事業運営

NTT東日本のWebセキュリティ診断は終了?後継サービスと代替手段を解説

catfish_admin

Webサイトのセキュリティ対策としてNTT東日本のサービスを検討されている方も多いのではないでしょうか。しかし、同社が提供していた「Webセキュリティ診断」は、2024年3月31日をもって既にサービスを終了しています。サービス終了の事実を知らずに情報を探している企業担当者も少なくありません。この記事では、「Webセキュリティ診断」のサービス終了に関する公式情報と、後継サービスや代替となる他社サービスの選び方について詳しく解説します。

目次

結論:NTT東日本の「Webセキュリティ診断」は提供を終了

2024年3月31日をもってサービス提供は終了済み

NTT東日本が提供していた「Webセキュリティ診断」は、企業のWebサイトにおける脆弱性を特定し対策を促すサービスでしたが、現在は提供を終了しています。市場環境の変化とサービスラインナップの見直しに伴い、段階的にサービスが縮小され、最終的に終了となりました。

サービス終了までの流れ
  1. 新規申込受付の終了: 2023年10月31日をもって、新しい診断の申し込み受付が停止されました。
  2. サービス提供の完全終了: 2024年3月31日をもって、既存契約者を含めたすべてのサービス提供が完全に終了しました。

このため、従来このサービスを利用していた企業は、すでに代替となる別の診断サービスへ移行している必要があります。Webサイトのセキュリティは経営における重要なリスク管理項目であり、診断サービスの空白期間が生じないよう、速やかな後継サービスの選定と契約が求められていました。

サービス終了に関する公式発表の内容(新規受付終了日・提供終了日)

NTT東日本は、2023年9月7日付の報道発表で「Webセキュリティ診断」のサービス終了を正式に告知しました。発表された終了までのスケジュールは以下の通りです。

公式発表された終了スケジュール
  • 新規申込受付終了日: 2023年10月31日
  • サービス提供終了日: 2024年3月31日

同社は既存の利用者に対して、混乱を避けるために個別に終了の案内を行いました。サービス終了の理由としては「市場環境の変化」が挙げられており、これはサイバー攻撃の高度化・多様化に対応するため、より包括的なセキュリティサービスへの需要が高まったことが背景にあると考えられます。利用していた企業にとっては、単なるサービス終了と捉えるのではなく、自社のセキュリティ対策全体を見直す良い機会となりました。

NTT東日本の後継サービスとグループ内の類似サービス

後継サービス候補となる「おまかせICT診断」の概要

「Webセキュリティ診断」の終了に伴い、NTT東日本は新たなセキュリティ対策サービスとして「おまかせICT診断」を2024年8月より提供開始しました。このサービスは、Webサイト単体だけでなく、オフィス全体のICT環境を対象に潜在的なリスクを可視化することを目的としています。

専門家がオフィスを訪問し、ICT環境のセキュリティリスクやパフォーマンスを調査します。さらに、2025年3月からは、より手軽に利用できる無償の「おまかせICT診断 セルフ診断ツール」の提供も開始されています。

「おまかせICT診断」の主な診断メニュー
  • パソコンセキュリティ診断: OSのアップデート状況やウイルス対策ソフトの導入状況などを確認します。
  • ネットワークセキュリティ診断: UTM(統合脅威管理)の導入状況やWi-Fiの暗号化強度などを確認します。

診断結果は具体的な対策を明記したレポートとして提供されるため、IT専門の担当者がいない中小企業でも、客観的なデータに基づいてセキュリティ環境の改善を進めることが可能です。

旧「Webセキュリティ診断」と「おまかせICT診断」の主な違い

旧サービスと後継サービスでは、診断の対象範囲とアプローチに大きな違いがあります。「Webセキュリティ診断」がWebサイトの脆弱性に特化していたのに対し、「おまかせICT診断」はオフィス全体のICT環境を包括的に扱います。

項目 旧:Webセキュリティ診断 新:おまかせICT診断
診断対象 Webサイト、Webアプリケーション オフィス全体のICT環境(PC、ネットワーク、Wi-Fi等)
診断手法 リモートからの擬似攻撃が中心 専門家による現地調査、ヒアリング、セルフ診断ツール
主な目的 Webサイトの脆弱性の発見と対策 ICT環境全体のリスク可視化と運用改善
提供成果物 脆弱性診断レポート ネットワーク構成図、機器一覧を含む総合的な改善レポート
「Webセキュリティ診断」と「おまかせICT診断」の比較

このように、「おまかせICT診断」はシステム上の欠陥だけでなく、機器の老朽化や設定ミス、運用体制の不備といった現場レベルのリスクまで洗い出すことを目指しており、IT資産管理の強化にも貢献します。

