型Webセキュリティプラットフォーム
  • 安心のサポートとユーザビリティ
  • 保護対象のFQDN数およびピーク時トラフィックの2つの条件の組み合わせで利用プランをご提案
  • 簡単3ステップでご利用開始
月額サービス料金
28,000円~

初期導入費用
68,000円~
WAFサービス
DDoS攻撃対策サービス
SSL証明書サービス
脅威IP遮断サービス
悪性ボット遮断サービス
バルテス株式会社 PrimeWAF
  • カンタン設定でしっかり防御
  • 状況がすぐにわかるダッシュボード
  • 月額料金も良心価格
1サイト限定プラン
初期費用 55,000円
0GB以上160GB未満 14,300円
160GB以上10TB未満 33,000円
10TB以上32TB未満 110,000円

サイト入れ放題プラン
初期費用 55,000円
0TB以上10TB未満 110,000円
10TB以上32TB未満 220,000円
ペネトレーションテストサービス
クラウド診断サービス
セキュアプログラミングのソフトウェア品質セミナー
WAF
EGセキュアソリューションズ株式会社 SiteGuard Cloud Edition
  • クラウド WAF だからカンタン導入・運用お任せ!
  • 圧倒的なコストパフォーマンス!
  • 信頼と実績の Web セキュリティ!
通信量 400GBまで
初期費用 ¥100,000
価格 (月額) ¥25,000

通信量 1TBまで
初期費用 ¥100,000
価格 (月額) ¥50,000

通信量 4TBまで
初期費用 ¥100,000
価格 (月額) ¥80,000

通信量 10TBまで
初期費用 ¥200,000
価格 (月額) ¥170,000

通信量 20TBまで
初期費用 ¥200,000
価格 (月額) ¥280,000

通信量 40TBまで
初期費用 ¥200,000
価格 (月額) ¥520,000
シグネチャ検査(更新、設定はマネージドサービスとして提供します。)
CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。)
アクセス制御
国別フィルタ
ダッシュボード
レポート機能
専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。)
Amazon Web Services, Inc. AWS WAF
  • ウェブトラフィックフィルタリング
  • AWS WAF Bot Control
  • アカウント乗っ取り詐欺の防止
  • アカウント作成詐欺防止
  • フル機能 API
  • リアルタイムの可視性
  • AWS Firewall Manager への統合
Web ACL 月あたり (時間で案分) USD 5.00
ルール 月あたり (時間で案分) USD 1.00
リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*)
Bot Control と Fraud Control 上記のタブによる追加費用
ウェブトラフィックフィルタリング
AWS WAF Bot Control
アカウント乗っ取り詐欺の防止
アカウント作成詐欺防止
フル機能 API
リアルタイムの可視性
AWS Firewall Manager への統合
株式会社ROCKETWORKS イージスWAFサーバセキュリティ
  • Webサーバ・Webサービスへの攻撃や不審な通信を自動で徹底ブロック
  • 最短即日・再起動も不要のカンタン導入
  • AWSをはじめ最新のクラウド環境にも対応
  • 人気ECサイト、Webサービスも安心の低負荷・低遅延
  • 日本人エンジニア執筆による「読んでわかる」レポートを毎月送付
イージスサーバセキュリティタイプ
月額/50,000円

イージスDDoSセキュリティタイプ
~2Mbps 初期費用/¥98,000 月額/¥40,000
~5Mbps 初期費用/¥98,000 月額/¥60,000
~10Mbps 初期費用/¥98,000 月額/¥120,000
~50Mbps 初期費用/¥198,000 月額/¥198,000
~100Mbps 初期費用/¥198,000 月額/¥250,000
~200Mbps 初期費用/¥198,000 月額/¥450,000
200Mbps以上 別途見積もり
サイバー攻撃の検出/遮断
月次レポート
サイバーセキュリティに関するアドバイザリー
法務相談(オプション)
SBテクノロジー株式会社 Imperva WAF
  • 自動学習機能による導入運用負荷軽減
  • 細かなポリシー設定
  • 簡単に導入可能
  • Imperva 独自の研究機関『ADC』
  • 仮想パッチの適用
- Web Application Firewall
株式会社セキュアスカイ・テクノロジー Scutum
  • かんたん導入 約1週間
  • おまかせ運用 運用不要、24時間365日フルサポート
  • 明快な料金 約3万円~
  • 安心の実績 稼働率は99.999%以上※2023年までの5年間の実績、12年連続シェアNo.1、年間500件以上の脆弱性診断
~500kbps 初期費用 98,000円 月額 29,800円
~5Mbps 初期費用 98,000円 月額 59,800円
~10Mbps 初期費用 98,000円 月額 128,000円

