【無料あり】脆弱性診断サービスおすすめ20選！4つの選び方も解説

「開発途中のアプリのセキュリティは大丈夫だろうか」
「運営中のWebサイトのセキュリティに弱点がないか不安」
とお悩みではありませんか。

セキュリティ上の弱点である「脆弱性」について、どうやって診断すればいいのかわからない、脆弱性が検知できても対策の仕方がわからないという方は多いと思います。

この記事では、Webアプリケーションやネットワーク機器に脆弱性がないか診断する「脆弱性診断サービス」について解説します。おすすめの脆弱性診断サービス20選や選び方も紹介しますので、ぜひご一読ください。

なお、不正検知システム「O-MOTION」のトライアルであれば、不正アクセスの状況がわかるレポートを作成可能です。脆弱性以外にも対策が必要なケースも判断しやすくなるため、以下からお気軽にお問い合わせください！

＼期間限定トライアル受付中／
O-MOTIONの詳細を見る
▲無料の資料請求はこちら

脆弱性診断サービスとは

「脆弱性診断サービス」とは、自社で開発･提供しているWebアプリやプラットフォームに対して「脆弱性」がないか診断するサービスです。

ツールや手動によりスキャンや疑似攻撃を行うことで脆弱性を検知し、サイバー攻撃を防ぐことが目的です。

企業のセキュリティに関しては、現状次のような課題があります。

自社のみでサイバー攻撃を防ぐことが難しくなりつつあり、できるだけ無駄なコストをかけずに、客観的なセキュリティの評価がほしいと考えるケースが多くなっています。また脆弱性診断サービスのなかには、結果に基づいて改善方法や対策方法をアドバイスするサービスもあります。

進化を続けるサイバー攻撃に備え、ユーザーに安全なサービスを提供し続けるため、脆弱性診断サービスは欠かせないものになるでしょう。

では、そのような脆弱性診断サービスは、どのように選べばいいのでしょうか。次の章で、サービスの選び方について解説します。

脆弱性診断サービスの4つの選び方

脆弱性診断サービスは、次のような基準で選ぶことをおすすめします。

順に解説します。

【選び方1】費用で選ぶ

選び方の1つ目は「費用」です。

脆弱性診断サービスには、大きく分けて「有料」のものと「無料」のものがあります。それぞれの違いを表にまとめました。

自社にセキュリティの知識に長けた人材がいる場合は無料のツールでも足りることはありますが、現実的には難しいと言えます。

また一般的に、ツールのみでの診断の場合は費用は格安（無料〜数十万円）であることが多いですが、ツールと手動の両方で診断してほしい場合はどうしても費用がかさみます。

ECサイトなど情報の漏洩を絶対に避けたいサービスを運営している場合は、ツールと手動を組み合わせた診断サービスを選ぶと安心です。

【選び方2】診断できる範囲や精度で選ぶ

選び方の2つ目は「診断できる範囲や精度」です。

脆弱性診断サービスの診断項目は、主に次の2つがあります。

• Webアプリケーション診断：Web上で稼働するアプリケーションが対象
• プラットフォーム診断：サーバやネットワーク機器を対象

Webアプリケーション診断は、インターネット上で利用する「Webアプリケーション」が対象です。Webアプリが攻撃対象となるケースは増加傾向にあるため、Webアプリケーション診断を行うサービスは多くあります。

プラットフォーム診断は、サーバーやネットワーク機器など、OSやミドルウェアが対象です。機器の設定の不備や、不必要なポートの開きなどをチェックしてくれます。

また脆弱性診断の種類として次の2つがあります。

• ツール型
• 手動型

前述で触れましたが、ツール型はツールを使って機械的に検査をする方法であり、ツール型のみの診断方法であれば費用は安く済みます。

手動型は、専門家が手作業で検査を行う方法で、ツール型と組み合わせることが多いです。時間や費用はツール型よりかかりますが、精度の高さやツール型では検知の難しい脆弱性も発見できます。

【選び方3】サポート体制で選ぶ

選び方の3つ目は「サポート体制」です。

脆弱性診断サービスによって、以下のようにサポートのレベルが異なります。

▼脆弱性診断サービスのサポートの例

• 電話やチャットでサポートを受けられる
• 診断後の相談や再診断も無償でサポートしてもらえる
• オンラインマニュアルに加えてチャットサポートを受けられる

脆弱性診断の結果をもとに対策をする際、自社にセキュリティに明るい従業員が少ない場合、対策に悩んでしまうこともあるでしょう。しかし診断後のサポートができるサービスであれば、その心配は減ります。

