無料でどこまでできる?高額なWebセキュリティ診断サービスに悩む方へ
Webアプリケーションのセキュリティ診断は比較的高額になりやすいサービスですが、条件さえ整えれば無料でセキュリティ診断を実施することも可能です。高額なサービスと無料のサービスにはどんな違いがあるのか、無料でどこまでできるのか気になりますよね。
この記事では、Webセキュリティ診断にかかる費用や無料の診断サービスでできることについて詳しく解説します。
情報漏洩ニュースのたびに「うちのサイトは大丈夫かな」と心配されていませんか?
脅威に対する「安心」が手に入れば、心配事はなくなります!
そもそもWebセキュリティ診断サービスの料金ってどうやって決まるの?
診断サービスの料金は、無料のものから高額なものまで差が大きく開いています。多くのWebセキュリティ診断会社は診断のボリュームや内容、提供する品質によって金額を設定しています。ここでは一般的な診断会社の料金をどのように決めているのか解説します。
診断の単位と料金
多くの診断会社は、画面や機能単位ではなく「リクエスト」という単位で診断費用を算出します。この「リクエスト」とは、ブラウザからのリクエストとサーバーから応答されたレスポンスを1リクエストとして定義します。
一般的な価格帯は1リクエスト=3~5万円です。Webセキュリティ診断では大量のパラメータやリクエストに対して、網羅的にチェックする診断ツールを利用する場合が多く、診断ツールの利用料などが価格に含まれています。
費用が高額になる要因
システム構成にもよりますが、1画面1~2リクエスト程度の場合、サイトが大きく、画面数も増えていくと比例して費用も増加していきます。
小さなECサイトでも、ログインやトップ、ユーザー管理、商品情報、購入などの画面や機能がある場合、10~20リクエスト程度が対象となり、100万円弱の診断費用が見込まれます。Webアプリケーションが有する機能が増えれば増えるほど、費用も比例して上がっていきます。
また、診断に対する精査作業もコストがかかる大きな要因です。診断ツールの結果をレポート出力するだけのセキュリティ診断よりも、危険度から発生手順、実現度や危険度の範囲などの内容を診断員が精査するセキュリティ診断の方が費用は高くなります。
まずは無料で使えるツールを試したい!そんなときに使えるWebセキュリティ診断ツール3選
Webセキュリティ診断は、知識を有するITエンジニアであれば、無料の脆弱性診断ツールを使って行うことも可能です。まずは無料で使えるツールでどこまでできるのかを試してみたいという方のために、ここでは有名な診断ツールを3つご紹介します。
OWASP ZAP
こちらはThe Open Web Application Security Project(通称OWASP)という国際的なコミュニティーが制作したアプリケーションです。
画面で操作でき、日本語モードもあるため、比較的直観的に操作が可能となっています。対象とするWebアプリケーションのURLを入力して、自動検出ボタンをクリックするだけで、自動的に脆弱性スキャンを行ってくれます。ただし、検出結果には誤検知も含まれているため、検出結果を精査する必要があります。
サイト:OWASP ZAP
Burp Suite Community Edition
こちらはPortSwigger社が制作したローカルプロキシツールです。「Communityエディション」は無料で利用することができます。
画面操作で使えるアプリケーションですが、表示言語が英語のみであることや、Webセキュリティ診断の知識を有する機能も多く、セキュリティ診断に不慣れな方には扱いにくい一面もあります。
サイト:Burp Suite Community Edition
Nikto
Niktoは上記の2つと異なり、ミドルウェアやプラットフォームの診断で利用します。イギリスの Netspark 社がスポンサーをしている無料のWebセキュリティ診断ツールで、コマンドベースで開発されているため、操作はコマンドプロンプトのように文字の入力で実行します。
ミドルウェアのセキュリティホールチェッカーに向いていて、既に公表されているセキュリティホールやセキュリティ上で問題のある設定を、辞書ベースでスキャンできるツールです。
