脆弱性・セキュリティ診断サービスの掲載サービス一覧 (全 19 件)
- 提供会社:株式会社AndGo
Aikido Security(アイキドー・セキュリティ)は、コードからクラウドまで網羅的に診断できるオールインワン脆弱性診断SaaSです。静的解析(SAST)・動的診断(DAST)・依存関係スキャン(SCA)・クラウド構成診断(CSPM)・コンテナやIaCのセキュリティチェックまで、複数のセキュリティツールを一つに統合。シンプルで直感的なUI、誤検知削減機能、セキュリティ認証支援などにより、開発・運用チームの負担を最小化します。
■Aikido Securityの特徴
・13+種(SBOM,CSPM,DASTなど)の脆弱性診断機能をオールインワンで提供
・ダークウェブに漏洩したIDパスワードに自社由来のものがないか検知する機能を搭載
・誤検知・ノイズを最小化する自動トリアージ機能
・非セキュリティエンジニアでも使いやすい直感的なUI&UX
・ISO27001・SOC2など認証取得も支援
・コストが明瞭な月額定額プラン
■こんな課題を解決
・多数の診断ツール導入による運用・コストの複雑化
・アラートの誤検知や過検知による対応工数の増加
・管理画面が複雑で使いづらいセキュリティツール
・セキュリティ認証(ISO/SOC等)取得のための資料作成・統合管理
・月額費用や検出量による料金の不透明さ
■こんな企業におすすめ
・DevSecOpsを早期に実現したいスタートアップ
・既存のSAST/SCAツールのコストや運用に課題がある企業
・ISO27001・SOC2取得を視野に入れたSaaS/クラウド事業者
・セキュリティ未経験の非エンジニア部門でも運用したい企業
- 提供会社:株式会社クワッドマイナージャパン
セキュア・レントゲンは、株式会社クワッドマイナージャパンが提供するネットワークリスク診断サービスです。NDR製品「Network Blackbox」のフルパケットキャプチャ技術を活用し、実際に流れているトラフィックからネットワーク上の脅威・脆弱性を洗い出します。脆弱性診断やペネトレーションテストとは異なり、ネットワーク全体を網羅的に監視して「想像すらできなかったリスク」を可視化し、実態に即したセキュリティ対策を提案します。
■セキュア・レントゲンの特徴
・実際のトラフィックを監視し、境界防御+EDRではカバーできない脅威を発見
・ミラーリング方式のため既存ネットワークへの影響なしで診断可能
・AIによる未知の脅威検出と、経験豊富なエンジニアによる高精度な手動分析を併用
・シナリオベースのリスク分析により、現実的にあり得る攻撃シナリオと対策案を提示
・5つのアウトプット(総合サマリ/システム環境分析/検出脅威一覧/検出脅威詳細/シナリオベースリスク分析)で構成される詳細な診断レポートを提供
■こんな課題を解決
・自社のネットワーク環境にどのようなセキュリティリスクが潜んでいるか把握したい
・既存のセキュリティ対策でカバーしきれていない盲点を知りたい
・内部不正や情報持ち出しのリスクを可視化したい
・脆弱性診断だけでは見つけられない、実環境での脅威を検出したい
■こんな企業におすすめ
・ネットワーク全体のセキュリティ現状を「見える化」したい企業
・セキュリティ投資の優先順位を判断するために現状評価が必要な企業
・定期的なセキュリティ健康診断として活用したい情報システム部門
- 提供会社:株式会社SYNCHRO
残念ながら、ウィルス感染やサイバー攻撃を完全に防ぐことは現実的に不可能です。
そのため、「予防」「復旧」「補償」のセットでサイバー攻撃への不安を摘み取ることが重要だと考えています。
もし明日、御社の全データが消えたら、業務は続けられますか?
