セキュリティ診断サービス5選!選び方のポイントや費用目安を解説
Webサイト・アプリ・システムを安全に運用するためには、脆弱性がないかをチェックする「セキュリティ診断サービス」が必要不可欠です。
しかし、サービス利用にあたり次のような疑問はありませんか?
「セキュリティ診断サービスの種類が多くてどれがいいかわからない」
「サービス選びに失敗しないポイントは?」
「低コストで手軽に診断できるサービスはないの?」
そこで本記事では、おすすめのセキュリティ診断サービス5つの診断内容と費用目安を徹底解説。
また、自社に最適な診断サービスを選ぶための3つのポイントも分かりやすく説明するので、損なく診断を受けたい企業の担当者様は必見です。
【1分解説】セキュリティ診断サービスとは?
- セキュリティ診断サービスでは、何を診断するのでしょうか?また診断する目的もよく分かっていません。
- Webサイト・アプリ・サーバ・ネットワーク・OSなどに脆弱性がないかを診断するサービスです。具体的には、スキャンや疑似攻撃を実施してセキュリティ上の欠陥がないかをチェックします。
従来、セキュリティ上の脆弱性は「社内のセキュリティ担当チームでのチェック」「セキュリティ製品を購入での対応」で解決するのが基本でした。
しかし、多くの企業では、
- セキュリティ人材の不足
- セキュリティを強化すべき領域の拡大・複雑化
といった2つの理由から、自社での対応は難しくなっています。
なので、セキュリティ診断サービスで自社の課題を知り、セキュリティ専門家のサポートを受ける企業が増えています。
また診断は一度だけではなく、定期的に行なうことが推奨されています。
定期的なセキュリティ診断のメリットや、方法についての詳細は以下の記事をご覧ください。
自社に合ったセキュリティ診断サービスを選ぶための3つのポイント
- どのセキュリティ診断サービスを選んだら良いのか、悩んでいます。選ぶ際のポイントはありますか?
- セキュリティ診断サービスを選ぶポイントは3つあります。それは診断方法や費用相場を知ること、診断できる範囲を確認すること、診断後のサポート体制を知ることです。では詳しく解説していきます。
ポイント①診断方法や費用相場を知る
セキュリティ診断サービスを選ぶ際は、まず診断方法や費用相場を把握しましょう。
診断方法には以下の2つがあります。
- ツール診断
自動検査ツールにより脆弱性のチェックを行う方法。
クラウド上で手軽に実施できる「クラウド型」と、インストールして診断を行う「ソフトウェア型」があります。
短時間かつ低コストで検査結果を知れるメリットがありますが、自社のシステム構造が複雑な場合、高い精度の結果が得られない場合もあります。 - 手動診断
セキュリティの専門家が検査を行う方法。
例えばWebアプリケーションの脆弱性をチェックする場合、エンジニアが実際にアプリを操作しながら検査を実施します。
診断にはコストと時間がかかりますが、精度が高く複雑なシステム構造などにも柔軟に対応できるメリットがあります。
基本的にコストと精度のバランスを考えてツールと手動を組み合わせるケースが多いです。
また診断内容に応じて、費用相場も大きく異なります。
■ツール診断のみのサービス・・・無料から数十万円
■ツール診断と手動診断を組み合わせたサービス・・・数十万~数百万円
個人情報を取り扱うECサイトなど、セキュリティ事故による大打撃を防止したい場合は、ツール診断と手動診断を組み合わせたセキュリティ診断サービスが適しています。
ポイント②診断できる範囲を確認する
セキュリティ診断サービスを利用する際は、診断できる範囲が自社のニーズに適しているか確認することも大切です。
診断項目はサービス内容やコースによって異なりますが、セキュリティ診断の主な項目には以下のようなものがあります。
【Webアプリケーション診断】
- SQLインジェクション
- OSコマンドインジェクション
- クロスサイトスクリプティング
- ディレクトリトラバーサル診断
- パラメータ書き換え診断
- 認証診断
【プラットフォーム診断】
- ポートスキャン検査
- ホスト情報収集
- Webサーバに対する脆弱性検査(Webサーバ・Mailサーバ、DNSサーバなど
- アカウント検査
- サービス設定検査
上記以外にも、ホワイトハッカーによる疑似攻撃でセキュリティ状況を検証する「ペネトレーションテスト」を提供する会社もあります。
脅威シナリオにもとづく実践的な方法で、被害があった場合の影響に至るまでを詳細に調べるテストです。
セキュリティ診断サービスごとに診断項目や範囲が異なるため、自社のニーズにマッチしたサービスを選ぶようにしましょう。
ポイント③診断後のサポート体制を知る
セキュリティ診断サービスを利用するにあたり、診断後のサポート体制を把握しておくこともとても重要です。
当然ですが、脆弱性の有無を知るだけではなんの対策にもなりません。
セキュリティ診断サービス後のわかりやすい報告書や、専門家による具体的な対策の説明から、実際に対策をしなければ意味がないですよね。
とにかく安いからとコストだけに目を向けてサービスを選ぶと、
「専門知識を持つスタッフがいなくてレポートの内容がわからない」
「レポートが日本語に対応していない」
といったトラブルにつながる可能性もあります。
特にIT専門のスタッフが在籍していない企業の場合は、いつでも専門家に相談できるサポート体制があると安心です。
セキュリティ診断サービス比較5選!気になる費用目安もご紹介
- では、セキュリティ診断サービスのおすすめはありますか?
