盾を選ぶ時間 — 2026年無料ウェブスキャナーTOP 5

最も高価なツールが最高のツールとは限らない。

現場で毎日使うツールが最高のツールだ。

>

この記事で扱うこと

• 2026年現在、実務で最も多く使われている無料ウェブスキャナー5種
• 各ツールの強み・限界・実際の使用シナリオ
• すぐにコピーして使える実行コマンドの例
• 5つのツールをどのように組み合わせれば、商用製品に劣らないカバレッジが得られるか

なぜ今「無料スキャナー」なのか

クラウド・API・SaaS時代が本格化した今、ウェブアプリケーションは企業の玄関そのものだ。毎日数十件の新規CVEが公開され、SQLインジェクション・XSS・SSRFのような古典的な脆弱性でさえ、依然として健全な企業を崩壊させている。しかし、商用DASTライセンスは年間数千万円を軽く超え、スタートアップや学習者にとっては現実的な負担となる。

幸いなことに、オープンソース陣営の無料ツールはもはや「趣味用」ではない。独立したベンチマークでは、ZAPの検出率が標準的な脆弱性クラスにおいて商用ツールと比較して10〜15%以内の差に留まるという結果が出ている。これは、適切に組み合わせれば、予算ゼロでも実戦レベルの検査が可能であることを意味する。

---

1. OWASP ZAP (ZAP by Checkmarx) — DASTの王座

一目でわかる

• ライセンス: Apache 2.0 (商用利用を含む完全無料)
• 言語: Java
• タイプ: DAST + インターセプティングプロキシ
• プラットフォーム: Windows / macOS / Linux / Docker

ZAPは2023年にOWASPからSoftware Security Project(SSP)に移管され、2024年9月には主要開発陣がCheckmarxに合流したことで、「ZAP by Checkmarx」とも呼ばれるようになった。所有権が変わったという噂に緊張したユーザーも多かったが、コミュニティエディションは機能制限なしで完全無料であり、ZAP Desktop・CLI・Dockerイメージもすべて無料という約束は変わっていない。

なぜ1位なのか

プロキシモードと自動スキャンモードの両方をサポートしている。Burp Suite Proに似た体験を提供しながらも100%無料だ。自動脆弱性スキャン、パッシブ・アクティブスキャン、スパイダリング、ファジング、CI/CD連携用REST API、プラグインエコシステムまで含まれており、個人学習からエンタープライズパイプラインまでカバーする。2026年2月にリリースされた5.3.0では、JSON-RPCスキャン、SPAフレームワークを理解するModern AJAX Spiderの再記述、DOM XSSシンク検出まで補強され、SPAサポートも格段に向上した。

クイックスタート

# Dockerベースラインスキャン（最も簡単）
docker run -t ghcr.io/zaproxy/zaproxy:stable zap-baseline.py 
  -t https://example.com

# 全自動スキャン + HTMLレポート
docker run -v $(pwd):/zap/wrk/:rw -t ghcr.io/zaproxy/zaproxy:stable 
  zap-full-scan.py -t https://example.com -r report.html

残念な点

Javaベースなので、メモリをかなり消費する。完全なCSR(Client-Side Rendering)アプリケーションでは、商用スキャナーと比較して検出漏れが若干ある。CIパイプラインに組み込むには、初期チューニングが少し必要だ。

---

2. Nuclei — テンプレート革命

一目でわかる

• 作成: ProjectDiscovery
• 言語: Go (速度が光る)
• タイプ: テンプレートベースのCVE・ミスコンフィグスキャナー
• コア: YAMLテンプレート + 並列スキャン

ProjectDiscoveryが作成したNucleiは、高速で柔軟なスクリプト型スキャナーで、テンプレートベースの検出による自動化に特化している。Goで記述されており、1秒間に数百件のリクエストを送信しながらも、リソースをほとんど消費しない。コミュニティのYAMLテンプレートは数千に及び、新しいCVEが公開されると数時間以内にその検出テンプレートがアップロードされる。2026年現在、「最新のCVEにさらされたアセットを迅速に見つける」という点で事実上の標準となっている。

強み

• 圧倒的な速度 (Go + 並行処理)
• CVE公開 → テンプレート登録まで数時間
• 独自のテンプレート作成で組織に合わせた検査が可能
• Docker・GitHub Actionsとの相性が抜群

クイックスタート

# インストール
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest

# テンプレートの更新
nuclei -update-templates

# 単一ターゲットに致命的・高リスクCVEテンプレートのみ適用
nuclei -u https://example.com -t cves/ -severity critical,high

# アセットリストの一括スキャン
nuclei -l targets.txt -rate-limit 150 -o nuclei_report.txt

残念な点

Nucleiはクロールを行わず、テンプレートベースのターゲット検査に依存する。つまり、URLを直接与えるか、他のツールで収集したリストを入力する必要がある。そのため、ZAP（クロール・エンドポイント発見・ファジング）とNuclei（既知のCVE・ミスコンフィグ検出）の組み合わせが、2026年で最も効果的なペアリングとされている。

---

3. Nikto — 22年目のベテランの堅実さ

一目でわかる

• 作成: Chris Sullo (2001年〜)
• 言語: Perl
• タイプ: ウェブサーバーハードニングスキャナー

2001年に誕生したこのツールは、今もKali Linuxに標準搭載されている。Niktoは、老朽化したサーバーソフトウェア、危険なデフォルトファイル、一般的なミスコンフィグなど7,000種類以上を検査するサーバーハードニングチェッカーの役割を担う。つまり、アプリケーションロジックではなく、サーバーレベルの「戸締まり」を検査する。