サイバー攻撃は「運が悪かった」では済まない、経営責任の時代になりつつあります。
現在、攻撃のターゲットは対策の甘い中小企業にシフトしています。(警察庁の資料より)
攻撃被害時の平均損害額は約1,200万円と言われています。
さらに、取引先からの賠償請求や、最長数週間に及ぶ事業停止が加われば倒産するリスクが高まります。
セキュリティは「ITの問題」ではなく、「倒産を防ぐための経営判断」です。
弊社のサービスをご利用頂くためにITの専門知識は不要です。
社長の決断一つで、サイバー攻撃による倒産リスクを摘み取ることができます。
弊社のKATABAMIが提供する「三位一体」の防御
「予防」×「復旧」×「補償」のセットで、不安の芽をすべて摘み取ります。
1. 【予防】VDP(リモート診断): 外部から侵入口をチェック。泥棒が入る前に「窓の鍵」の閉め忘れを見つけます。
2. 【復旧】CRA(データセーブ): 万が一感染しても、業務を再開できる「汚染されないデータ金庫」にバックアップを死守。
3. 【補償】サイバー保険: あいおいニッセイ同和損保との連携。技術で防ぎきれない不測の事態も、金銭面で会社を守ります。
• 結論: 約1,200万円の損失リスクを、賢いコスト配分で「安心」に変える。これが弊社のご提案です。
GMO Flatt Security ブロックチェーン診断は、GMO Flatt Security株式会社が提供する、ブロックチェーン・スマートコントラクトのセキュリティリスクを検証する脆弱性診断サービスです。NFT・暗号資産・DeFi・メタバースなどブロックチェーンを活用したWeb3関連サービスの開発・実装時を診断対象として想定しています。ブロックチェーン部分の診断と、それに接続するWebアプリケーション部分の診断を組み合わせて利用でき、バックエンドとフロントエンド双方のセキュリティリスクを確認できる構成です。
■GMO Flatt Security ブロックチェーン診断の特徴
・ソースコードを解析するホワイトボックス診断を中核に据え、外形のみのブラックボックス診断では見落としやすいロジック不備の検出を志向
・ブロックチェーン層とWebアプリケーション層を組み合わせて一括で診断できる構成
・リエントランシー・フロントランニング・その他のロジック不備など、ブロックチェーン固有の脆弱性カテゴリを検証
・金融・SaaSなど多様な業界での診断実績を持つセキュリティエンジニアによる手動診断
・診断結果を開発者にもわかりやすい形でレポートする方針
■こんな課題を解決
・スマートコントラクトのリエントランシーやフロントランニングなどの脆弱性を検証したい
・ブロックチェーン部分と接続するWebアプリケーション部分のリスクを併せて確認したい
・ソースコードレベルでのロジック不備を専門エンジニアにレビューしてもらいたい
・脆弱性のリスクと対策を開発者が理解しやすい形で受け取りたい
■こんな企業におすすめ
・NFT・暗号資産・DeFi・メタバースなどのWeb3サービスを開発・運営する事業者
・スマートコントラクトのリリース前に第三者の脆弱性診断を受けたい開発チーム
・ブロックチェーンと連携するWebアプリケーションを併せて診断したい事業者
・手動診断による精度の高い脆弱性検出を求める企業
AeyeScan(エーアイスキャン)は、株式会社エーアイセキュリティラボが提供する、クラウド型(SaaS)の Webアプリケーション脆弱性診断ツールです。AI と RPA を活用した自動クローリング技術により、セキュリティや開発の専門知識がなくても、ブラウザのログインのみで脆弱性診断を内製化できる点を訴求しています。診断方式はツールによる自動診断で、有償契約300社以上の導入実績を持ちます。
■AeyeScan(エーアイスキャン)の特徴
・AI と RPA による自動クローリングで診断テストシナリオを自動生成
・RPA が実ブラウザ操作で画面遷移し、SPA の画面遷移にも対応
