脆弱性診断(セキュリティ診断)の必要性や違いなどを徹底解説
【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬
セキュリティ診断とは専用のツールや専門家の手で、セキュリティ上の脆弱性がないか確認することです。システムに欠陥があると、ウイルス感染や不正アクセスの温床になります。これらの攻撃を受けると事業停止に追い込まれることもあるため、セキュリティ診断で脆弱性を確認し、改修を行うことが必要です。
本記事では、セキュリティ診断とはなにか、実行が必要な理由や、ペネトレーションテストとの違いなどを解説します。
おすすめのWebセキュリティサービス一覧
scroll →
会社名 | サービス名 | 特長 | 費用 | 主なサービス |
---|---|---|---|---|
株式会社サイバーセキュリティクラウド | 攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
株式会社スリーシェイク | Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
株式会社アイロバ | BLUE Sphere |
|
~1.004TB 月額/45,000円 ~5.022TB 月額/78,000円 ~10.044TB 月額/154,000円 |
WAF DDos攻撃からの防御 改ざん検知 DNS監視サービス サイバーセキュリティ保険 |
ペンタセキュリティ株式会社 | Cloudbric WAF+ |
|
月額サービス料金 28,000円~ 初期導入費用 68,000円~ |
WAFサービス DDoS攻撃対策サービス SSL証明書サービス 脅威IP遮断サービス 悪性ボット遮断サービス |
バルテス株式会社 | PrimeWAF |
|
1サイト限定プラン 初期費用 55,000円 0GB以上160GB未満 14,300円 160GB以上10TB未満 33,000円 10TB以上32TB未満 110,000円 サイト入れ放題プラン 初期費用 55,000円 0TB以上10TB未満 110,000円 10TB以上32TB未満 220,000円 |
ペネトレーションテストサービス クラウド診断サービス セキュアプログラミングのソフトウェア品質セミナー WAF |
EGセキュアソリューションズ株式会社 | SiteGuard Cloud Edition |
|
通信量 400GBまで 初期費用 ¥100,000 価格 (月額) ¥25,000 通信量 1TBまで 初期費用 ¥100,000 価格 (月額) ¥50,000 通信量 4TBまで 初期費用 ¥100,000 価格 (月額) ¥80,000 通信量 10TBまで 初期費用 ¥200,000 価格 (月額) ¥170,000 通信量 20TBまで 初期費用 ¥200,000 価格 (月額) ¥280,000 通信量 40TBまで 初期費用 ¥200,000 価格 (月額) ¥520,000 |
シグネチャ検査(更新、設定はマネージドサービスとして提供します。) CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。) アクセス制御 国別フィルタ ダッシュボード レポート機能 専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。) |
Amazon Web Services, Inc. | AWS WAF |
|
Web ACL 月あたり (時間で案分) USD 5.00 ルール 月あたり (時間で案分) USD 1.00 リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*) Bot Control と Fraud Control 上記のタブによる追加費用 |
ウェブトラフィックフィルタリング AWS WAF Bot Control アカウント乗っ取り詐欺の防止 アカウント作成詐欺防止 フル機能 API リアルタイムの可視性 AWS Firewall Manager への統合 |
株式会社ROCKETWORKS | イージスWAFサーバセキュリティ |
|
イージスサーバセキュリティタイプ 月額/50,000円 イージスDDoSセキュリティタイプ ~2Mbps 初期費用/¥98,000 月額/¥40,000 ~5Mbps 初期費用/¥98,000 月額/¥60,000 ~10Mbps 初期費用/¥98,000 月額/¥120,000 ~50Mbps 初期費用/¥198,000 月額/¥198,000 ~100Mbps 初期費用/¥198,000 月額/¥250,000 ~200Mbps 初期費用/¥198,000 月額/¥450,000 200Mbps以上 別途見積もり |
サイバー攻撃の検出/遮断 月次レポート サイバーセキュリティに関するアドバイザリー 法務相談(オプション) |
