NTTのwebセキュリティ診断サービスと最新動向を詳しく解説

2025 10/27

2025/10/27

はじめに

NTTグループが提供するWebセキュリティ診断サービスは、企業や団体が自社のWebサイトやWebアプリケーションの安全性を確認し、改善点を見つけるための支援を行います。本記事では、その特徴や診断内容、導入の流れ、メリット・料金感、最新の対応領域などを分かりやすく解説します。

この記事の目的

Webサイトやサービスの脆弱性対策を検討している方へ、NTTグループの診断サービスがどう役立つかを整理します。

想定する読者

自社のセキュリティ対策を担当する方
導入候補サービスを比較検討している管理者
セキュリティの基礎を知りたい経営者や企画担当者

本記事で得られること

診断で何が分かるか、どのような成果を期待できるか
診断の一般的な流れと準備項目
導入時のメリットや注意点、料金イメージ

読み方の案内

章ごとに項目を分けて解説します。まずは本章で全体像をつかみ、必要に応じて診断内容や導入手順の章を参照してください。

NTTグループのWebセキュリティ診断とは

概要

NTTグループは企業や団体のWebサイト、Webアプリケーション、サーバー、ネットワーク機器に対して脆弱性診断やセキュリティ診断を提供します。脆弱性とは不正利用される可能性のある弱点で、診断ではそれを検出して評価し、対策を提案します。

対象範囲

公開サイトや会員サイト、Web API
WebサーバーやOS、ミドルウェア
ネットワーク機器やファイアウォールの設定

診断の種類（簡単な説明）

自動診断：ツールで広くチェックします。短時間で多くの項目を確認します。
手動診断（ペネトレーションテスト）：専門家が実際に攻撃を想定して詳しく調べます。深い問題を見つけやすいです。

推奨されるタイミング

システムのリリース前
大きな改修後
定期的な運用中の点検

レポートと支援

診断後は発見項目の優先度をつけた報告書を受け取れます。具体的な修正案や再診断の提案も受けられ、改善の流れを支援します。

導入時の注意

診断は実際のサービスに影響を与えることがあるため、事前の調整やテスト範囲の合意が大切です。

サービスの主な特徴と診断内容

概要

NTTグループは柔軟な診断範囲と手法を提供します。Webアプリケーション診断やプラットフォーム診断など、利用中のシステム構成に合わせて選べます。

診断対象の例

Webアプリ（ログイン、入力フォーム、APIなど）
インフラ（OS、ミドルウェア、クラウド設定）
外部連携（SaaSやAPI連携の認証・権限）
例：会員サイトでの不正ログインやAPIの認証抜けを確認します。

診断手法

リモート診断：ネットワーク越しに実施します。
オンサイト診断：現地での詳細調査を行います。
セルフ診断支援：ツールとガイドで自社実施を支援します。
また外部視点（ブラックボックス）と内部情報提供（ホワイトボックス）を組み合わせて深掘りします。

提案と対応支援

専門技術者が脆弱性を特定し、優先度付きの対策案を提示します。具体例：設定変更、パッチ適用、コード修正、運用ルールの整備です。修正後の再検査や継続的改善支援も行います。

報告と納品物

分かりやすい報告書を納品します（要約、詳細、再現手順、優先度一覧）。報告会で説明し、実践的な改善計画まで支援します。

主要サービスごとの特徴

以下では、主要なNTTグループ各社が提供する脆弱性診断サービスの特徴を分かりやすく整理します。用途や規模に応じて選びやすくなることを目標にしています。

NTTセキュリティ・ジャパン

Webアプリとプラットフォームの両方に対応する総合的な診断が特徴です。専門家による手動診断と自動ツールを組み合わせ、例えばログイン回避や業務ロジックの不備など人手でないと見つけにくい問題も検出します。成果物は再現手順や修正優先度を含む詳細レポートです。

NTT東日本

申込が簡単で、定期診断や改ざん検知を手軽に導入できます。小〜中規模サイトの保守向けに向いており、定期スキャンで改ざんや異常を検出すると通知が届きます。導入のしやすさを重視する運用チームに適しています。

NTTドコモビジネス

設備を用意せずに利用できるクラウド型／マネージドな診断サービスを提供します。定期診断と合わせて脆弱性の傾向をダッシュボードで可視化し、運用担当者が優先順位を決めやすく支援します。

NTT ExCパートナー

専門技術者が一貫して対応するため、複雑なシステムや高リスク案件に適します。カスタム診断やオンサイトでの支援も可能で、導入から改善フォローまで手厚くサポートします。

NTTデータ先端技術

生成AI／LLMアプリ向けの専用診断を用意しています。プロンプト注入やデータ漏えいリスクなど、AI特有の脆弱性に着目したチェックと改善提案を行います。AIサービスを提供する事業者に適した内容です。

各社の特徴を踏まえ、対象システムの規模や診断の目的（手軽さ、専門性、AI対応など）で選ぶとよいです。

診断の流れ（例：NTT ExCパートナー）

1. 診断対象の調査・見積り

まず専門家が対象サイトやシステムを調べ、範囲とリスクを確認します。たとえばログイン機能やフォーム送信、APIの有無をチェックします。調査結果をもとに最適な診断プランと概算見積りを提案します。