・Webアプリ・SPA に加え、API スキャン(オプション)に対応
・OWASP TOP10・IPA・ASVS 5.0 に準拠した診断レポートを出力
・CI/CD パイプラインへの組み込み(CI ツール連携)に対応
■こんな課題を解決
・外部診断への依存とコストを抑えて脆弱性診断を内製化したい
・SPA など動的サイトの画面遷移を自動でクロール診断したい
・開発のリリースサイクルに診断を組み込みたい
・専門知識がない担当者でも診断を実施したい
■こんな企業におすすめ
・脆弱性診断を社内に内製化したい事業者
・SPA や API を含む Web アプリを継続的に診断したい開発組織
・ISO/IEC 27001・ISO/IEC 27017 取得ベンダーのツールを採用したい企業
・無料トライアルで自動診断ツールを試したい事業者
ブロックチェーン診断(NRIセキュア)は、NRIセキュアテクノロジーズ株式会社が提供する、ブロックチェーン技術を活用したシステム・サービスを対象としたセキュリティ診断サービスです。NRIグループのセキュリティ専業会社が2017年に提供を開始しました。診断メニューは「スマートコントラクト診断」と「アーキテクチャ評価」の2本立てで、スマートコントラクトのコードレベルの脆弱性検出から、ウォレット管理・システム全体の多層防御まで俯瞰してリスク評価します。
■ブロックチェーン診断(NRIセキュア)の特徴
・スマートコントラクトのソースコードの静的解析を主とし、自社プライベートネット内の動的解析で追認する組み合わせ方式
・不正な仮想通貨引き出し・関数の不正呼び出し・トランザクション実行順序の操作などの脆弱性を検出
・NFT関連の不正取得・不正鋳造を診断観点に追加
・アーキテクチャ評価で、マルチシグ・コールドウォレットなどブロックチェーン固有対策やシステム全体の多層防御を評価
・Webアプリケーション診断・SOC運用・セキュリティコンサルティングを長年手がける総合セキュリティベンダーが提供
■こんな課題を解決
・スマートコントラクトのコードレベルの脆弱性を専門ベンダーに診断してほしい
・ウォレット管理やシステム全体の多層防御まで含めてリスクを評価したい
・暗号資産取引所などブロックチェーン利用システム全体のセキュリティを俯瞰して確認したい
・国内大手のセキュリティベンダーに診断を依頼したい
■こんな企業におすすめ
・暗号資産取引所やブロックチェーンを利用したサービスを提供する企業
・スマートコントラクト単体だけでなくシステム全体の評価を求める事業者
・Ethereum・Hyperledger Fabricなどのプラットフォームを利用する開発チーム
・総合セキュリティベンダーへの一括した診断依頼を希望する企業
Securify(セキュリファイ)は、株式会社スリーシェイクが提供する、クラウド型(SaaS)の自動脆弱性診断・ASM プラットフォームです。Web アプリケーションへの自動脆弱性診断(DAST)を中核に、ASM(攻撃対象領域の把握)、WordPress 診断、SaaS 診断、CSPM、SBOM を1つのシリーズに統合しています。専門アナリストの手動診断に依存せず、自動巡回スキャンとスケジュール実行で継続的に診断を回せる点を特徴とします。
■Securify(セキュリファイ)の特徴
・対象 Web アプリをクラウドに登録し、自動巡回スキャン(DAST)で脆弱性診断を実行
・SQLインジェクション・XSS・OSコマンドインジェクション・CORS設定不備など多数の項目を診断
・日次・週次・月次など任意の頻度で自動診断を設定できるスケジュール実行機能
・インターネット公開資産を自動把握し脆弱性診断まで行う ASM 機能
・WordPress 診断・SaaS 診断・CSPM・SBOM を同一プラットフォームに統合
■こんな課題を解決
・専門アナリストに依存せず脆弱性診断を低コストで継続したい
・スケジュール実行で外部公開資産を継続的に監視したい