SBテクノロジー株式会社 | Imperva WAF |
|
- | Web Application Firewall |
株式会社セキュアスカイ・テクノロジー | Scutum |
|
~500kbps 初期費用 98,000円 月額 29,800円 ~5Mbps 初期費用 98,000円 月額 59,800円 ~10Mbps 初期費用 98,000円 月額 128,000円 ~50Mbps 初期費用 198,000円 月額 148,000円 ~100Mbps 初期費用 198,000円 月額 198,000円 ~200Mbps 初期費用 198,000円 月額 298,000円 200Mbps 初期費用198,000円 100Mbps毎に100,000円加算 |
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能 2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません) 3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能 4 レポート機能 下記の内容を管理画面上で報告する機能 ・攻撃元(IPアドレス)top5 ・攻撃種別top5 ・防御ログの月別ダウンロード 5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能 6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能 8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能 9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能 10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能 11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能 |
エヌ・ティ・ティ・スマートコネクト株式会社 | SmartConnect Network & Security |
|
- |
UTM WAF DDoS Webプロキシ メールセキュリティ ロードバランサ VPN |
株式会社モニタラップ | AIONCLOUD WAAP |
|
- |
WAF Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。 APIセキュリティ 企業のAPIに対する可視性を提供し脅威を遮断します。 ボット緩和 ボットのトラフィックを管理し、Webサイトを保護します。 DDoS保護 アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。 |
フォーティネットジャパン合同会社 | FortiWeb |
|
- |
アプリケーションのセキュリティ コンテンツセキュリティ デバイスのセキュリティ NOC/SOC セキュリティ ウェブセキュリティ 管理された検出と対応 SOC-as-a-Service インシデント対応サービス サイバーセキュリティの評価と準備状況 |
バラクーダネットワークス | Barracuda Web Application Firewall |
|
- |
WebアプリケーションとAPIの保護 + OWASPおよびゼロデイ攻撃に対する保護 + 高度なボット攻撃からアプリケーションを保護 + API保護 + サーバクローキング + URL暗号化 + GEO IPとIPレピュテーションチェック + マルウェア対策とウィルス対策 + マルチプロトコルサポート + アプリケーションDDoS対策 + 大規模なDDoSの防止 + JSONセキュリティ + XMLファイアウォール + アクティブ脅威インテリジェンス + クライアントサイドプロテクション アプリケーションデリバリ + アプリケーションの負荷分散と監視 + コンテンツルーティング + キャッシュ、圧縮、トラフィックの最適化 データ保護とコンプライアンス + アウトバウンドDLP + コンプライアンス認証 IAM + SAMLサポートとSSO + クライアント証明書ベースの認証 + AD FSとの統合 + LDAP、Kerberos、およびRADIUSとの統合 + 2要素認証 レポート + Barracuda Active Threat Intelligenceダッシュボード + 直感的なドリルダウンレポート + 包括的なログ + SIEMとの統合 管理 + HAクラスタリング + ロールベースの緻密なアクセス制御 + REST APIによる自動化とスケーラビリティ + 統合的なDevSecOpsの有効化 + デフォルトのセキュリティテンプレート 中央管理 + 単一コンソール + 証明書の中央管理 + 中央管理通知とアラート 使いやすさ + アプリケーション学習(アダプティブプロファイリング) + 仮想パッチと脆弱性スキャナとの統合 + 自動構成エンジン |