- 特に、ツール診断と手動診断を組み合わせた有料のセキュリティ診断サービスがおすすめです。「株式会社ラック」「NTTビジネスソリューションズ株式会社」「株式会社アルファネット」などは、知名度や実績があり安心して利用できるサービスです。
セキュリティ診断サービスを選ぶ際の3つのポイント沿っておすすめのセキュリティ診断サービスを5社ご紹介します。
セキュリティ診断(脆弱性診断・検査)【株式会社ラック】
(引用:株式会社ラック)
「株式会社ラック」は、JASA(特定非営利活動法人 日本セキュリティ監査協会)の「情報セキュリティサービス基準適合サービスリスト」に登録されている会社です。
ラックのセキュリティ診断は約8,300団体の利用実績があり、総務省が2020年度に開設していた「テレワークのセキュリティあんしん無料相談窓口」を委託されるなど、民間企業から官公庁まで幅広い団体から高い評価を得ています。
マルウェアの侵入を想定して起こり得る被害を検証するAPT攻撃耐性診断サービス「APT先制攻撃」、攻撃者目線でホワイトハッカーが調査を実施する総合セキュリティ診断「ペネトレーションテスト」なども高い評価を得ているサービスです。
調査結果の報告には、見つかった脆弱性の影響範囲の説明や対策方法・優先順位の提案も含まれ、報告書提出後は3ヵ月間にわたり改善実施のサポートが受けられます。
セキュリティ診断の特徴
- 約8,300団体以上が導入するセキュリティ診断サービス
- ニーズに応じて選べる豊富なサービスメニュー
- 報告書提出後3ヵ月間のサポート対応あり
【費用目安】
- Webアプリケーション診断:100万円~/1サイト(20画面遷移)
- ペネトレーションテスト:700万円~
セキュリティ診断サービス【NTTビジネスソリューションズ株式会社】
(引用:NTTビジネスソリューションズ株式会社)
「NTTビジネスソリューション株式会社」は、10年以上に渡りNTT西日本グループのWebシステムセキュリティを守ってきた実績のある会社です。
経済産業省の「情報セキュリティサービス基準適合リスト」に登録されており、安心して利用できる高品質のサービスを提供しています。
診断メニューは「Webアプリケーション診断」「プラットフォーム診断」の2種類とシンプルで、セキュリティのエキスパートによるさまざまな疑似攻撃が実施して診断します。
緊急性の高い脆弱性が発見された場合は、速報の連絡と診断で得られた情報がいち早く開示されるなど、きめ細やかで迅速なサービスが魅力です。
基本的にインターネット経由のリモート診断を実施しますが、プラットフォーム診断や報告会は必要に応じて現地での実施にも対応します。
また報告後90日間はメールでのサポート対応も可能で、アフターフォローに関しても安心です。
セキュリティ診断の特徴
- NTT西日本グループのWebサイトを守るセキュリティのエキスパート
- 自動診断ツールによるリーズナブルな診断から診断技術者による高度な診断まで幅広い選択肢
- 報告後90日間のメールサポート期間あり
【費用目安】
- Webアプリケーション診断+プラットフォーム診断+診断結果報告:105万6,000円~
セキュリティ診断サービス【株式会社アルファネット】
(引用:株式会社アルファネット)
「株式会社アルファネット」は、IPA(独立行政法人情報処理推進機構)が公開する「情報セキュリティサービス基準適合サービス」に登録されている会社です。
これは、アルファネットが提供する「Webアプリケーション診断」「ネットワーク診断(プラットフォーム診断)」が、経済産業省の策定した「情報セキュリティサービス基準」に適合していることを表しています。
調査項目の「幅広さ」と「深さ」が魅力で、ウェブ健康診断LASDEC(財団法人地方自治情報センター)が最低限必要とするWebアプリケーションの診断項目を網羅しています。
また、自動診断ツールに頼ることなくすべての診断項目を手作業で行い、細部にわたる診断を高い精度で検査する品質の高さも特長です。
報告書は危険度別に仕分けられたわかりやすい仕様で、一般的な対処方法の解説が付いているため、すぐに改善に取り組めます。
オプションで報告会の開催も依頼でき、専門家による直接的なサポートが受けられて安心です。
セキュリティ診断の特徴
- 経済産業省が定める「情報セキュリティサービス基準」に適合したセキュリティ診断サービス
- 幅広い調査項目を手作業で細部にわたって診断
- 危険度別に仕分けられたわかりやすい報告書
【費用目安】
- Webアプリケーション診断: 24万円(1リクエスト)~
- プラットフォーム診断:25万円(1IP)~
セキュリティ診断【株式会社イエラエセキュリティ】
(引用:株式会社イエラエセキュリティ)
「株式会社イエラエセキュリティ」は、ハッカーの攻撃手段を熟知したホワイトハッカーによる診断が受けられるセキュリティ企業です。
国内外のハッキングイベント・大会で好成績を残したメンバーが在籍しています。
高い技術力を誇るホワイトハッカーの診断能力に定評があり、大手企業を含む多くの団体からセキュリティ診断の依頼を受けています。
「Webアプリケーション」「プラットフォーム診断」に加え、「スマホアプリ(iOS・Android)脆弱性診断」「ペネトレーションテスト」にも対応し、自社のニーズに合ったサービスをみつけやすいのも特長です。
診断レポートには具体的な内容・再現方法・リスク・対策方法が詳細に記載され、自社で素早く改善できるようになっています。
この診断レポートはサンプルを申し込むことで、事前に確認することも可能です。
セキュリティ診断の特徴
- ハッカーの攻撃手法を熟知したエンジニアによる高度な解析技術
- 自社のニーズに合わせて選べる幅広いサービス
- ホワイトハッカーの視点で受けられる実際的でわかりやすいアドバイス
【費用目安】
※要問合せ
脆弱性診断サービス【株式会社セキュアスカイ・テクノロジー】
「株式会社セキュアスカイ・テクノロジー」は、「インターネットを安全にする」をモットーに2006年に設立されたWebアプリケーションセキュリティの専門企業です。
「獨協大学」の学内システムや「福岡市」「タワーレコード株式会社」など、業界を問わずさまざまな団体の利用実績があります。
手動診断とツール診断を組み合わせ、手動による再度確認で精度の高い検査結果を実現します。
また緊急度の高い脆弱性が検出された場合は、診断速報提出により素早く対処できて安心です。
報告書提出後は1ヵ月間「QAサポート」があり、再診断は無償、診断報告会はオプションで付けられるなど手厚いサポート体制も魅力です。
「Webアプリケーション診断」と「プラットフォーム診断」をセットにするとお得なプランもあります。
セキュリティ診断の特徴
- 大企業から中小企業まで幅広い利用実績
- 手動による再検査実施で精度の高い診断結果
- 「Webアプリケーション診断+プラットフォーム診断」のリーズナブルなセットプランあり
【費用目安】
- Webアプリケーション診断:エキスパート診断128万円/エクスプレス診断40万円
- プラットフォーム診断:25万円
- セットプラン:エキスパート診断+プラットフォーム診断143万円/エクスプレス診断+プラットフォーム診断55万円
まとめ
おすすめのセキュリティ診断サービス5選を、利用する際のポイントとともにまとめました。
サイバー攻撃が高度化する昨今、定期的なセキュリティ診断はすべての企業にとって必要不可欠です。
本記事でご紹介したセキュリティ診断サービスは、いずれも大手企業を含む数多くの団体による利用実績があり、安心して依頼できるものばかりです。
サービスごとに診断項目や費用が異なりますから、本記事で解説したポイントを参考にして、自社のニーズに合う最適なサービスを選びましょう。
OFFICE110ならセキュリティ診断が無料!トータルサポートで安心
全国に取引実績12万社以上、オフィス機器を総合的に取り扱う「OFFICE110」です。
OFFICE110では、中小企業のセキュリティ対策に必要な機能をまとめた「CYBER BOX PRO」(NAS)や、アンチウイルスやファイアウォールなどの複数のセキュリティ機能を統合した「NISG6000Std」(UTM)をはじめとした、あらゆるセキュリティ商品を取り扱っています。
また通常は10万円以上のセキュリティ診断が、OFFICE110なら無料。
診断から貴社に必要な商品のご提案し、導入後のアフターサポートまで、ワンストップで対応いたします。
- セキュリティが少しでも気になっている方は、ぜひお気軽にご相談を。無料で診断いたしますので、自社のセキュリティを見直したい方はぜひお問合せください!