・診断回数を気にせずスモールスタートで導入したい
・攻撃対象領域の把握と脆弱性診断を一体で運用したい
■こんな企業におすすめ
・国産 SaaS で低価格に脆弱性診断を始めたい事業者
・Webアプリケーション診断を月額5万円から、診断回数無制限で運用したい企業
・無料トライアル(最短即日)でスモールスタートしたい事業者
・ASM と脆弱性診断を1プラットフォームでまとめたい組織
脆弱性診断サービス(MBSD)は、三井物産セキュアディレクション株式会社が提供する、専門家による手動診断を主体とした脆弱性診断サービスです。セキュリティエンジニアが攻撃者の視点で対象システムに潜む脆弱性を診断・分析・評価し、対処方法をアドバイスします。Webアプリケーション診断・ネットワーク診断は2001年開始の業界先駆けで、網羅性担保のために独自の補助ツール・商用ツールを組み合わせる手動+ツール併用型です。
■脆弱性診断サービス(MBSD)の特徴
・手動診断をメインに、独自の補助ツールを組み合わせて疑似攻撃を実施
・Webアプリ・ネットワーク・スマホアプリ・ペネトレーションテスト・IoT/OT 等を網羅
・CVE/JVN へ累計200件以上の新規脆弱性(0day)を報告した研究実績
・スマホアプリ診断は静的解析・動的解析+手動診断(iOS/Android 両対応)
・Active Directory 診断・AIシステム向け診断・ゲームセキュリティ診断など特殊領域にも対応
■こんな課題を解決
・他社診断後でも残る脆弱性を専門家の手で洗い出したい
・攻撃シナリオに基づく侵入可能性・被害範囲を検証したい
・IoT・OT・AD・AI など特殊領域の診断を依頼したい
・公共・政府機関で実績のあるベンダーに委託したい
■こんな企業におすすめ
・手動主体の高品質な脆弱性診断を求める企業
・三井物産グループの専門企業に診断を委託したい組織
・幅広い診断対象をワンストップで依頼したい事業者
・脆弱性研究・0day 発見の実績を重視する組織
GMOサイバーセキュリティ byイエラエは、GMOサイバーセキュリティ byイエラエ株式会社が提供する、専門家(ホワイトハッカー)による手動主体の脆弱性診断・ペネトレーションテストと、ツール型 ASM を併せ持つサービスです。手動主体の診断を中核に、ASM(攻撃面管理)ツール、SOC、フォレンジック・インシデント対応、セキュリティコンサルティングまでを包括的に提供します。個別見積の専門家診断と、月額課金で継続運用できる ASM の両方を持ち、スポット診断から継続的な攻撃面管理まで一社でカバーできます。
■GMOサイバーセキュリティ byイエラエの特徴
・ホワイトハッカーによる手動検査が中心で、静的解析ツールでは発見困難な脅威も検出
・Webペネトレーションテストはシナリオ型・調査型の2方式から選択可能
・Web/スマホアプリ/クラウド/IoT/ネットワークに加え NFT・ブロックチェーン・LLM/AIエージェント・物理ペネトレーションまで対応
・国産 ASM ツール「GMOサイバー攻撃ネットde診断 ASM」で外部公開資産を継続診断・自動優先順位付与
・ダークウェブ上の認証情報漏洩監視・重大脆弱性のメールアラート・CSV/PDF レポート出力
■こんな課題を解決
・ツールでは検出しにくい脆弱性を専門家の手で洗い出したい
・スポット診断と継続的な攻撃面管理を一社にまとめたい
・NFT・ブロックチェーン・AI など先端領域の診断を依頼したい
・外部公開資産を月額課金で継続的に診断したい
■こんな企業におすすめ
・ホワイトハッカーによる高度な手動診断を求める企業
・手動診断とツール型 ASM を組み合わせたい組織
・先端領域(NFT・ブロックチェーン・LLM)の診断を必要とする事業者
・継続的な攻撃面管理(ASM)を SaaS で運用したい企業
