「WEBアプリケーション脆弱性診断専門サイト」ウィダイアグ
MENU
「WEBアプリケーション脆弱性診断専門サイト」ウィダイアグ » WEBアプリケーション診断ツールの一覧

WEBアプリケーション脆弱性診断ツールの種類

こちらでは、WEBアプリケーション診断ツールの一覧を、無料と有料にわけて紹介しています。無料と有料の違いや、リット・デメリットなどもあわせてまとめていますので、ぜひ参考にしてみてください。

WEBアプリケーションの脆弱性診断ツールとは

自動診断とも呼ばれる脆弱性診断ツールとは、脆弱性診断ツールと呼ばれるコンピュータプログラムを実行して、その結果で脆弱性を検知して行くもの。一例を挙げると、WEBアプリケーション診断の場合に、検査コードという不正なHTTPリクエストを送信し 擬似攻撃するというプログラムもあります。ツール診断では、セキュリティベンダーが、商用あるいは、自社開発の診断ツールを使用して脆弱性を見つけ出すもので、脆弱性を見つけ出すことが目的の疑似攻撃を行いますが、システムは破壊しません

ツールでできること・できないこと

ツール診断は機械的な検査。そのため、過検知や誤検知などが含まれることも多々あります。その結果を担当者が補正できれば正確な情報を得ることができます。脆弱性診断ツールは比較的簡単に行えますので開発段階で実施されることも多く、簡易診断として定期的に用いられることも多い方法です。

そもそも
WEBアプリケーション
診断(脆弱性診断)とは?

無料と有料の違い

無料で利用できる診断ツールは、費用をかけすぎずに気軽にWEBセキュリティ診断を行うことができます。一方、有料の診断では、ペネトレーションテストというセキュリティ診断を行い、診断エンジニアが実際にシステムへの侵入を試みます。この結果を分析することで、システム全体に対するセキュリティ対策の優先度が把握できるという特徴があります。

メリット・デメリット

無料で利用できる診断ツールは、費用をかけずに手軽にWEBセキュリティ診断を行うことができるというのが大きなメリット。また、広範囲を漏れなく検出できる特徴もあります。デメリットは、仕様に起因する脆弱性など検出できない脆弱性があったり、誤検知があったりすることが挙げられます。

無料(フリー)診断ツール

ウェブサーバのアクセスログから攻撃と思われる痕跡を検出し、攻撃が成功した可能性を確認することもできます。また、SSHやFTPサーバのログに対して、攻撃と思われる痕跡を検出し、解析結果レポートを作成します。

WEBアプリケーション診断で
使える
無料(フリー)診断ツールをみる

有料診断ツール

脆弱性診断に関する経験が豊富なエンジニアが作成した検査エンジンで、幅広いWEBアプリケーションにも対応できる柔軟性があります。オンラインマニュアルとチャットサポートが充実しているツールもありますので、安心です。

WEBアプリケーション診断の
ツール導入におすすめ!
有料診断ツールをみる

本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。

専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。

[状況・課題別]でおすすめの
WEBアプリケーション
脆弱性診断会社
2選をみる

よく読まれている関連記事

[状況・課題別]
WEBアプリケーション
脆弱性診断会社 3選

WEBアプリケーション脆弱性診断に対応している会社を、「実績数」「セキュリティ性の高さ」「納期」に着目したうえでピックアップしたおすすめ3社をご紹介します。

RSコネクト

株式会社RSコネクト公式サイト「セキュリティ診断コンシェルジュ」
画像引用元:株式会社RSコネクト公式サイト「セキュリティ診断コンシェルジュ」
https://va.rsc.ne.jp/
実績※1

地方自治体 550件以上
独立行政法人 167件以上
中央官庁・民間企業など500団体

セキュリティ性
  • ISO 27001認証取得
  • ISO 9001認証取得
  • Pマーク取得
  • OWASPに基づいた診断
  • WASCに基づいた診断
  • IPAに基づいた診断
最短納期

3営業日以内

RSコネクト
公式サイトで
診断特徴をみる
電話で問い合わせる
(月曜~金曜 9:00~18:00)
もっとこの会社の詳細を見る

VERISERVE

株式会社ベリサーブ公式サイト
画像引用元:株式会社ベリサーブ公式サイト(https://www.veriserve.co.jp/service/detail/app-vulnerability.html)
実績※2

産業システム 約14,400件
オートモーティブ 約11,000件
など累計プロジェクト数
約34,000件

セキュリティ性
  • OWASPに基づいた診断
  • IPAに基づいた診断
最短納期

記載なし

VERISERVE
公式サイトで
診断特徴をみる
もっとこの会社の詳細を見る

サイバーセキュリティ
クラウド

株式会社サイバーセキュリティクラウド公式サイト
画像引用元:株式会社サイバーセキュリティクラウド公式サイト
https://www.cscloud.co.jp/
実績※3

累計診断実績 約2,000件

セキュリティ性
  • ISO 27001認証取得
  • OWASPに基づいた診断
  • IPAに基づいた診断
  • WASCに基づいた診断
  • SANSに基づいた診断
最短納期

3営業日以内

サイバーセキュリティ
クラウド
公式サイトで
診断特徴をみる
電話で問い合わせる
(受付可能時間不明)
もっとこの会社の詳細を見る

(※1)地方自治体…2021年4月時点ののべ実績。各市区町村の教育委員会の個別契約実績も含みます。
独立行政法人…2021年4月時点ののべ実績。独立行政法人の他に、それに類する団体も含みます。

(※2)2023年3月期までの累計実績

(※3)2020年に買収したソフテック社が1998年より事業を開始してからの26年間での累計実績

【選定基準】
2024年1月25日の調査にて、Googleで「WEBアプリケーション 診断」と検索した際上位100位サイトに表示されるWEBアプリケーション診断サービスを有料で実施している会社67社のうち、OWASPトップ10のリスト(※4)を網羅している且つIPAの基準に準じた診断項目になっている(※5)ことが公式HPから分かり、実績数が掲載されている3社をピックアップ
(※4)The OWASP Foundationにより、世界中の利用実態に基づいて悪用のしやすさ、検知のしやすさ、および影響についての共通認識の推計を組み合わせた上で、選択し優先順位付けされたセキュリティ脅威のTop10
OWASP公式HP:https://owasp.org/API-Security/editions/2023/en/0x11-t10/
(※5)独立行政法人 情報処理推進機構が提唱している安全なWebサイトの作り方
IPA公式HP:https://www.ipa.go.jp/security/vuln/websecurity/about.html