2. ご契約

診断範囲、実施時期、納期、守秘義務などをすり合わせて契約を結びます。発注書やスケジュール調整が交わされ、必要に応じて事前のアクセス情報やテスト環境を共有します。

3. 診断実施

経験豊富な技術者が計画に沿って診断を行います。自動ツールと手動による検査を組み合わせ、脆弱性や誤設定を発見します。影響度に応じて優先度をつけ、安全に配慮しながら進めます。

4. 結果報告

診断結果を報告書にまとめます。検出事項の詳細、再現手順、対策案、優先度を記載します。報告会で説明や質疑応答を行い、その後の対応支援や再診断の提案も可能です。

事前に用意しておくと良いもの

アクセス権限、テスト用アカウント、API仕様書、サーバー構成図などを用意するとスムーズです。

所要期間の目安

小規模サイトで1〜2週間、中規模で2〜4週間が一般的です。準備や対応状況で前後します。

最新動向：AI・LLMアプリケーションへの対応

概要

生成AIや大規模言語モデル（LLM）を組み込んだWebサービスが増え、AI特有のセキュリティリスク対策が必須になっています。NTTデータ先端技術は「OWASP Top 10 for LLM Applications 2025」に基づく診断を提供し、Web UIやREST APIも対象に含めます。

診断対象の例

プロンプト処理：ユーザー入力がそのままモデルに渡るケース
データフロー：入力・出力・ログ・外部コネクタ（ベクトルDBや外部API）の取り扱い
認可とAPIキー管理：不正利用やキーの漏洩

主なリスクと診断項目（具体例）

プロンプトインジェクション：悪意ある文章で機密を引き出されないかを攻撃的な入力で検証します
出力による情報漏洩：モデル生成の応答に機密情報が混入しないか確認します
データの蓄積と再利用：学習データやログから個人情報が再現されないか評価します

診断手法と留意点

実機検証で攻撃的なプロンプトや異常入力を投げます
APIエンドポイントやWeb UIの通信、ログにトークンや個人情報が残らないか確認します
モデルの外部接続（外部データ取得やプラグイン）も含めて評価します

推奨対策（例）

入力のフィルタリングとプロンプトテンプレート化で危険な命令を抑制します
出力検査とポストプロセッシングで不適切な応答をブロックします
最小権限のAPIキー管理、通信の暗号化、監査ログによる異常検知を実装します

以上の観点で、AI特有の脅威に対して実践的な診断と改善提案を行います。

評判・メリット

概要

NTTグループの診断サービスは、専門家による高精度な診断と柔軟なサービス選択肢で評価されています。定期診断や診断後のフォローが整っており、導入後も安心感がある点が特に好評です。

評判が良い理由（具体例）

専門家による深掘り診断
経験豊富なエンジニアが脆弱性を見つけ、具体的な改善手順まで提示します。例えば、設定ミスを指摘して設定例を提示するなど、実務に直結する助言が得られます。
柔軟なサービス構成
小規模サイト向けから大規模システム向けまで選べます。必要な検査だけを組み合わせてコストを抑えられます。
定期診断とアフターフォロー
定期的な再診断や修正確認を依頼でき、継続的にセキュリティを保てます。

利便性の点（導入・運用で感じるメリット）

申込や初期設定の手間が少ないプランがあり、社内リソースが限られる組織でも利用しやすいです。
無料診断キャンペーンや割引を活用すると、まずは試して効果を確認できます。

実際のユーザーの声

「診断レポートが分かりやすく、対応優先度が明確になった」
「再診断で改善点が確実に減り、安心して運用できるようになった」

注意点

期待する効果を得るためには、診断結果に基づく修正を適切に実施する必要があります。外部委託だけで完全に安全になるわけではありません。

料金イメージ

概要

料金は診断範囲や深さ、オプションで大きく変わります。例として、NTT東日本のケースでは通常55,000円（税込）の有料サービスが、キャンペーンで無料になることもあります。多くの場合は個別見積もりになります。

料金が変わる主な要因

診断対象の数と種類（公開Web、API、内部ネットワークなど）
診断方法（自動スキャンのみ／手動検査や侵入テストを含む）
認証付き検査の有無（ログイン後の検査）
ソースコードレビューやクラウド設定診断などの追加項目
レポートの詳細度や納期

代表的な価格例（目安）

基本的な外部自動スキャン：3万〜10万円
手動検査を含む脆弱性診断：10万〜50万円
本格的な侵入テスト：50万〜200万円以上
ソースコードレビュー：別途見積もり（規模に応じて）
※あくまで目安です。実際は条件で上下します。

オプションと注意点

再検査（修正確認）、脆弱性の補助対応、SLAや継続診断は追加費用になります。キャンペーンやパートナー経由で価格が変わることもあります。

見積もりの依頼時に用意する情報

診断したいURLやホストの一覧
想定の診断範囲（外部のみ／内部含む／認証あり等）
希望する納期や報告書の形式
これらを伝えると、より正確な見積もりが得られます。

まとめ

NTTグループのWebセキュリティ診断サービスは、幅広い診断手法と専門家の支援で企業の安全な運用を支えます。定期診断やリリース前のチェックで脆弱性を早期に発見し、修正につなげることでリスクを低減します。AIやLLMを使ったアプリケーションに対しても新たな評価項目を取り入れ、データ漏えいや誤応答など現代的な課題に対応します。

主なポイントは次の通りです。