脆弱性診断のためのスキャンツール比較表
価格は公式定価または公開されている目安を記載しています。実際の契約ではボリュームディスカウント等で変動するため、参考レンジとしてご利用ください。
1. ネットワーク/インフラ系スキャナ
| ツール | 参考価格 | 強み | 弱み | 開発国・備考 |
|---|---|---|---|---|
| Nessus Professional | 1 年 \$3,390(1 ライセンス) | プラグイン数が圧倒的・誤検知が少ない | リソース消費大/GUI は英語のみ | 🇺🇸 Tenable |
| Qualys VMDR | \$2〜3 / 資産・月(目安) | SaaS 一体型で資産管理〜パッチ優先度付けまで網羅 | 本格運用にはエージェント配備が必須 | 🇺🇸 Qualys |
| Rapid7 InsightVM | \$1.6〜2.2 / 資産・月 | ダッシュボード/UI が秀逸・リスク優先付け自動 | スキャン設定が細かく学習コスト高 | 🇺🇸 Rapid7 |
| OpenVAS / Greenbone GVM | OSS 無償(商用 Feed あり) | 完全オープンソース・拡張自由 | 誤検知調整に時間/公式サポートは別料金 | 🇩🇪 Greenbone |
2. Web アプリ/API(DAST)スキャナ
| ツール | 参考価格 | 強み | 弱み | 開発国・備考 |
|---|---|---|---|---|
| Burp Suite Pro | \$475/ユーザ・年 | 手動テストとの連携が最強 | CI 組込みには Enterprise 版が必要 | 🇬🇧 PortSwigger |
| OWASP ZAP | OSS 無償 | カスタムスクリプト豊富・自動化容易 | 大規模サイトで誤検知チューニング必須 | 🇬🇧 OWASP |
| Acunetix | \$4,500〜26,600/年 | クローリング性能が高い・レポート日本語対応 | 内部 IP スキャンは別ライセンス | 🇲🇹→🇺🇸 Invicti 傘下 |
| Invicti(旧 Netsparker) | \$1,995〜/年 | Proof-Based Scanning で誤検知低減 | 対象数が増えると価格も急増 | 🇹🇷→🇺🇸 Invicti |
3. SAST(静的解析)&コードスキャナ
| ツール | 参考価格 | 強み | 弱み | 開発国・備考 |
|---|---|---|---|---|
| Checkmarx One | 見積もり制(平均 \$30k/年) | 多言語対応・SAST+SCA+IaC を 1 つの SaaS で | SaaS 版でもエージェント多め | 🇮🇱 Checkmarx |
| Veracode Static Analysis | 約 \$15k〜/年 | クラウド完結・ポリシー運用が楽 | 大規模コードでは解析時間が長い | 🇺🇸 Veracode |
| SonarQube Cloud (Team) | €30/月・10 万 LOC | 品質+セキュリティ同時チェック | 深刻度チューニングは手動 | 🇨🇭 SonarSource |
| GitHub CodeQL | \$30/開発者・月 (Secrets+Code なら \$49) |
GitHub 内部で自動・SBOM連携 | GitHub Enterprise が前提 | 🇺🇸 GitHub |
| Semgrep | \$40/開発者・月 (10 人まで無償) |
ルール編集が簡単・CI 連携軽量 | 大規模リポジトリで速度要調整 | 🇺🇸 r2c |
4. コンテナ & イメージスキャナ
| ツール | 参考価格 | 強み | 弱み | 開発国・備考 |
|---|---|---|---|---|
| Trivy | OSS 無償 | 単一バイナリ・CI 組込み最速 | DB 更新は自己管理 | 🇯🇵 Aqua Security (R&D) |
| Anchore Enterprise | 見積もり制 | ポリシーエンジン・FedRAMP 対応 | UI 操作に慣れが必要 | 🇺🇸 Anchore |
| Snyk Container | \$25/開発者・月(Team) | OSS 依存・K8s 対応が豊富 | テスト上限超過で課金急増 | 🇬🇧→🇺🇸 Snyk |
| Clair | OSS 無償 | レジストリ統合しやすい | UI がなく API 運用必須 | 🇺🇸 (Red Hat) |
5. クラウド/CSPM・CNAPP スキャナ
| ツール | 参考価格 | 強み | 弱み | 開発国・備考 |
|---|---|---|---|---|
| Wiz Essential | 100 Workloads=\$24,000/年 | エージェントレスで 15 分導入 | 料金が Workload 数に比例 | 🇮🇱→🇺🇸 Wiz |
| Prisma Cloud (Business) | 100 credits=\$9,000/年 | IaC→Runtime まで一元 | クレジット制が少し分かりづらい | 🇺🇸 Palo Alto Networks |
| AWS Inspector | EC2 \$1.25/台・月 ほか | AWS ネイティブ・従量課金 | 他クラウドには非対応 | 🇺🇸 Amazon |
| Azure Defender for Cloud | CSPM 基本無料+従量課金 | Azure/PaaS と深い統合 | マルチクラウド監視は限定的 | 🇺🇸 Microsoft |
6. 依存ライブラリ/SCA & SBOM
| ツール | 参考価格 | 強み | 弱み | 開発国・備考 |
|---|---|---|---|---|
| Snyk Open Source | \$25/開発者・月(Free tier あり) | PR 自動修正・IDE 連携豊富 | 大規模 Monorepo で遅い | 🇬🇧→🇺🇸 Snyk |
| Black Duck | 中央値 \$20.8k/年 | ライセンス統制・法令リスク管理 | UI が古い・初期学習重め | 🇺🇸 Synopsys |
| Mend (WhiteSource) | 最低 \$15k/年 | SCA + サプライチェーンを 1 価格で | 開発者向け UX が弱め | 🇮🇱 Mend.io |
| OWASP Dependency-Check | OSS 無償 | CI 組込み簡単・ローカル DB で完結 | DB 更新を自力運用 | 🌐 OWASP |
<過去の記事>
脆弱性診断とフォレンジック調査の違いと対応――“事前” と “事後” のセキュリティ戦略をつなぐ話
「良い質問ですね」と言われたことありますか?