セキュリティ診断(脆弱性診断・ペネトレーションテスト)/NRIセキュアは、NRIセキュアテクノロジーズ株式会社が提供する、専門家による手動主体のセキュリティ診断・ペネトレーションテストサービス群です。Webアプリケーション、プラットフォーム、スマホアプリ、API、クラウド設定、ソースコードなど幅広い診断対象をカバーし、攻撃者視点のペネトレーションテスト・レッドチームオペレーションまで含みます。SANS 等の専門トレーニング修了者・国際資格保有の専門家による手動診断を主体とする点が特徴です。
■セキュリティ診断(脆弱性診断・ペネトレーションテスト)/NRIセキュアの特徴
・専門家のマニュアル診断のみで実施するプロフェッショナル方式と、手動+ツール併用のハイブリッド方式を選択可能
・CISSP・OSCP・OSEP・GIAC 等の国際資格保有者・SANS トレーニング修了者が診断を実施
・Web/プラットフォーム/スマホアプリ/API/クラウド/ソースコード/ブロックチェーン/AI/IoT・OT まで網羅
・脆弱性診断にとどまらず、ペネトレーションテスト・レッドチームオペレーションまで一気通貫で提供
・Webアプリケーション診断では実施1ヶ月以内に対策状況の確認を実施
■こんな課題を解決
・ツールでは検出しにくい脆弱性を専門家の手で検証したい
・幅広い診断対象をワンストップで依頼したい
・攻撃者視点で実際の侵入可能性・被害範囲まで評価したい
・診断後の対策アドバイスと対策状況確認まで受けたい
■こんな企業におすすめ
・手動主体の高品質な脆弱性診断を求める大企業・エンタープライズ
・NRIグループの専業セキュリティ会社に診断を委託したい組織
・ペネトレーションテスト・レッドチーム演習まで実施したい企業
・API・クラウド・ソースコードなど多様な対象を診断したい組織
脆弱性診断・セキュリティ診断サービス(ラック)は、株式会社ラックが提供する、専門家による手動診断を主体としたハイブリッド型のセキュリティ診断サービスです。攻撃者視点での疑似攻撃を通じて、ツールでは検出しにくい脆弱性まで人手で検証します。Webアプリケーション、サーバ・ネットワーク機器、スマートフォンアプリ、クラウド/SaaS、IoT デバイスなど幅広い対象に対応し、SOC(JSOC)を中核とした監視・緊急対応・コンサルティングと組み合わせられる点が特徴です。
■脆弱性診断・セキュリティ診断サービス(ラック)の特徴
・ツール型の廉価メニューから手動主体の高精度メニューまで段階的に用意
・攻撃者視点(ホワイトハッカー)の疑似攻撃で侵入後の被害影響まで評価
・JSOC を中核とした監視・緊急対応・コンサルティングと診断を統合提供
・情報システムペネトレーションテスト・TLPT(脅威ベースのペネトレーションテスト)に対応
・診断結果の報告書提出・報告会・再診断・内製化支援メニューを提供
■こんな課題を解決
・ツールでは検出しにくい脆弱性を人手で検証したい
・診断結果を監視・インシデント対応につなげたい
・金融機関向けの TLPT を実施したい
・自社の診断体制を内製化したい
■こんな企業におすすめ
・官公庁・金融分野で実績のあるベンダーに診断を委託したい組織
・診断・監視・緊急対応を一社で統合したい企業
・手動主体の高度なペネトレーションテスト・TLPT を求める組織
・経済産業省の情報セキュリティサービス基準への適合を重視する企業
サイバー保険付き脆弱性診断サービスは、NTTドコモソリューションズ株式会社(旧 NTTコムウェア株式会社)が DSCB ブランドで提供する脆弱性診断サービスです。診断契約にサイバー保険が無償で自動付帯する点(契約金額の総額が税抜80万円以上の場合)を最大の特徴とします。NTTグループ内のシステム診断で培った技術・経験をもとに、ツールと手動検査を併用するハイブリッド型で複数の診断メニューを提供します。
■サイバー保険付き脆弱性診断サービスの特徴
・契約金額の総額が税抜80万円以上で、補償限度額1,000万円のサイバー保険を無償自動付帯(診断契約日から1年間)
・ツールと手動検査を併用するハイブリッド診断