セコムトラストシステムズ株式会社 | マネージドWAFサービス |
|
- |
DDoS対策 ファイアウォール IPS WAF |
Amazon Web Services, Inc. | AWS Shield |
|
- |
AWS Shield Standard 基盤となる AWS サービスの静的しきい値 DDoS 保護 インラインの攻撃緩和 AWS Shield Advanced アプリケーショントラフィックパターンに基づいてカスタマイズされた検出 正常性に基づく検出 高度な攻撃緩和機能 自動アプリケーションレイヤー DDoS 緩和策 積極的なイベント応答 保護グループ 可視性と攻撃の通知 DDoS コスト保護 専門サポート グローバルな可用性 一元化された保護管理 |
この記事の目次はこちら
セキュリティ診断(脆弱性診断)とはセキュリティ上の欠陥がないか調査すること
セキュリティ診断(または脆弱性診断)とは、コンピューターのOSなどに疑似攻撃を行い、セキュリティ上の欠陥(脆弱性)がないか調査するサービスです。
企業の多くはサイバーセキュリティ対策を実施していますが、その方法に問題点があるかどうか、客観的に理解するのは難しいでしょう。
セキュリティ診断では、サイバー攻撃を仕掛ける側の立場から脆弱性を判断します。これにより適切な対策を実施し、不正アクセスやウイルスへの感染などのリスクのより強固に防止することが目的です。
脆弱性が生じる理由
脆弱性(ぜいじゃくせい)は、サイバーセキュリティ上の欠陥に当たり、「セキュリティーホール」とも呼ばれています。脆弱性が生じる原因は、設計段階でのミス、プログラムの不具合、設定上の間違い、管理体制の不備などがあります。このうち、プログラムの不具合などは見つかり次第、開発メーカーが更新プログラムを提供するのが一般的です。
問題は、更新プログラムを実行しても、脆弱性の完全な克服は困難であり、新たな欠陥が次々と見つかる点です。セキュリティ対策を講じていても新たな脆弱性の隙を突いて、不正アクセスやウイルスへの感染が生じる恐れがあります。
脆弱性の放置は重大事故につながる恐れがある
コンピューターやネットワークの脆弱性を放置すると、サイバー攻撃を受けやすくなります。結果として情報漏えいなどの重大事故につながる恐れがあるため対策が必要です。
データの改ざんや消去
不正アクセスをされると、ホームページの内容が書き換えられたり、重要ファイルが消去されたりする恐れがあります。ホームページやSNSなどに不適切な内容や文章が掲載されれば、企業の信頼が失墜しかねません。
さらに、ホームページのリンク先を変更し、訪問者がウイルスに感染するように仕向ける手口もあります。機密情報などの重要なファイルを消去されれば、業務の継続に影響が出る恐れもあります。
情報漏えいにつながる
顧客や従業員の氏名や住所、クレジットカードの利用履歴などの個人情報が窃取されれば、情報漏えいにつながる恐れがあります。
2023年に上場企業とその子会社が個人情報漏えい・紛失事故を報告した数は147社あり、このうち最も多かった原因は「ウイルス感染・不正アクセス」で、全体の53.1%(93件)を占めています。なお、実際に漏えいした個人情報は4,090万8,718人分です(※)。
※参考:IPA 独立行政法人 情報処理推進機構.「情報セキュリティ白書2024」P49.(2024-10-11).
身代金を請求される
データを改ざんするだけでなく、復元と引き換えに身代金を請求されることもあります。また、個人情報の窃取では、データを公開すると脅し多額の金銭を請求する手口にも注意が必要です。
このように、データの消去や暴露と引き換えに金銭を請求する手口を「二重恐喝」と呼び、ランサムウェアの感染で多く見られます。
業務停止に追い込まれる
不正アクセスによりシステム障害が発生すれば、業務停止に追い込まれます。さらに、復旧作業には多くの期間と費用がかかる点にも注意が必要です。
例えば、ランサムウェアの感染の場合、2023年の調査では復旧にかかった期間は「1週間以上1カ月未満」が最多となっています。また、費用は5,000万円以上の割合が過去3年間で最も多くなっています(※)。
※参考:IPA 独立行政法人 情報処理推進機構.「情報セキュリティ白書2024」P15.(2024-10-11)
サイバー攻撃の加害者にされる
サイバー犯罪の中には、特定を免れるために第三者のパソコンやサーバーを乗っ取り、そこから攻撃を仕掛けるケースがあります。これを「踏み台にする」と言います。
自社が踏み台にされれば、サイバー犯罪の被害者になるだけでなく、ウイルスをばらまく加害者にもなってしまいます。さらに、警察の調査では犯人の嫌疑をかけられ、誤認逮捕された例もあります。
セキュリティ診断(脆弱性診断)を行う必要性
セキュリティ診断はセキュリティ上の脅威を防ぎ、企業の信頼を維持し続けるために必要です。なお、セキュリティ診断はあくまでも脆弱性の判断のみとなります。診断結果を元に対策を行うことがなにより大切です。
セキュリティ上の脅威を防ぐため
セキュリティ診断は、不正アクセスやマルウェアの感染などの脅威(セキュリティインシデント)を防ぐために必要です。仮にセキュリティツールを複数導入していても、IDやPWの管理がずさんなど、自社では気が付かない部分に脆弱性が隠れていればサイバー攻撃は防げません。
セキュリティ診断では、自社だけでは判断できないセキュリティ上のリスクの可視化が可能です。このため、脅威に対しやるべき対策を過不足なく実行できます。
企業の信頼や信用を維持するため
セキュリティインシデントが発生すれば、業務が一定期間停止するだけでなく、復旧後も企業の信頼や信用に影響が出てしまいます。
消費者の多くは個人情報の漏えいした企業や団体に対しネガティブな印象を受けるため、今後、該当企業のサービスの利用を控えるかもしれません。このため、セキュリティ診断を行い、対策を十二分に行うことが大切です。
脆弱性診断(セキュリティ診断)を行う対象
セキュリティ診断は自社のネットワークだけでなく、自社で開発したアプリケーションにセキュリティ上の欠陥があるか調べることもできます。主な診断対象を紹介します。
プラットフォーム診断(ネットワーク診断)
プラットフォーム診断(ネットワーク診断)とは、システムを構成するネットワーク機器などに脆弱性がないか検査するものです。具体的には、OSやサーバー、VPN、ミドルウェアなどが対象です。
OSなどは世界中で使用さているため、脆弱性はほぼ毎日発見されています。しかし、自社のみで更新プログラム全てを確認し、適用するのは困難です。
プラットフォーム診断では使用機器の脆弱性に対する最新情報の収集や、設定の不備の確認などを行います。また、サーバーにあるネットワーク接続のための出入口「ポート」を確認し、不要なポートが開いていないかなども検査します。
ホスト診断
ホスト診断とは、企業のサーバーにログインし、内部から脆弱性を確認する方法です。ネットワーク診断が外部から脆弱性を確認するのに対し、ホスト診断は内部から確認するため、より多くの問題点を把握できます。
例えば、アカウント設定やパスワード設定、セキュリティパッチの適用状況などです。管理体制など基礎的な問題点も把握できます。
無線LANセキュリティ診断
無線LANは便利な反面、脆弱性があれば社内ネットワークに侵入されやすいです。無線LANセキュリティ診断では、無線LANアクセスポイントに以下のセキュリティリスクがないか確認します。
- 盗聴:無線LAN通信の電波の傍受がされないか
- なりすまし:正規のアクセスポイントを偽っているものはないか
- 不正なアクセスポイント:窃取を目的としたアクセスポイントはないか
Webアプリケーション診断
Webアプリケーション診断では、自社で作成したWebサイトやWebアプリに脆弱性がないか確認します。具体的には、ECサイトや企業のホームページなどが挙げられます。
Webアプリケーションには特有の脆弱性があるため注意が必要です。例えば、ディレクトリの構成に脆弱性があると、本来確認できないはずのファイルの中身が見える状態になります。これを「ディレクトリリスティング」と呼び、このような攻撃ができる隙がないか確認します。
スマートフォンアプリケーション診断
スマートフォンアプリケーション診断では、自社で開発したスマートフォン向けアプリに脆弱性がないか確認します。OSが異なるため、Webアプリケーション診断とは別の診断が必要です。
診断では、アプリ本体、アプリをインストールした端末、アプリとサーバー間の通信など、複数の視点から診断を行います。
セキュリティ診断(脆弱性診断)の方法
セキュリティ診断の方法には、専用のツールを使う「ツール診断」と、ホワイトハッカーなど人の手で診断をする「手動診断」の2種類があります。
また、診断を実施する方法にはインターネット経由で脆弱性を判断する「リモート診断」と、エンジニアが現地に赴き判断する「オンサイト診断」の2種類があります。
ツール診断と手動診断
ツール診断と手動診断、それぞれの特徴を解説します。
ツール診断
ツール診断とは、専用のツールを使って脆弱性を判断する方法です。 ソフトウェアタイプやクラウド型のセキュリティ診断ツールもあり、これらを使えば自社のみでも診断が可能です。
ツール診断のメリットは、診断時間や費用を抑えられる点です。自社にセキュリティエンジニアが在籍しているなら、補助として使ってもよいでしょう。一方で、診断項目一律で脆弱性を見落とす恐れがあるため、自社に専門性がないと活用は難しいでしょう。
手動診断
手動診断とは、ホワイトハッカーやセキュリティの専門家などが、手動で診断をする方法です。ツールだけでは見落とす脆弱性を発見でき、依頼者の環境に応じた診断ができる点がメリットです。
デメリットは、全て手動診断とすると作業時間やコストが膨らむ点です。このため、ツール診断と手動診断を組み合わせる方法もあります。
リモート診断とオンサイト診断
リモート診断とオンサイト診断の違いを解説します。
リモート診断
リモート診断とは、インターネット経由でセキュリティ診断をする方法です。インターネット上に公開されているサーバーやアプリが対象です。
オンサイト診断
オンサイト診断とは、顧客のネットワーク環境のある場所まで担当者が赴き診断する方法です。イントラネットサーバーなど、インターネットと接続していない環境の診断も可能です。
セキュリティ診断(脆弱性診断)とペネトレーションテストの違い
セキュリティ診断と同じく、システムの脆弱性を確認する方法に「ペネトレーションテスト」があります。ペネトレーションテスト(侵入テスト)では実践的な模擬ハッキングを行い、現在のセキュリティ対策でどの程度サイバー攻撃に耐えられるか判断します。
両者の違いは調査の目的です。セキュリティ診断は不正アクセスやウイルス感染の可能性のある部分の特定が目的です。攻撃の侵入口を網羅的に調査するものの、セキュリティが実際に機能するかどうかまでは確認しません。
一方、ペネトレーションテストでは、サイバー攻撃を受けた際、セキュリティがどの程度機能するか確認するのが目的です。合わせて、セキュリティ対策が十分か、突破されたときどの程度被害が生じるかも確認します。実際のサイバー攻撃と同様の方法を使うため、調査範囲は限定的です。
セキュリティ診断(脆弱性診断)実施時の流れ
セキュリティ診断を行うときの流れは以下のとおりです。
- 事前調整をする
- 診断を実施する
- レポートを確認する
- レポート内容に沿って改修する
- アフターフォロー
それぞれ解説します。
事前調整をする
まずはセキュリティ診断サービスを選定し、診断対象を決定します。診断対象により必要な資料や環境が異なり、診断の範囲により実施日数が異なるため事前に確認しましょう。ある程度セキュリティ診断の内容が決まったら見積もりを依頼し、具体的な日程調整を進めます。
診断を実施する
事前調整で決定した実行スケジュールに沿って診断を進めます。多くの場合、診断中であっても重大な脆弱性が発見されれば、担当者から速報が送られてくるため確認しましょう。
レポートを確認する
全ての調査が終了すると、セキュリティ診断会社で診断内容を分析してまとめた「セキュリティ診断レポート」が作成されます。受け取ったらどのような脆弱性があるかなど内容を確認しましょう。
会社によっては報告会などを実施し、担当者から直接説明を聞けたり、疑問を確認できたりするサービスもあります。
レポート内容に沿って改修する
セキュリティ診断で行うのは脆弱性の確認のみです。システムの改修は自社で行う必要があるため注意しましょう。
アフターフォロー
セキュリティ診断会社によっては、診断後に質問期間を設けたり、改修状況を確認したりするアフターフォローを設けています。積極的に活用しましょう。
セキュリティ診断(脆弱性診断)の選び方
セキュリティ診断を選ぶときは、診断方法が自社の課題にあっているか確認しましょう。また、手動診断は専門家の力量により結果が左右されるため、経験年数などを確認するとよいでしょう。
診断方法
診断方法はツール診断と手動診断のどちらに対応しているか、また組み合わせて実行できるかなどを確認しましょう。
企業の状況により適した診断方法は異なるものの、個人情報などの機密性の高い情報を扱っているのであれば、手動診断の方がよいでしょう。手動診断であれば担当者と相談しながら診断を進められるなど、サポートが充実していることが多いためです。
診断水準
手動診断の場合、診断水準の高さは担当者の力量により差が生まれます。また、自社と同じ業界や診断対象での導入事例が多いほど、専門性は高くなります。
診断水準を確認したいときは、スタッフの保有資格や受賞歴、経験年数などを確認するとよいでしょう。また、サービス会社の質を確認したいときは、診断年数や診断対象数、導入事例を確認してみましょう。
サポート内容
サポートが充実していれば、継続して堅牢なセキュリティ対策を実施しやすくなります。セキュリティ診断は一度実施して終わりではなく、年に1回以上の実施が推奨されています。このため、サポートが充実している会社に依頼した方が、継続してセキュリティレベルを維持しやすくなります。
特に、診断後に具体的な対策案が提示されるなど、アフターサポートが充実していれば不便があったときも頼りやすいでしょう。
セキュリティ対策は脆弱性に注意しよう
セキュリティ診断では自社のセキュリティに脆弱性がないか、ツールを使ったり、専門家が確認したりして判断します。セキュリティに脆弱性があるとサイバー攻撃で狙われやすくなります。このため、セキュリティ診断を実施し欠陥を確認して、改修を進めることが重要です。
なお、セキュリティ診断ではあくまでも脆弱性の判断しかできません。実際の対策は自社で進める必要があるため注意しましょう。以下の記事では、Webセキュリティ対策に役立つツールやサービスを紹介しています。ぜひ参考にしてください。
おすすめのWebセキュリティサービス一覧
scroll →
会社名 | サービス名 | 特長 | 費用 | 主なサービス |
---|---|---|---|---|
株式会社サイバーセキュリティクラウド | 攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
株式会社スリーシェイク | Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
株式会社アイロバ | BLUE Sphere |
|
~1.004TB 月額/45,000円 ~5.022TB 月額/78,000円 ~10.044TB 月額/154,000円 |
WAF DDos攻撃からの防御 改ざん検知 DNS監視サービス サイバーセキュリティ保険 |
ペンタセキュリティ株式会社 | Cloudbric WAF+ |
|
月額サービス料金 28,000円~ 初期導入費用 68,000円~ |
WAFサービス DDoS攻撃対策サービス SSL証明書サービス 脅威IP遮断サービス 悪性ボット遮断サービス |
バルテス株式会社 | PrimeWAF |
|
1サイト限定プラン 初期費用 55,000円 0GB以上160GB未満 14,300円 160GB以上10TB未満 33,000円 10TB以上32TB未満 110,000円 サイト入れ放題プラン 初期費用 55,000円 0TB以上10TB未満 110,000円 10TB以上32TB未満 220,000円 |
ペネトレーションテストサービス クラウド診断サービス セキュアプログラミングのソフトウェア品質セミナー WAF |
EGセキュアソリューションズ株式会社 | SiteGuard Cloud Edition |
|
通信量 400GBまで 初期費用 ¥100,000 価格 (月額) ¥25,000 通信量 1TBまで 初期費用 ¥100,000 価格 (月額) ¥50,000 通信量 4TBまで 初期費用 ¥100,000 価格 (月額) ¥80,000 通信量 10TBまで 初期費用 ¥200,000 価格 (月額) ¥170,000 通信量 20TBまで 初期費用 ¥200,000 価格 (月額) ¥280,000 通信量 40TBまで 初期費用 ¥200,000 価格 (月額) ¥520,000 |
シグネチャ検査(更新、設定はマネージドサービスとして提供します。) CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。) アクセス制御 国別フィルタ ダッシュボード レポート機能 専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。) |
Amazon Web Services, Inc. | AWS WAF |
|
Web ACL 月あたり (時間で案分) USD 5.00 ルール 月あたり (時間で案分) USD 1.00 リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*) Bot Control と Fraud Control 上記のタブによる追加費用 |
ウェブトラフィックフィルタリング AWS WAF Bot Control アカウント乗っ取り詐欺の防止 アカウント作成詐欺防止 フル機能 API リアルタイムの可視性 AWS Firewall Manager への統合 |
株式会社ROCKETWORKS | イージスWAFサーバセキュリティ |
|
イージスサーバセキュリティタイプ 月額/50,000円 イージスDDoSセキュリティタイプ ~2Mbps 初期費用/¥98,000 月額/¥40,000 ~5Mbps 初期費用/¥98,000 月額/¥60,000 ~10Mbps 初期費用/¥98,000 月額/¥120,000 ~50Mbps 初期費用/¥198,000 月額/¥198,000 ~100Mbps 初期費用/¥198,000 月額/¥250,000 ~200Mbps 初期費用/¥198,000 月額/¥450,000 200Mbps以上 別途見積もり |
サイバー攻撃の検出/遮断 月次レポート サイバーセキュリティに関するアドバイザリー 法務相談(オプション) |
SBテクノロジー株式会社 | Imperva WAF |
|
- | Web Application Firewall |
株式会社セキュアスカイ・テクノロジー | Scutum |
|
~500kbps 初期費用 98,000円 月額 29,800円 ~5Mbps 初期費用 98,000円 月額 59,800円 ~10Mbps 初期費用 98,000円 月額 128,000円 ~50Mbps 初期費用 198,000円 月額 148,000円 ~100Mbps 初期費用 198,000円 月額 198,000円 ~200Mbps 初期費用 198,000円 月額 298,000円 200Mbps 初期費用198,000円 100Mbps毎に100,000円加算 |