~50Mbps 初期費用 198,000円 月額 148,000円
~100Mbps 初期費用 198,000円 月額 198,000円
~200Mbps 初期費用 198,000円 月額 298,000円
200Mbps 初期費用198,000円 100Mbps毎に100,000円加算
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能
2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません)
3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能
4 レポート機能 下記の内容を管理画面上で報告する機能
 ・攻撃元(IPアドレス)top5
 ・攻撃種別top5
 ・防御ログの月別ダウンロード
5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能
6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能
7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能
8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能
9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能
10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能
11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能
エヌ・ティ・ティ・スマートコネクト株式会社 SmartConnect Network & Security
  • めんどうなセキュリティ対策をまるっとおまかせ
  • 変化するビジネス要件に、柔軟に対応できる
  • 安心・セキュアを継続できる品質と実績
- UTM
WAF
DDoS
Webプロキシ
メールセキュリティ
ロードバランサ
VPN
株式会社モニタラップ AIONCLOUD WAAP
  • ひとつのコンソールで提供する統合セキュリティ
  • 進化する脅威に対応するアプリケーションセキュリティサービス
- WAF
Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。

APIセキュリティ
企業のAPIに対する可視性を提供し脅威を遮断します。

ボット緩和
ボットのトラフィックを管理し、Webサイトを保護します。

DDoS保護
アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。
フォーティネットジャパン合同会社 FortiWeb
  • WEBアプリケーション保護
  • 機械学習に基づいた脅威検知
  • セキュリティ ファブリックの統合
  • 高度な分析
  • 誤検知の減災
  • ハードウェアベースのアクセラレーション
- アプリケーションのセキュリティ
コンテンツセキュリティ
デバイスのセキュリティ
NOC/SOC セキュリティ
ウェブセキュリティ
管理された検出と対応
SOC-as-a-Service
インシデント対応サービス
サイバーセキュリティの評価と準備状況
バラクーダネットワークス Barracuda Web Application Firewall
  • Web攻撃とDDoSを確実に防止
  • 悪意のあるボットの動きを完全に静止
  • APIとモバイルアプリの保護
  • きめ細かなアクセス制御と安全なアプリ配信を実現
  • セキュリティの自動化と統合
  • 攻撃とトラフィックパターンの可視化
- WebアプリケーションとAPIの保護

+ OWASPおよびゼロデイ攻撃に対する保護
+ 高度なボット攻撃からアプリケーションを保護
+ API保護
+ サーバクローキング
+ URL暗号化
+ GEO IPとIPレピュテーションチェック
+ マルウェア対策とウィルス対策
+ マルチプロトコルサポート
+ アプリケーションDDoS対策
+ 大規模なDDoSの防止
+ JSONセキュリティ
+ XMLファイアウォール
+ アクティブ脅威インテリジェンス
+ クライアントサイドプロテクション

アプリケーションデリバリ
+ アプリケーションの負荷分散と監視
+ コンテンツルーティング
+ キャッシュ、圧縮、トラフィックの最適化

データ保護とコンプライアンス
+ アウトバウンドDLP
+ コンプライアンス認証

IAM
+ SAMLサポートとSSO
+ クライアント証明書ベースの認証
+ AD FSとの統合
+ LDAP、Kerberos、およびRADIUSとの統合
+ 2要素認証

レポート
+ Barracuda Active Threat Intelligenceダッシュボード
+ 直感的なドリルダウンレポート
+ 包括的なログ
+ SIEMとの統合

管理
+ HAクラスタリング
+ ロールベースの緻密なアクセス制御
+ REST APIによる自動化とスケーラビリティ
+ 統合的なDevSecOpsの有効化
+ デフォルトのセキュリティテンプレート

中央管理
+ 単一コンソール
+ 証明書の中央管理
+ 中央管理通知とアラート

使いやすさ
+ アプリケーション学習(アダプティブプロファイリング)
+ 仮想パッチと脆弱性スキャナとの統合
+ 自動構成エンジン
セコムトラストシステムズ株式会社 マネージドWAFサービス
  • AWS、Azure 等の、各種クラウド環境でも利用することができます。
  • メーカーシグネチャに加え、個別シグネチャを迅速に作成することができます。
  • クラウド型なので直ぐにご利用いただけます。(※大規模システム向けにはオンプレミス型(マネージドWAFサービス標準型)も提供できます)
  • ストラッツ(Struts)の脆弱性対策も実施することができます。
  • クレジットカード番号の外部流出を検知し防止することができます。
  • DDoS攻撃対策も実施することができます。(オプション)
- DDoS対策
ファイアウォール
IPS
WAF
Amazon Web Services, Inc. AWS Shield
  • AWS Shield Standard
    ↳基盤となる AWS サービスの静的しきい値 DDoS 保護
    ↳インラインの攻撃緩和
  • AWS Shield Advanced
    ↳アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
    ↳正常性に基づく検出
    ↳高度な攻撃緩和機能
    ↳自動アプリケーションレイヤー DDoS 緩和策
    ↳積極的なイベント応答
    ↳保護グループ
    ↳可視性と攻撃の通知
    ↳DDoS コスト保護
    ↳専門サポート
    ↳グローバルな可用性
    ↳一元化された保護管理
- AWS Shield Standard
基盤となる AWS サービスの静的しきい値 DDoS 保護
インラインの攻撃緩和

AWS Shield Advanced
アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
正常性に基づく検出
高度な攻撃緩和機能
自動アプリケーションレイヤー DDoS 緩和策
積極的なイベント応答
保護グループ
可視性と攻撃の通知
DDoS コスト保護
専門サポート
グローバルな可用性
一元化された保護管理
ページ先頭へ戻る