・ネットワーク診断・サーバ構成診断・Webアプリ診断・スマホアプリ診断・ペネトレーションテストを提供
・Webアプリ診断には標準版に加え、内容を絞った低価格・短納期のライト版を用意
・情報処理安全確保支援士・CISSP・CISA・CISM・CEH 等の資格保有者が診断を実施
■こんな課題を解決
・診断後のインシデントに備えて保険を組み合わせたい
・ツールだけでは検出しにくい脆弱性に対応したい
・低価格・短納期で Web アプリ診断を実施したい
・有資格者による診断体制で実施したい
■こんな企業におすすめ
・「診断+保険」を一体で導入したい事業者
・NTTグループのシステム診断実績を重視する組織
・ネットワークから Web アプリ・スマホアプリまで横断診断したい企業
・経済産業省の情報セキュリティサービス基準適合サービスを選びたい組織
Vex(脆弱性検査ツール)は、株式会社ユービーセキュアが提供する、Webアプリケーションを主対象とする脆弱性検査ツールです。診断方式は DAST で、対象 URL を入力すると外部から疑似攻撃リクエストを送り、レスポンスを解析して脆弱性の有無を確認します。DAST による自動スキャンに加え、シナリオ記録による複雑画面遷移・認証後診断、API 診断までカバーするハイブリッド型のツールです。
■Vex(脆弱性検査ツール)の特徴
・対象 URL を入力するだけでサイト内リンクを自動巡回する自動クローリング
・シナリオ診断(シナリオマップ)でログイン後ページや複数ステップの遷移を記録・再現
・SPA・Ajax 通信に対応する Handler、OpenAPI/Swagger 読み込みによる API 診断
・OWASP TOP10・PCI DSS・ASVS に沿ったレポートを Word/Excel/PDF/HTML・日英で自動生成
・複数サイトをダッシュボードで一元管理するマルチサイト管理
■こんな課題を解決
・認証後ページや複雑な画面遷移を含む Web アプリを診断したい
・API も含めて1つのツールで脆弱性を検査したい
・誤検知を抑えつつ自社独自のチェック項目に対応したい
・主要基準に沿った診断レポートを自動で出力したい
■こんな企業におすすめ
・自動スキャンとシナリオ診断を1ツールで運用したい事業者
・診断代行サービスと一体で導入・運用サポートを受けたい企業
・複数サイトを一元管理して継続的に診断したい組織
・無料トライアルでツールを試したい事業者
SQAT(脆弱性診断サービス)は、株式会社ブロードバンドセキュリティ(BBSec)が提供する脆弱性診断サービスの総称です。精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見して問題を特定するハイブリッド診断を採ります。BBSec は2000年創業のセキュリティ専業企業で、セキュリティ監査・コンサルティング、脆弱性診断、情報漏えいIT対策をコアサービスとしています。
■SQAT(脆弱性診断サービス)の特徴
・手動診断と独自開発の自動診断を組み合わせたハイブリッド方式
・SQAT GlassBox はソースコード診断と Webアプリ診断を組み合わせ、外部視点と内部視点で包括診断
・Web・API・ネットワーク・スマホアプリ・IoT・クラウド・ソースコード・ペネトレーション等の多彩なメニュー
・全ての脆弱性診断にサイバー保険を付帯
・診断終了後3か月までの再診断と相談受付に対応
■こんな課題を解決
・手動と自動を組み合わせて精度を確保しつつ短期間で診断したい
・外部視点と内部視点の両面から包括的に診断したい
・PCI DSS・クレジット系のコンプライアンス対応が必要
・診断後のインシデントに備えてサイバー保険を付帯したい
■こんな企業におすすめ
・ハイブリッド方式の脆弱性診断を求める事業者
・PCI DSS の認証監査機関(QSAC)認定ベンダーに依頼したいカード取扱事業者
・幅広い診断対象をワンストップで依頼したい組織