NTT西日本などが提供する類似のセキュリティ診断サービス

NTT東日本のサービスエリア外の企業や、グループ内の他サービスを比較検討する場合には、NTT西日本や関連会社が提供するサービスも選択肢となります。

NTTグループの主なセキュリティ関連サービス
  • NTT西日本「セキュリティおまかせプラン」: 不正通信のブロックや端末監視といった常時監視型のセキュリティ対策を提供し、レポートや遠隔サポートも行います。中小企業向けにネットワークや端末の無料診断も実施しています。
  • NTTビジネスソリューションズ「セキュリティ診断サービス」: 経済産業省の基準に適合した、より専門的な診断サービスです。Webアプリケーションやプラットフォームの脆弱性を詳細に検査し、SQLインジェクションなど高度な攻撃への耐性を評価します。

これらのサービスは、企業の所在地や求める診断レベルに応じて選択することが可能です。

『おまかせICT診断』はどんな企業におすすめか

「おまかせICT診断」は、特に専任のIT管理者を置くことが難しい中小企業にとってメリットの大きいサービスです。以下のような課題を抱える企業におすすめです。

「おまかせICT診断」が推奨される企業の特徴
  • 社内にIT専門の担当者がおらず、セキュリティ対策に不安がある。
  • 社内のPCやネットワーク機器の構成が不明確で、管理ができていない(ブラックボックス化)。
  • ウイルス対策ソフトは導入しているが、それ以外の対策ができていない。
  • 通信速度の低下やネットワークの不安定さの原因を特定したい。
  • 客観的なデータに基づき、セキュリティ投資の優先順位を判断したい。

現状のICT環境を可視化し、どこから手をつけるべきかを明確にしたい経営者や総務担当者にとって、実用的な意思決定ツールとなります。

Webサイトのセキュリティ診断(脆弱性診断)の基本と必要性

Webセキュリティ診断とは?その目的と診断内容

Webセキュリティ診断(脆弱性診断)とは、WebサイトやWebアプリケーション、関連するサーバーやネットワークに、情報セキュリティ上の欠陥(脆弱性)がないかを調査するプロセスです。最大の目的は、サイバー攻撃の足がかりとなる弱点を事前に発見・修正し、情報漏洩やサイト改ざんといったインシデントを未然に防ぐことにあります。

診断内容は対象によって異なり、主に以下の2種類に大別されます。

主な診断内容
  • Webアプリケーション診断: SQLインジェクションやクロスサイトスクリプトなど、アプリケーションのロジックや実装上の不備を検査します。
  • プラットフォーム診断: OSやミドルウェアのバージョン、不要なポートの開放、設定ファイルの不備など、システム基盤の脆弱性を検査します。

診断は、専用ツールによる網羅的なスキャンと、専門家が擬似攻撃を行う手動診断を組み合わせて実施されるのが一般的です。結果は、検出された脆弱性の危険度や修正策をまとめた報告書として提供されます。

企業がセキュリティ診断を実施すべき理由とメリット

企業がセキュリティ診断を実施する最大の理由は、事業継続性と社会的信用を守るためです。脆弱性を放置すると、顧客情報の漏洩やランサムウェア被害など、経営に深刻なダメージを与えるインシデントに直結する可能性があります。

定期的な診断には、以下のようなメリットがあります。

セキュリティ診断実施のメリット
  • サイバー攻撃リスクの低減: 新たな脅威やシステム変更に伴う脆弱性を早期に発見し、被害を未然に防ぎます。
  • 客観的な投資判断の根拠: 診断結果に基づき、経営層に対してセキュリティ投資の必要性を具体的に説明できます。
  • 対外的な信頼性の証明: 取引先や顧客に対し、自社が適切なセキュリティ対策を講じていることを客観的に示せます。
  • コンプライアンスの遵守: IPAのガイドラインやPCI DSSなど、業界基準や法令で求められる要件を満たすことができます。

セキュリティ対策が手薄になりがちな中小企業こそ、サイバー攻撃の標的となりやすいため、診断の重要性はますます高まっています。

代替となる他社のWebセキュリティ診断サービスの選び方

自社に合うサービスを選ぶための3つの比較ポイント

自社に最適なWebセキュリティ診断サービスを選ぶためには、以下の3つのポイントを比較検討することが重要です。

サービス選定の比較ポイント
  1. 診断の範囲: Webアプリケーション、プラットフォーム、スマートフォンアプリなど、自社が診断したい対象に対応しているかを確認します。
  2. 診断の手法と深度: システムの重要度や予算に応じて、ツールによる自動診断のみか、専門家による手動診断を組み合わせるかを判断します。個人情報や決済情報を扱うサイトでは、手動診断を含む高精度なプランが推奨されます。
  3. サポート体制: 診断報告書の分かりやすさ、修正策に関する具体的なアドバイスの有無、修正後の再診断が含まれているかなどを確認します。特に開発を外部委託している場合、手厚いサポートが実効性につながります。

主要なWebセキュリティ診断サービス3社の特徴を紹介

市場には多くの診断サービスが存在しますが、ここでは代表的な3社の特徴を紹介します。

主要な診断サービス提供企業(例)
  • 株式会社ラック: 国内最大級のセキュリティ監視センターを運営する実績があり、高品質なハイブリッド診断(ツール+手動)を提供。金融機関や官公庁などでの採用実績が豊富です。
  • バルテス株式会社: ソフトウェアテストの専門知識を活かし、効率的かつ網羅的な診断を実施。診断後にサイバーリスク保険が無償で付帯するなどの付加価値も提供しています。
  • GMOサイバーセキュリティ byイエラエ株式会社: 高い技術力を持つホワイトハッカーが在籍し、攻撃者目線での高度な診断が可能。低価格な自動診断から本格的なペネトレーションテストまで、幅広いメニューを揃えています。