【選び方4】導入実績で選ぶ

どうしても決められない場合は、「導入実績」で選びましょう。

実績が豊富なサービスは、さまざまな業種や業態で多くの対象に対して診断を行っており、診断結果に対して心強いアドバイスを受けられます。

公式サイトを確認したり、問い合わせて営業資料を貰うことで導入実績を確認しましょう。

「脆弱性診断サービス」の選び方について、次の4つについて解説しました。

次の章からは、実際に利用するのにおすすめな脆弱性診断サービスを20選紹介します。

おすすめの脆弱性診断サービス20選

ここからは、おすすめの脆弱性診断サービス20選を紹介します。記事後半で無料で利用できるサービスも紹介しているので、ぜひ参考にしてください！

【おすすめ1】CYBER RESCUE｜株式会社シングラ

引用：株式会社シングラ

おすすめの1つ目は、株式会社シングラの「CYBER RESCUE」です。「完全成果報酬型」の脆弱性診断サービスで、システムの脆弱性を診断するサービスです。

行政機関で国防に携わった日本のホワイトハッカーと、サイバーセキュリティの先進国であるイスラエルのホワイトハッカーの合同チームが、攻撃者の目線で脆弱性を発見します。

脆弱性レベルや対策をわかりやすくレポートにまとめ、着手金なし、初期費用なしの完全成果報酬で行います。また、社員のサイバーセキュリティに関するリテラシーの向上や意識改革までコンサルティングも可能です。

【おすすめ2】セキュリティ診断サービス｜株式会社Flatt Security

引用：Flatt Security

おすすめの2つ目は、株式会社Flatt Securityの「セキュリティ診断サービス」です。

Flatt Securityは、東大発のスタートアップ企業として日頃から多くのプロダクトの脆弱性を報告し、海外のハッキングコンテストで賞金を獲得するなど実績があります。

そんな実績に裏打ちされた技術力を使い開発された脆弱性診断サービスで、ツールと手動を組み合わせた網羅的診断サービスを行います。

技術スタックや予算に合わせてオーダーメイドの診断プランを提案してくれるので、満足度も高いです。

【おすすめ3】VAddy｜株式会社ビットフォレスト

引用：株式会社ビットフォレスト

おすすめの3つ目は、株式会社ビットフォレストの「VAddy」です。

「セキュリティ診断の経験がなくてもWebアプリケーションの脆弱性を社内で実施できる」のがコンセプトの、クラウド型脆弱性診断ツールです。

インストールが不要でテレワーク環境でも無理なく実施できます。オンラインマニュアルに加え、チャットサポートも充実しているため、手軽に利用できます。

初期費用なし、最短1ヶ月から契約可能で1週間の無料トライアルもあります。

【おすすめ4】NRA-Web Doctor｜日本RA株式会社

引用：日本RA株式会社

4つ目のおすすめは、日本RA株式会社の「NRA-Web Doctor」です。

クラウド型の脆弱性検査サービスで、対象のFQDNかIPアドレスを伝えるだけで利用できます。

NRAから擬似攻撃コードが送られることで、対象のWebサーバーのネットワークとWebアプリケーションの両方の脆弱性を診断できます。

1回のみのスポット利用のほか、定期的に診断してもらうことも可能です。

【おすすめ5】ABURIDA｜株式会社信興テクノミスト

引用：株式会社信興テクノミスト

おすすめの5つ目は、株式会社信興テクノミストの「ABURIDA（アブリダ）」です。年間140サイト以上の診断実績を誇る「ハイブリッドWebセキュリティ診断」を提供する企業です。

インターネット経由でツールと手作業で擬似攻撃を行い、ツールで検出された結果が本当の脆弱性か手作業で精査して、ツールでは検出できない脆弱性も検出できます。

診断後の相談や再診断も無償でサポートしてくれるので、依頼後も安心です。

【おすすめ6】脆弱性診断サービス｜株式会社セキュアスカイ・テクノロジー

引用：株式会社セキュアスカイ･テクノロジー

おすすめの6つ目は、株式会社セキュアスカイ･テクノロジーの「脆弱性診断サービス」です。サイバーエージェントやリクルート、伊藤忠などの大手企業との取引もある実績のある企業で、セキュリティ上の問題点を攻撃者の視点で診断し、脆弱性を検出します。