・サイバー保険付帯で診断後の備えを強化したい企業
VAddy(バディ)は、株式会社ビットフォレストが提供する、クラウド型の Webアプリケーション脆弱性診断ツールです。開発者が CI/CD パイプラインに組み込んで継続的に脆弱性スキャンを実行できる、自動ツール型の脆弱性診断 SaaS です。月額サブスクリプション(1ヶ月単位)で利用でき、初期費用は0円、事前研修や複雑な設定なしにブラウザ操作で診断を開始できます。
■VAddy(バディ)の特徴
・CI と連携してリリース前に繰り返し自動診断を回せる開発者向け設計
・SQLインジェクション・XSS など Web アプリ脆弱性をプラン別5/11/18項目で診断
・クロールアシスタント(自動クロール機能)と DNS レコードによる所有者確認
・Advanced プランは IPA「安全なウェブサイトの作り方」チェックリストに対応
・手動脆弱性診断スポットオプション(OWASP ASVS / TOP10 ベース)も併設
■こんな課題を解決
・開発パイプラインに組み込んで継続的に脆弱性を診断したい
・外注の単発診断より低コストで継続運用したい
・料金を事前に把握したうえで導入を検討したい
・複数メンバー・組織単位で診断を管理したい
■こんな企業におすすめ
・CI/CD を運用し継続的な脆弱性診断を内製化したい開発組織
・明朗な月額料金(19,800円〜)で診断ツールを導入したい事業者
・1週間の無料トライアルで試したい企業
・IPA チェックリスト対応の体系的な診断を求める事業者
Cloudbric脆弱性診断は、ペンタセキュリティ株式会社が提供する、セキュリティのエキスパートが顧客の Web サイト・システムを診断するセキュリティ診断サービスです。Web アプリケーション・ミドルウェア・OS などを対象に、既知・未知の脅威に対する脆弱性を検出します。専門家による手動診断と自動診断ツール(OWASP ZAP)を組み合わせたハイブリッド方式を採り、独自に収集した脅威インテリジェンスの分析に基づく診断項目を用います。
■Cloudbric脆弱性診断の特徴
・専門家による手動診断と自動診断ツール(OWASP ZAP)のハイブリッド方式
・独自に世界各国から収集した脅威インテリジェンスの分析に基づく診断項目
・Webサイト/Webアプリ/API/プラットフォーム/スマホアプリ/ペネトレーションテストの6メニュー
・事前確認→診断実行→最終レビュー→品質保証→納品の多段階の品質管理プロセス
・検出後の改善(remediation)支援を提供
■こんな課題を解決
・自動ツール単独より精度の高い脆弱性検出を求めたい
・既知・未知の脅威に備えた診断を実施したい
・Webサイトからスマホアプリまで複数対象を診断したい
・検出後の改善まで支援を受けたい
■こんな企業におすすめ
・WAF 製品で実績のあるベンダーに脆弱性診断を依頼したい企業
・脅威インテリジェンスに基づく診断項目を重視する組織
・情報セキュリティサービス基準適合サービスを選びたい事業者
・Web/API/プラットフォーム/スマホアプリを横断診断したい企業
SCT SECURE クラウドスキャンは、三和コムテック株式会社が提供する、クラウド型の自動脆弱性診断(スキャン)サービスです。Webサイトやルーター・ファイアウォール・DNS などのネットワーク機器を、インターネット経由で外部から毎日自動的に診断します。アプリのインストールやハードウェア設置が不要なクラウド型で、契約期間中は何度でも診断を実行できます。
■SCT SECURE クラウドスキャンの特徴
・機器設置やアプリ導入が不要で、外部から毎日自動診断を実行
・Webサイト・ネットワーク機器・データベースサーバ等の外部公開資産を診断
・50,000項目以上の脆弱性、5,000以上の攻撃スクリプトに基づく検査
・PCI DSS の ASV 資格を持つ診断サービス(ASV 用途は派生商品 ASVスキャンが対応)