強み

• 7,000種類以上の危険なファイル・設定・デフォルトパスを検査
• インストールと実行が極めて簡単
• 外部偵察(Recon)段階で5分以内に結果が出る

クイックスタート

# Kaliにはデフォルトでインストール済み。その他はapt / brew
nikto -h https://example.com

# SSL強制 + HTMLレポート
nikto -h https://example.com -ssl -o nikto_report.html -Format html

# 特定のチューニングオプションのみ実行（9: SQLインジェクション, 4: ファイルインクルージョン）
nikto -h https://example.com -Tuning 9,4

残念な点

アプリケーションロジックをテストせず、クロールやフォームのインタラクションを行わず、誤検知率が高い。つまり、「Niktoが終わりではなく始まりだ」という点だけ忘れなければ、依然として強力な先発投手だ。

---

4. Wapiti — Python Fuzzerの定番

一目でわかる

• ライセンス: GPL v2
• 言語: Python 3 (3.12 / 3.13 / 3.14)
• タイプ: ブラックボックスファジングDAST
• 攻撃モジュール: 30以上

Wapitiはコマンドラインのブラックボックスファザーで、ソースコードを読まずにデプロイされたウェブアプリケーションをクロールしてリンクとフォームを抽出し、GET・POSTパラメータ・クッキー・HTTPヘッダーを介して攻撃ペイロードを送信する。30以上の攻撃モジュールがインジェクション欠陥、Log4Shell・Spring4Shell・Shellshockのような既知のCVE、サーバーミスコンフィグをカバーし、Swagger/OpenAPI仕様を読み込んでAPIも検査する。

強み

• Pythonエコシステムなのでカスタマイズが容易
• OpenAPIベースのAPIスキャンをサポート
• CIパイプラインに組み込むのにクリーン

クイックスタート

# インストール (Python 3.12以降)
pip install wapiti3

# 基本スキャン
wapiti -u https://example.com

# SQLi・XSS・XXEモジュールのみ選択実行
wapiti -u https://example.com --module sql,xss,xxe

# OpenAPI仕様に基づくAPIスキャン
wapiti -u https://api.example.com --swagger openapi.json

残念な点

WapitiはヘッドレスFirefoxをサポートしているが、ZAPやBurpに比べるとSPA対応は限定的だ。GUIがないため初心者には敷居が高いが、自動化の観点からはよりクリーンだ。

---

5. Burp Suite Community Edition — 手動検査の標準

一目でわかる

• 作成: PortSwigger
• タイプ: インターセプティングプロキシベースの手動分析ツール

Burp Suite Proが事実上の業界標準だが、コミュニティエディションもリクエスト傍受・Repeater・Decoder・Comparerのような手動検査の核となる機能はすべて無料だ。自動スキャナーはないが、高度な手動ウェブアプリケーション侵入テストにはBurp Suiteが最も広く認められているツールであるという評価は、2026年においても有効だ。

強み

• OSCP・バグバウンティ・実務ペンテスターが最も多く使うツール
• リクエスト操作の自由度が圧倒的
• 豊富なコミュニティ拡張機能 (BApp Store)

残念な点

自動脆弱性スキャンはない。速度制限(Throttling)がかかっており、Pro版に比べて遅い。プロジェクトの保存ができないため、セッションの継続が煩わしい。それでも「自分の頭で脆弱性を見つけたい瞬間」には、依然として最優先の選択肢だ。

---

5つのツールをどのように組み合わせて使うか

2026年の実務で通用する組み合わせの公式は、おおよそ以下の通りだ:

1. Niktoで5分以内にサーバーレベルの問題をざっと確認 (公開されている.git、デフォルトの管理者パス、古いApacheバージョンなど)
2. OWASP ZAPでクロール + パッシブ/アクティブスキャン (SQLi・XSS・セッション・ヘッダー)
3. Nucleiで最新のCVE・ミスコンフィグを精密に攻撃
4. Wapitiでパラメータファジングを追加で補強
5. Burp Suite Communityで自動スキャナーが見逃したビジネスロジックの脆弱性を手動で検証

この手順を適切に実行するだけでも、中小規模のウェブ資産であれば、商用DAST1台がこなす仕事の80%以上はカバーできる。

⚠️ 注意事項

• 許可のないスキャンは違法である。 国内の情報通信網法上、他人のシステムに無断でスキャンを行うだけでも処罰の対象となる可能性がある。書面による同意、SOW、または公式のバグバウンティプログラムの範囲内でのみ使用すること。
• 運用ネットワークへの直接スキャンは最終手段。 スキャナーは意図的に異常なトラフィックを生成する。DBロック・セッションの暴走・WAF遮断・サービス停止が発生する可能性がある。ステージング・ミラー環境を優先すること。
• 誤検知(False Positive)は当然である。 すべてのDASTは誤検知を出す。スキャナーが鳴らしたアラームは「手動検証の開始点」であり、レポートの結論ではない。

✅ まとめ

無料だからといって決して軽視できるツールではない。ZAPとNucleiを軸に、Nikto・Wapiti・Burp Communityを補助とする構成は、予算ゼロという制約の中でも驚くほど広いカバレッジを生み出す。重要なのは「どのツールが最高か」ではなく、各ツールがどのような特性を持つかを理解し、組み合わせる能力だ。

次回の記事では、これら5つのツールをGitHub Actions上に乗せてCIパイプラインに自動的に組み込む実践的なレシピを扱う予定だ。