診断手法の違い(自動診断と手動診断)を理解する

診断手法は、ツールによる「自動診断」と専門家による「手動診断」に大別されます。両者の特徴を理解し、目的に応じて使い分けることが重要です。

項目 自動診断 手動診断
コスト・時間 低コスト・短時間 高コスト・時間がかかる
網羅性 広範囲を機械的に検査できる 検査範囲は限定されるが、深い調査が可能
診断精度 誤検知や検知漏れの可能性がある 高精度で、誤検知が少ない
検出できる脆弱性 既知の典型的な脆弱性が中心 ビジネスロジックの欠陥など、複雑な脆弱性も発見可能
自動診断と手動診断の比較

一般的には、両者を組み合わせたハイブリッド診断が、網羅性と精度のバランスが取れた選択肢として推奨されます。

Webセキュリティ診断に関するよくある質問

Webセキュリティ診断の料金相場はどのくらいですか?

Webセキュリティ診断の料金は、診断対象の規模(画面数など)や手法によって大きく異なります。

料金相場の目安
  • ツールによる自動診断: 1サイトあたり数万円~数十万円程度。比較的安価に導入できます。
  • 専門家による手動診断を含む場合: 1サイトあたり50万円~100万円以上。診断の深度や項目数に応じて変動します。

継続的な監視を行う月額制のサービスもあります。正確な料金を知るには、診断対象の情報を整理した上で、複数のベンダーから見積もりを取得することをおすすめします。

無料のセキュリティ診断と有料サービスの違いは何ですか?

無料の診断ツールは手軽な一方、機能が限定的です。企業の重要なシステムを保護するためには、有料サービスの利用が推奨されます。

項目 無料診断 有料サービス
診断範囲・項目 限定的(URL数や検査項目に制限あり) 網羅的で、最新の脅威に対応
レポート品質 簡易的で、具体的な対策は提示されないことが多い 詳細で、危険度評価や具体的な修正方法が記載される
サポート体制 基本的になし 専門家による質疑応答や修正後の再診断などが含まれる
無料診断と有料サービスの比較

無料診断はあくまで補助的な確認手段と位置づけ、リスク管理の観点からは信頼性の高い有料サービスによる定期的な診断が不可欠です。

診断で脆弱性が発見された場合、どのように対応すればよいですか?

脆弱性が発見された場合は、パニックにならず、以下の手順で冷静に対応を進めることが重要です。

脆弱性発見後の対応フロー
  1. リスク評価と優先順位付け: 診断報告書に基づき、脆弱性の危険度を確認し、対応の優先順位を決定します。
  2. 暫定対応と修正作業: 情報漏洩などに直結する緊急度の高い脆弱性から、修正パッチの適用やサービスの一次停止などの対応を行います。開発担当者と連携して恒久的な修正を進めます。
  3. 再診断の実施: 修正完了後、脆弱性が完全に解消されたことを確認するために、再度診断(再診断)を受けます。

多くの有料サービスでは、この再診断までがプランに含まれています。

セキュリティ診断はどのくらいの頻度で実施するのが望ましいですか?

セキュリティ診断は一度きりではなく、定期的に実施することが極めて重要です。新たな脆弱性は日々発見されるため、システムの状況に応じて適切な頻度で診断を受ける必要があります。

推奨される診断のタイミング
  • 定期診断: 少なくとも年に1回は、包括的な診断を実施することが推奨されます。
  • システム変更時: Webサイトの機能追加や大幅な改修を行った際には、その都度診断を実施します。
  • 高頻度での診断: 個人情報や決済情報を扱う重要なシステムでは、半年に1回や四半期に1回など、より頻繁な診断が望ましいです。

IPAの「安全なウェブサイトの作り方」などのガイドラインでも、定期的な脆弱性診断の実施が強く推奨されています。

まとめ:自社に最適なWebセキュリティ診断を選び、対策を継続しよう

本記事では、NTT東日本の「Webセキュリティ診断」がサービスを終了した事実と、その背景について解説しました。後継サービスとして「おまかせICT診断」が提供されていますが、これはWebサイト単体ではなくオフィス全体のICT環境を対象としており、旧サービスとは目的や手法が大きく異なります。そのため、従来と同様のWebサイトの脆弱性診断を求める場合は、NTTグループの別サービスや他社が提供する代替サービスを検討する必要があります。代替サービスを選定する際は、自社の診断対象や求める診断レベルを明確にし、「診断範囲」「診断手法」「サポート体制」の3つのポイントで比較することが重要です。Webサイトのセキュリティは事業継続に不可欠な要素ですので、本記事を参考に自社に最適な診断サービスを選び、継続的な対策を講じていきましょう。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ
Recommend
こちらの記事もどうぞ
記事URLをコピーしました