・脆弱性が検出されなければ最新診断日を示すセキュリティマークをサイトに掲示可能
■こんな課題を解決
・外部公開資産の脆弱性を継続的に監視したい
・スポットの手動診断ではなく毎日の自動診断で運用したい
・クレジットカード取扱に伴う PCI DSS のコンプライアンス対応が必要
・対外的に最新のセキュリティ評価状況を示したい
■こんな企業におすすめ
・Webサイトとネットワーク機器を継続自動診断したい事業者
・カード業界基準(PCI DSS)への対応が求められる事業者
・年単位契約で診断回数無制限の運用を求める組織
・無料トライアルで自動スキャンを試したい企業
Webアプリケーション診断サービス(Sky)は、Sky株式会社が提供するセキュリティ診断ソリューションの一メニューです。セキュリティエンジニア(専門スタッフ)がリモートで顧客の Web アプリケーションを診断し、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性を横断的に検出してリスク・問題点と対策アドバイスを報告します。専門家による手動診断を中核としつつ、162項目ベースの体系的な診断を実施するハイブリッド方式です。
■Webアプリケーション診断サービス(Sky)の特徴
・セキュリティエンジニアによるリモート診断で Web アプリのリスク・問題点を検出
・診断項目数162項目をベースに、外部から診断可能な項目数を算出して実施
・脆弱性を5段階のリスクレベル(CRITICAL/HIGH/MIDDLE/LOW/INFO)に分類して報告
・危険性の高い2段階の脆弱性を検出した場合はメールで速報(緊急アラート)
・開発者にもわかりやすい再現手法を含むレポートを作成し、最短5〜6営業日で報告
■こんな課題を解決
・専門スタッフによる体系的な Web アプリ診断を実施したい
・検出した脆弱性をリスクレベル別に整理して把握したい
・重大な脆弱性を早期に把握したい
・開発者が対処しやすい再現手法付きレポートを得たい
■こんな企業におすすめ
・国内大手 SI ベンダーに Web アプリ診断を委託したい企業
・Web/スマホアプリ/IoT/クラウドを横断して診断を発注したい組織
・重要箇所にペネトレーションテストをオプション併設したい事業者
・開発者視点の再現手法レポートを重視する組織
セキュリティ診断(NTTセキュリティ・ジャパン)は、エヌ・ティ・ティ・セキュリティ・ジャパン株式会社が提供する、専門家手動主体のセキュリティ診断・評価・調査サービス群です。サーバー・ネットワーク機器等のプラットフォームと、自社開発の Webアプリケーションの両方に対応します。複数のツールと専門家の知識・経験を組み合わせたハイブリッド診断と、ツール・環境を提供して顧客自身が継続実施するセルフ診断から選択でき、RedTeam/TLPT も同カテゴリ内で提供します。
■セキュリティ診断(NTTセキュリティ・ジャパン)の特徴
・WEBアプリケーション診断とプラットフォーム診断の双方に対応
・複数ツールと専門家の知見を組み合わせたハイブリッド診断
・Qualys/Tenable 等のツール・環境を提供するセルフ診断を選択可能
・RedTeam/TLPT(脅威ベースのペネトレーションテスト)で攻撃耐性を評価
・ドローン・カメラ・工場向け制御システム等の IoT/OT 領域の専門診断に対応
■こんな課題を解決
・ツール単独では拾えない脆弱性を専門家の知見で検出したい
・自社で継続的にアセットの脆弱性を把握・対策したい
・人・プロセス・テクノロジー横断で攻撃耐性を評価したい
・組込み・制御系(IoT/OT)の専門診断を依頼したい
■こんな企業におすすめ
・NTTグループのセキュリティ専業会社に診断を委託したい大企業・エンタープライズ
・プラットフォームと Web アプリを両方診断したい組織
・RedTeam/TLPT まで実施したい企業
・IoT/OT 領域のセキュリティ診断を求める組織