「Webアプリケーション診断」の「プラットフォーム診断」のコースがあり、いずれもインターネット経由でツールと手動の両方でリモート診断します。

2つのコースを合わせたセットプランもあり、お得に利用できるのも特徴です。

【おすすめ7】Vex｜株式会社ユービーセキュア

引用：株式会社ユービーセキュア

おすすめの7つ目は、株式会社ユービーセキュアの「Vex」です。2021年度の国内シェアNo.1のWebアプリケーション脆弱性検査ツールで、数千サイトの診断実績があります。

自動巡回・シナリオマップ・Handlerという3つのシナリオ作成機能があるのが大きな特徴で、検査の前にサイト特性や検査スキル、実施期間などに応じた構成把握を実施します。

レポートは日本語でも英語でも出力可能で、開発者向けやサイトオーナー向けなど、さまざまなフォーマットでレポートを出力可能です。

【おすすめ8】komabato｜株式会社ユービーセキュア

引用：株式会社ユービーセキュア

おすすめの8つ目は、前述のVexと同じ株式会社ユービーセキュアが提供する「komabato」です。

komabatoは開発現場向けに特化したクラウド型のセキュリティテストツールで、開発時の任意のタイミングで利用できるのが特徴です。

初回以降は新たに開発した箇所や修正箇所のみをスキャンして診断できるので、コスト削減やセキュリティにかける時間の短縮にもなります。利用方法も、Webブラウザから操作できて簡単です。

【おすすめ9】ReCoVAS｜レンジフォース株式会社

引用：レンジフォース株式会社

おすすめの9つ目は、レンジフォース株式会社の「ReCoVAS」です。

Webサイトの脆弱性をリモートで診断するサービスで、1営業日で完了し、費用も25ページまでなら30万円からと格安なのも特徴です。

専門スタッフによる手動診断やリスクの対処法についてももらえるので、手軽な診断を受けてみたい方に最適です。

【おすすめ10】セキュリティ診断サービス｜株式会社日立ソリューションズ・クリエイト

引用：株式会社日立ソリューションズ・クリエイト

おすすめの10番目は、株式会社日立ソリューションズ・クリエイトの「セキュリティ診断サービス」です。

自動診断と手動診断を組み合わせて行うサービスですが、自動診断のツールは業界最大のデータベース（4万種以上の脆弱性DBと約70万種のシグネチャ）をもとに行われます。

手動診断は、ホワイトハッカーと呼ばれる専任技術者が擬似攻撃を実施して自動診断で見つけられない脆弱性を発見し、精度の高い診断が可能です。

【おすすめ11】セキュリティ診断サービス｜株式会社レイ・イージス・ジャパン

引用：株式会社レイ・イージス・ジャパン

おすすめの11番目は、株式会社レイ・イージス・ジャパンの「セキュリティ診断サービス」です。

このサービスの特徴は、Webアプリやモバイルアプリを対象の「パッケージ型定額価格体系」であることです。

海外の金融・政府系機関、日本の金融機関などでの実績があるサービスで、定額なため大規模システムほどお得で、診断対象の絞り込みが不要なのが特徴です。ページ数が多くても1〜5営業日で完了するスピード診断で、セキュリティエンジニアによる手動診断を合わせることもできます。

【おすすめ12】セキュリティ脆弱性診断サービス｜株式会社セキュアイノベーション

引用：株式会社セキュアイノベーション

おすすめの12番目は、株式会社セキュアイノベーションの「セキュリティ脆弱性診断サービス」です。

「Webアプリケーション診断」と「プラットフォーム診断」の両方に対応し、どちらもツール診断と手動診断の「いいとこ取り」のハイブリット診断ができます。

診断レポートには、結果に加えて対処法も記載され、修正後の再診断は無償で行うことができて、サポートも手厚いです。

【おすすめ13】バックドア検証サービス｜富士ソフト株式会社

引用：富士ソフト株式会社

おすすめの13番目は、富士ソフト株式会社の「バックドア検証サービス」です。

バックドアとは「裏口」を表す言葉で、PCやアプリなどに不正にアクセスできるように侵入口を設置するハッカーの手口のことをいいます。「トロイの木馬」がその一例です。

富士ソフトの検証サービスは、このバックドアになりうるマルウェアや脅威などの脆弱性の検出に特化したもので、適切な対策もアドバイスしてくれます。

【おすすめ14】GMOサイバーセキュリティ脆弱性診断|イエラエ株式会社

引用：イエラエ株式会社

おすすめの14番目は、イエラエ株式会社の「GMOサイバーセキュリティ脆弱性診断」です。

イエラエ株式会社は、自らを「ホワイトハッカーで構成されたセキュリティ脆弱性診断企業」と称し、ハッカーの攻撃方法を熟知しているとしています。

セキュリティ診断業務に特化した「ホワイトハッカー集団」がベネトレーションテスト（実際のハッカー技術を用いて脆弱性を確認するテスト）を行う診断方法です。Webアプリやスマホアプリの他、クラウド、loTに関する脆弱性診断にも対応しています。

【おすすめ15】セキュリティ診断サービス｜株式会社アルファネット

引用：株式会社アルファネット

おすすめの15番目は、株式会社アルファネットの「セキュリティ診断サービス」です。

実績豊富で信頼性の高い企業として名高いアルファネットのサービスで、すべての作業をオンラインで行ってくれるのが特徴です。

インターネット越しにホワイトハッカーが既知のあらゆる手法を使った擬似攻撃を行い、複数のツールを使って脆弱性を診断します。さらに独自開発スクリプトや手動診断も合わせて行って、脆弱性の有無と対策方法を報告書にまとめてくれます。

【おすすめ16】Vuls

引用：Vuls

ここからは、無料で利用できる脆弱性診断サービスを5つ紹介します。

16番目のおすすめは、「Vuls」です。オープンソースの脆弱性スキャンツールで、専門知識のある方なら自分でソースコードを修正して対応できます。

複数のデータベースを利用した精度の高さが特徴で、スキャン結果をSlackや電子メールで通知できます。日本語のマニュアルがあり、日本語で発信するTwitterアカウントもあります。

【おすすめ17】OWASP ZAP

引用：OWASP ZAP

おすすめの17番目は、「OWASP（オワスプ）」が開発した「OWASP ZAP」です。

Webアプリケーション診断を無料で行えるオープンソースのツールで、簡易スキャン、静的スキャン、動的スキャンの3つのスキャン方法を使い、脆弱性を診断･検出できます。

【おすすめ18】WEBセキュリティ診断くん

引用：WEBセキュリティ診断くん

おすすめの18番目は、日本の企業である株式会社セキュアオンラインが開発した「WEBセキュリティ診断くん」です。

Webアプリケーションの脆弱性を診断するツールで、無料でWebサイトの脆弱性の数を把握できるツールになっています。

診断結果に対しての対策を確認したい場合は、月額10,000円から確認できます。

【おすすめ19】Nikto

引用：Nikto

おすすめの19番目は、イギリスのNetsparker社が支援する「Nikto」です。

オープンソースのWebサーバーの脆弱性をスキャンできるツールで、インストールして利用します。

Webサーバーに対してテストを実行すると、サーバー上の危険なプログラムや古いバージョンのプログラムの使用の有無や、サーバーの設定ミスをチェックできます。

【おすすめ20】Nessus

引用：tenable

おすすめの20番目は、tenable社が無料で提供する「Nessus」です。

ネットワークやサーバーに存在する脆弱性を調査するツールで、指定したサーバーに擬似的なアクセスを行って検出します。

tenable社は、本社はアメリカのコロンビアにありますが東京にも支社があり、有料版にアップデートすれば電話やチャットでサポートを受けることができます。

まとめ：安全なサービスを提供するために脆弱性診断が重要

アプリやWebサイトの脆弱性をつかれてサイバー攻撃を受けないためにどうすべきか多くの人が悩んでいます。

脆弱性診断サービスは脆弱性を診断･検出することが可能で、サービスによっては結果に対して改善方法を提案してくれるケースもあります。今回紹介したサービスを参考に、脆弱性診断サービスを試してみてはいかがでしょうか。

なお、不正アクセスの手口は脆弱性を突いた攻撃だけではありません。巧妙な手口による不正が増えており、その対策も重要です。

不正検知システム「O-MOTION」のトライアルであれば、不正アクセスの状況がわかるレポートを作成可能です。脆弱性以外にも対策が必要なケースも判断しやすくなるため、以下からお気軽にお問い合わせください！

＼期間限定トライアル受付中／
O-MOTIONの詳細を見る
▲無料の資料請求はこちら