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能 2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません) 3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能 4 レポート機能 下記の内容を管理画面上で報告する機能 ・攻撃元(IPアドレス)top5 ・攻撃種別top5 ・防御ログの月別ダウンロード 5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能 6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能 8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能 9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能 10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能 11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能 |
エヌ・ティ・ティ・スマートコネクト株式会社 | SmartConnect Network & Security |
|
- |
UTM WAF DDoS Webプロキシ メールセキュリティ ロードバランサ VPN |
株式会社モニタラップ | AIONCLOUD WAAP |
|
- |
WAF Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。 APIセキュリティ 企業のAPIに対する可視性を提供し脅威を遮断します。 ボット緩和 ボットのトラフィックを管理し、Webサイトを保護します。 DDoS保護 アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。 |
フォーティネットジャパン合同会社 | FortiWeb |
|
- |
アプリケーションのセキュリティ コンテンツセキュリティ デバイスのセキュリティ NOC/SOC セキュリティ ウェブセキュリティ 管理された検出と対応 SOC-as-a-Service インシデント対応サービス サイバーセキュリティの評価と準備状況 |
バラクーダネットワークス | Barracuda Web Application Firewall |
|
- |
WebアプリケーションとAPIの保護 + OWASPおよびゼロデイ攻撃に対する保護 + 高度なボット攻撃からアプリケーションを保護 + API保護 + サーバクローキング + URL暗号化 + GEO IPとIPレピュテーションチェック + マルウェア対策とウィルス対策 + マルチプロトコルサポート + アプリケーションDDoS対策 + 大規模なDDoSの防止 + JSONセキュリティ + XMLファイアウォール + アクティブ脅威インテリジェンス + クライアントサイドプロテクション アプリケーションデリバリ + アプリケーションの負荷分散と監視 + コンテンツルーティング + キャッシュ、圧縮、トラフィックの最適化 データ保護とコンプライアンス + アウトバウンドDLP + コンプライアンス認証 IAM + SAMLサポートとSSO + クライアント証明書ベースの認証 + AD FSとの統合 + LDAP、Kerberos、およびRADIUSとの統合 + 2要素認証 レポート + Barracuda Active Threat Intelligenceダッシュボード + 直感的なドリルダウンレポート + 包括的なログ + SIEMとの統合 管理 + HAクラスタリング + ロールベースの緻密なアクセス制御 + REST APIによる自動化とスケーラビリティ + 統合的なDevSecOpsの有効化 + デフォルトのセキュリティテンプレート 中央管理 + 単一コンソール + 証明書の中央管理 + 中央管理通知とアラート 使いやすさ + アプリケーション学習(アダプティブプロファイリング) + 仮想パッチと脆弱性スキャナとの統合 + 自動構成エンジン |
セコムトラストシステムズ株式会社 | マネージドWAFサービス |
|
- |
DDoS対策 ファイアウォール IPS WAF |
Amazon Web Services, Inc. | AWS Shield |
|
- |
AWS Shield Standard 基盤となる AWS サービスの静的しきい値 DDoS 保護 インラインの攻撃緩和 AWS Shield Advanced アプリケーショントラフィックパターンに基づいてカスタマイズされた検出 正常性に基づく検出 高度な攻撃緩和機能 自動アプリケーションレイヤー DDoS 緩和策 積極的なイベント応答 保護グループ 可視性と攻撃の通知 DDoS コスト保護 専門サポート グローバルな可用性 一元化された保護管理 |