サイト:Nikto2
診断ツール以外にも無料でできる脆弱性対策
脆弱性の知識をもったコーダーや設計者が在籍している場合は、Webセキュリティ診断ツールを使うほか、設計やコーディング、テストの段階で脆弱性対策を行うことも可能です。
コーディングの段階では、SQLインジェクション、クロスサイトスクリプティングに絞って手動でチェックを行うだけでも効果があるでしょう。
結合テストや総合テストの段階では、網羅的にチェックを行うことは難しいかもしれませんが、重要な機能に対して脆弱性の有無を上記の無料で利用できるツールを用いて検査することも可能です。検出された脆弱性に対して、実際に悪用される恐れがあるのかチェックする必要がありますが、ほとんどの脆弱性については現在インターネット上で調査することは可能です。
また、検査については特殊なツールを使用せずに行うことも可能です。モダンなブラウザに標準で搭載されている機能を利用して脆弱性の検査を行うこともできます。ただし、ITエンジニアであっても脆弱性の精査については多くの時間を要することに注意が必要です。
自社だけでWebセキュリティ診断を行うのが難しいと感じたら、診断会社に依頼しよう
上記の通り、無料で使える診断ツールや、診断ツール以外にも行える脆弱性対策はありますが、ツールの使い方を覚える必要があり、セキュリティや脆弱性に関する知識が不可欠です。ITエンジニアであっても必ずしもセキュリティに精通しているとは限らないため、セキュリティ診断自体には料金がかからなくても、ツールの使い方の習得や脆弱性の調査に時間がかかり、かえって工数がかさんでしまうということも考えられます。
自社だけでセキュリティ診断を行うのが難しいと感じたら、Webセキュリティ診断会社に依頼するのも一つの手段です。ただし、前述した通り、Webセキュリティ診断サービスは高額になりやすい傾向があります。予算に応じたセキュリティ診断を行うためには、以下の3つのことを確認して診断会社を選ぶとよいでしょう。
予算に応じたWebセキュリティ診断を行うために、気を付けるべき3つのポイント
予算に応じたプランがある・提案をしてくれるか
診断の料金はリクエスト数に応じて上がっていきますが、予算に応じて対象となるリクエストを選んでくれるWebセキュリティ診断会社も存在します。
見積もりを松竹梅などの複数のプランで選べる会社や、決められた予算額の中で重点的に診断した方が良い機能を、セキュリティ診断の観点で選んで提案してくれる会社などもありますので、そういった会社を探すことも費用削減につながります。
無料の再診断サービスがあるか
Webセキュリティ診断サービスには、一般的に再診断サービスが存在しています。これは診断で見つかった脆弱性に対し、適切に対策されているか再度診断するサービスです。多くの場合は無料で行っていますが、必ず何かしらの条件が付いています。意図せず費用がかさんでしまうことを防ぐためにも、条件を事前に確認することを強くお勧めします。
相談サポートがあるか
診断前の予算や診断箇所の相談、納品後に報告書の内容に対する相談などを受け付けてくれることも重要です。予算に合わせた診断対象の選定から、脆弱性の修正へのサポートなど柔軟に対応してくれるかどうかを確認することをお勧めします。
まとめ
無料で利用できる診断ツールは、高額な費用をかけずに気軽にWebセキュリティ診断を行うことができるというメリットがありますが、セキュリティの知識が必要である上に、手間がかかるといったデメリットもあります。自社の予算やITエンジニアのセキュリティ知識レベルを考慮して検討するとよいでしょう。
また、Webセキュリティ診断を自社で行うべきか、診断会社に依頼した方がいいかについてはこちらの記事でも解説しておりますので、ぜひご覧ください。
関連記事:「自社でいい?それとも外部委託?こんなときはWebセキュリティ診断を第三者に依頼しよう」
当社ではWebセキュリティ診断に関する相談をいつでも受け付けています。ご予算に応じたセキュリティ診断プランを作成することも可能ですので、お気軽にご相談ください。ご興味がある方はぜひサービスサイトをご覧ください。