脆弱性診断には、無料サービスと有料サービスがあります。無料サービスは、導入コストがかかりません。その代わり、利用範囲に制限があり、サポートがついていないことが多いです。
有料サービスは、コストがかかりますが、利用範囲や回数は自社のセキュリティニーズに合わせることができ、サポート体制が手厚いです。自社ではどちらを利用すべきか、特徴をよく理解した上で選びましょう。
ここでは、脆弱性診断の無料サービスと有料サービスについて、それぞれのメリットとデメリット、どのような場合に向いているのかを解説しました。脆弱性診断サービス選びの参考にしてください。
無料サービスのメリットは、なんといっても費用がかからないことです。初期費用やランニングコストが不要で、手軽に利用することができます。有料版の導入を検討しているなら、有料版導入前の試験的な導入として利用できます。お試しとしてコストをかけずに気軽に導入できることが無料サービスのメリットです。
無料で手軽に試せる代わりに、無料サービスにはデメリットがあります。無料版では、診断範囲・回数・機能が制限されます。診断対象のドメインやIPアドレス、リクエスト数などが限定される可能性が高いので、自分たちのシステムに必要な範囲をカバーできるか確認しなければいけません。また、年に1回や2回など、診断回数が有料サービスに比べて少ない可能性が高いです。診断回数が少ないと、脆弱性が見逃されたり、新たに発生したりするリスクが高くなります。また、診断機能が限定されていると、最新の脅威に対して十分な対応ができない可能性が高まってしまいます。また、無料を謳い、偽のセキュリティ診断を行うよう誘導させ、診断結果を「非常に危険な状態です!」と表示し、高額なセキュリティ製品を購入させるという手口の詐欺もあります。無料サービスの場合、サポートがないため、インストールから診断・対処まで自分で行わなければならず、専門知識がないと使いこなすことが難しいこともデメリットです。
有料サービスは、セキュリティの専門家にサポートを受けながら脆弱性診断を利用できます。脆弱性を発見した後のセキュリティ対策までサポートしてもらえます。専門的な知識を有していなくても、包括的にセキュリティ対策を行えることが有料サービスのメリットです。診断範囲や機能の制限もありません。自社のニーズに合うように診断範囲を設定することができ、その設定もサポートしてもらえます。導入後すぐに利用でき、診断結果検知された脆弱性にたいして適切なアドバイスを受けられます。対策まで実施してもらえるので、自社で専門の人材を雇用する必要がありません。大規模なWebシステム・アプリの診断に適しています。
有料サービスのデメリットは、導入コストです。有料サービスは、サポートが手厚い代わりにコストがかかります。脆弱性診断は、ツールで行うケースと手動で行うケースがあります。手動での診断は高額になりますが、ツールのみでの診断の場合、数十万円程度です。専門の人材を雇用することに比べると有料サービスを利用する方がコスト負担は少ないでしょう。
無料サービスは、費用がかからないかわりにサポートを受けられないという点に特徴があります。無料サービスがおすすめなのは、有料サービスの導入を検討していてお試しで無料版を使いたい場合です。脆弱性診断の有料サービスはそれなりに高いコストがかかるため、いきなり有料サービスを利用するのはリスクがあります。「自社に必要な機能がないサービスだった」「使い勝手が悪かった」といった失敗を回避するためには、無料版でお試ししてから良かったら有料サービスを申し込むという流れがいいでしょう。また、社内にセキュリティの専門人材がいて、無料サービスの利用でも結果の保証ができる場合も無料サービスがおすすめです。取り扱っている個人情報が少ない場合やすでにローンチされたサービスで新しく追加した機能のみ診断するなど診断範囲が狭い場合も無料サービスで間に合うかもしれません。
有料サービスは、サポート体制が手厚いため、専門的な知識を有する人材がいない場合におすすめです。確実なセキュリティ対策を行いたい場合や初心者が利用する場合は、有料サービスが安心でしょう。初めてツールを使う人でも簡単に操作できるようデザインされているものが多いため、導入後、すぐに活用できます。企業の機密情報や多くの個人情報を取り扱っている場合は、脆弱性診断が重要です。診断結果の分析や改善策の提案も受けられる有料サービスで、確実なセキュリティ対策を行うことをおすすめします。
脆弱性診断の無料サービスは、診断範囲や機能に制限があるのが一般的です。診断対象のドメインやIPアドレス、リクエスト数などが限定されている可能性があります。診断機能が限定されていたり、最新の脅威に対応していないこともあるため、診断したいシステムやネットワークに必要な範囲を確認して、無料サービスの診断の精度や深さ、範囲が十分かを確認してください。
無料サービスの場合、脆弱性診断の回数も制限されることが多いです。診断回数というのは、脆弱性を検査する頻度のことです。当然、回数が多いほどセキュリティ対策の強度は高まります。一般的に無料サービスは有料サービスより診断回数が少ないです。年に1回や2回しか診断できないものもあります。診断回数が少ないと脆弱性を見逃してしまうリスクが高くなるので、自社のセキュリティニーズに対して診断回数が適切かどうかを確認しましょう。
脆弱性診断サービスは、サポートレベルが様々です。電話やチャットでサポートを受けられるものや診断後の相談や再診断もサポートしてもらえるもの、オンラインマニュアルに加えてチャットサポートを受けられるものなどがあります。自社にセキュリティの知識がある従業員が少ない場合は、対策に悩んでしまうこともあるので、サポート体制が整っているサービスを選びたいです。無料サービスはサポートが手薄なことが多いので、自社に必要なサポートを受けられるかをチェックしてください。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス