更新日：2025.05.23

Burp Suite

Burp SuiteはWebアプリケーションのセキュリティテストを⾏うための統合プラットフォームです。無償版のCommunity Edition、リリース後の精緻な手動テストをサポートするProfessional Edition、対象を継続的に自動的に診断しSecDevOpsをサポートするBurp Suite DASTの3種類の製品があります。

目次閉じる開く

Burp Suite概要

価格
Burp Suite Community Edition と Burp Suite Professional Edition の違い
Burp Suite Professional と Burp Suite DASTの違い

Burp Suite Community Edition
Burp Suite Professional Edition
Burp Suite DAST
その他製品情報
FAQ

Burp Suite概要

2025年4月30日追記Burp Suite Enterprise Editionが「Burp Suite DAST」に名称変更されました。

2025年1月24日追記2025年3月1日より、Burp Suite Professionalの価格が改定されます。

2024年12月24日追記2025年1月1日より、Burp Suite Enterprise Editionのライセンス体系が改定されます。スキャン対象のFQDNの数に基づいて価格が決定されます。ただしこれは、新たに購入される場合にのみ適用され、更新の場合には適用されません。

Burp Suiteは、Webアプリケーションのセキュリティテストを⾏うための統合プラットフォームです。Gartner Peer Insightsなどでも高い評価を得ています。

無償版のBurp Suite Community Edition、リリース後の細かな手動テストをサポートするBurp Suite Professional Edition、対象を継続的に自動的に診断しSecDevOpsをサポートするBurp Suite DASTの3種類の製品があります。

Burp Suite Community Edition：無償で使用可能で、基本的な診断を手動により行うことができます。また、商用利用も可能です。
※商用利用については、License Agreement 1.2.1にて規定されております。
Burp Suite Professional Edition：Burp Suite Community Editionのすべての機能に加えて、Burp Scanner（コンテンツの自動探索とセキュリティ上の⽋陥を⾃動的に検出することが可能）などの機能を利用することができます。手動診断を業務とする場合には必須のツールです。ユーザーライセンスでのご提供となり、1ユーザーあたり1ライセンス契約が必要です。マシンライセンスなど他形態のライセンスのご提供はありません。
Burp Suite DAST：定期的なスキャン設定や、拡張機能、CI統合機能を搭載します。手動診断には対応していないため、必要に応じてBurp Suite Professional Editionと組み合わせて使用します。Professional Editionと異なり、ユーザー数の制限はありません。
なお、2025年1月以降に新たに契約いただく場合、スキャン対象のFQDNの数に応じて価格が決定するライセンスを契約可能です。それまでに契約いただいたライセンスは、それまでのライセンス体系のままで更新することが可能です。なおFQDNの数の数え方など、よくある質問についてはこちらを参照してください。

詳細が気になる方は、以下よりご相談いただけます。

価格

2025年4月現在の、各製品の価格は以下の通りです。ただし2025年3月1日より、Burp Suite Professionalの価格が改定されます。

Burp Suite Professional：年間475ドル
Burp Suite DAST：年間12,500ドル（スキャン対象のFQDN数が5以下の場合。同時スキャン数：1）
ただし、スキャン対象のFQDNの数が6以上の場合は、以下要素により価格が決定されます。詳細はお問い合わせください。
- CI/CDパイプラインへのDASTスキャンの統合有無。統合する場合は、開発者の人数
- スキャン対象のFQDNの数
- スキャンの頻度
- APIスキャンの要否。必要な場合、スキャン対象のエンドポイントの数
- 運用形態（SaaS またはオンプレミス）

Burp Suite Community Edition と Burp Suite Professional Edition の違い

Community Editionの特徴
- 基本的な手動ペンテスト（例：HTTPリクエスト/レスポンスの確認）に適しています。
- 無料で使えるため、セキュリティ学習者や個人利用に向いています。
- 自動スキャニングや拡張機能は利用できないため、機能面では大幅に制限があります。
Professional Editionの特徴
- Burp Scannerを用いた自動化された脆弱性スキャン機能により、作業効率が大幅に向上します。
- IntruderやRepeaterなどの高度なツールで、詳細なテストや攻撃シミュレーションが可能です。
- 拡張性が高く、BApp Storeから追加機能をインストールして、カスタマイズが可能です。
- 商用利用やプロフェッショナルなアプリケーションセキュリティテストに最適です。

機能	機能概要	Community	Professional

機能	機能概要	Community	Professional
Target	対象アプリケーションに関する詳細情報を設定することができ、診断スコープを定義することが可能です。
Burp Proxy	エンドブラウザと対象Webアプリケーションの間の中間者として通信をインターセプトするWebプロキシです。双方向で通過する生のトラフィックのインターセプト、検査、変更が可能です。また、HTTPSを使用したテストにも使用可能です。
Burp Scanner	Webサイトのコンテンツと脆弱性をスキャンするタスクを自動化します。アプリケーションをクロールしてコンテンツや機能を検出し、脆弱性を検出することが可能です。ユーザー認証情報を提供することで、アクセスが制限されているコンテンツの検出・検査も可能です。さらに、シングルサインオンなどの複雑なログインにも対応しています。JSON ベースの API 定義をスキャンして脆弱性を検出する場合にも利用します。
Burp Intruder	Webアプリケーションに対して、カスタマイズした自動攻撃を実行するための強力なツールです。詳細な設定が可能で、テストをより速く効果的に実施するための数多くのタスクで使用可能です。	試行速度などに制限あるため実用不向き。
Burp Repeater	HTTPやWebSocketのメッセージを手動で修正して何度も送信し、アプリケーションからのレスポンスを分析することができるツールです。例えば、以下のような用途に使用することができます。・入力ベースの脆弱性をテストするために、パラメータ値を変化させたリクエストを送信する。・特定の順序で一連のHTTPリクエストを送信し、複数ステップの処理や、接続状態の操作に依存する脆弱性をテストする。・Burp Scannerから報告された問題を、手動で検証する。
Burp Sequencer	サンプルデータが適切なランダム性を有するかを分析することができます。アプリケーションのセッショントークンや、アンチCSRFトークン、パスワードリセットトークンなどの重要なデータ項目が、意図した通りに予測不可能であることかをテストすることなどが可能です。
Burp Decoder	アプリケーションデータを、手動または賢くデコードやエンコードを行う便利なユーティリティです。
Burp Comparer	類似したHTTPメッセージなど2つのデータ間の、差分を視覚的に表示する便利なユーティリティです。
Burp Logger	Burp Suiteが生成する全てのHTTPトラフィックの記録・分析を行うツールです。Burp Suiteに搭載されている各種ツールや拡張機能から送信されたリクエストを調査したり、Burp Scannerから送信されたリクエストをリアルタイムで見ることなどが可能です。
Burp Inspector	HTTPやWebSocketのメッセージを解析、編集する便利な機能があります。
Burp Collaborator	Burp Suiteが様々な種類の脆弱性を発見するために使用するネットワークサービスです。ブラックボックス型の診断では検出が難しい脆弱性の検出もカバーします。インターネット上に公開されているパブリックCollaboratorサーバーとオンプレミスで構築可能なプライベートCollaboratorサーバーの両方が利用可能です。
Burp Collaboratorクライアント	手動テスト中にBurp Collaboratorを使用するツールです。
DOM Invader	さまざまなソースとシンクを使用してDOM XSS脆弱性を見つけるツールです。Web メッセージとプロトタイプ汚染も検査可能です。
Burp Clickbandit	クリックジャッキング攻撃を生成し、検査するためのツールです。
Burp Infiltrator	対象のWebアプリケーションに一部変更を加えて、安全でないAPIの呼び出しを検出します。※実際に対象アプリケーションに変更を加えるため、本番システムなどへの使用は非推奨です。
Target Analyzer	対象のWebアプリケーションを分析して、対象に含まれる静的ページ・動的ページの数と、各URLが取るパラメータの数を確認することができます。これにより、診断に必要な工数の見積、注力すべきポイントを識別するのが容易になります。
Content discovery	リンクされていないコンテンツなどを発見するための機能です。名前の推測、Web クロール、アプリケーション内で使用されている命名規則からの推測など、さまざまな手法でコンテンツを発見します。
CSRF PoCの生成	与えられたリクエストに対して、クロスサイトリクエストフォージェリ（CSRF）攻撃のためのPoCを生成する機能です。
Manual testing simulator	脆弱性の検出のために利用するための実用的なツールではないものの、手動で診断しているように見せかけるログを、対象のWebアプリケーションサーバーに自動的に残すためのツールです。
BApp	Burp Suiteの拡張プラグイン	一部利用不可	制限なし
タスクのスケジュール	自動化されたタスクの実行を指定した時間に一時停止したり、再開したりすることができる機能です。
プロジェクトファイルの保存	作業内容と構成設定を保持することができます。
検索	対象サイトマップの一部または全部を検索して、コメントやスクリプトを見つけることができます。また、特定のアイテムにリンクしているHTTPレスポンスを、Burpのすべてのツールで検索することができます。
利用可能なサポート	1. ユーザーフォーラム（英語） 2. テクニカルサポート（英語メール） 3. 当社アンカーテクノロジーズによる日本語サポート（有償オプション）	1のみ	1〜3

各機能についてはメーカーのブログ記事においても概要をご確認いただけます。

Burp Suite Professional と Burp Suite DASTの違い

Burp Suite Professional

特徴
- 手動ペネトレーションテストに特化。
- セキュリティ専門家がアプリケーションの脆弱性を詳細に調査するために使用。
- 高度なカスタマイズが可能で、スクリプトやプラグインを使用した柔軟なテストが可能。
利用シーン
- 【専門的な脆弱性調査】手動操作で脆弱性を深く掘り下げる必要がある場合。
- 【特定のターゲットアプリケーション】テスト範囲が限られており、詳細な調査が求められる場合。
- 【アクティブな調査と検証】攻撃シナリオの再現や検証を行いたい場合。

Burp Suite DAST

特徴
- 継続的かつ自動化された脆弱性スキャンに特化。
- 組織内での大規模な運用を念頭に設計され、CI/CDパイプラインに統合可能。
- 複数のユーザーやチームが利用できる環境を提供。
利用シーン
- 【大規模なスキャン】多くのアプリケーションやWebサイトを定期的にスキャンしたい場合。
- 【継続的なセキュリティテスト】CI/CDパイプラインに統合し、自動的にセキュリティスキャンを実行する場合。
- 【チームでの利用】複数のユーザーや部署間でレポートやスキャン結果を共有したい場合。

機能	Professional Edition	Enterprise Edition
主な用途	手動ペネトレーションテストや、インタラクティブな脆弱性診断	継続的な自動スキャンと大規模デプロイメント
主な対象ユーザー	セキュリティエンジニア、リサーチャー、ペネトレーションテスト担当者	開発チーム、DevOpsチーム、中規模〜大規模組織のセキュリティ担当者
自動スキャニング機能	基本的な自動スキャニング（手動テストがメイン）	高度な自動スキャニング（スケジュール設定や大規模運用対応）
スケジュール設定	非対応	スキャンのスケジュール設定が可能
ユーザー管理	1ユーザー専用（1ライセンスを1ユーザーで利用）	複数ユーザーの管理（ロールベースのアクセス制御機能など有り）
スキャン対象	単一または少数のウェブアプリケーション	数十〜数千のウェブアプリケーション
CI/CD統合	対応（手動でのセットアップ）	ネイティブなCI/CD統合（Jenkins、GitLabなど）
デプロイ環境	ローカル環境（手動インストール）	オンプレミス、クラウド、Kubernetes環境に対応
レポート生成	簡易的なレポート	詳細なカスタムレポート生成
サポート対象	1台のデバイスで利用可能	チーム全体で利用可能、複数のスキャンリソースを管理

Burp Suite Professional と Burp Suite DAST は、両方組み合わせて活用することが可能です。Burp Suite Professional Editionだけでは、自動化されたスキャンが不足し、継続的なセキュリティ管理が難しく、Burp Suite DASTだけでは、特定の状況で必要となる、手動による詳細テストが実施できません。

ライセンス内容についてさらに知りたい方は、お気軽にご相談ください。

Burp Suite Community Edition

Burp Suite Community Editionは、無償で利用可能なアプリケーションで、多くの機能が利用可能です。
ただし、前項に揚げる表の通り、一部機能はご利用いただけません。

Burp Suite Communityは、このページでダウンロード可能です。

Burp Suite Professional Edition

無償で使用可能な Community Editionに比べて、柔軟かつ幅広い機能を利用可能です。

▼Burp Suite ProfessionalのUI

▼Burp Scannerを用いた脆弱性スキャン

Burp Suite DAST

Burp Suite DAST（旧名称：Burp Suite Enterprise Edition）は、Burp Suite Professional Editionの機能を拡張し、診断の自動化を強力にサポートする製品です。

それまでの「手動による診断から、診断の自動化への移行」または「手動による診断に加えて、診断の自動化も新たに始める」ということを目的に、Burp Suite DAST を導入するケースが多数あります。

（例）ShopifyにおけるBurp Suite ProfessionalからEnterpriseへの移行事例

▼サイト設定

▼スキャンマシン設定

▼スキャンの実施

▼チーム設定

▼CI/CDツールとの連携設定

ライブデモサイトはこちらから。スキャン結果の主要部分のみご確認いただけます。デモサイトではスキャンはできません。

その他製品情報

Burp Suiteの開発ロードマップはこちらからご確認いただけます。

Burp Suiteの導入のご相談は、下記よりお気軽にお問い合わせください。

FAQ

納品はどのように行われますか？

新規購入・更新ともに、原則として電子納品となります（もし、紙などによる納品が必要なお客様は事前にお知らせください）。
当社がメーカーに注文手続きをして数分以内に、送信元：licensing@portswigger.net　より手続き完了の通知メールが届きます。
当社で注文手続きを完了しましたらお客様にお知らせしますので、Portswigger社から届いたメールに記載のアカウントページにログインしてライセンスをご確認ください。アクティベーションキーとインストールソフトウェアをダウンロードすることが可能です。

ログイン後に「Subscription」タブにおいて、「License Key」「Software」をクリックすることで、アクティベーションキーとインストールソフトウェアをそれぞれダウンロード可能です。

2ユーザー以上分を新規に購入いただいたお客様は、”Access for license key holder only” と表示されてダウンロードできません。下図右下の箇所に”Invite your team”と表示されているので、まずはユーザー追加を行います。その後、各ユーザーがダウンロードを行えるようになります。

メーカーWebページもご参考ください。

Burp Suiteのトライアルは可能ですか？

はい、可能です。Burp Suite Professional Edition、Burp Suite DASTともに、30日間ご利用いただけます。ご希望の方はお問い合わせください。
特に、Burp Suite Professional Edition は、通常は一度かつ1ユーザーのみトライアル可能ですが、弊社にご連絡いただいた場合は複数ユーザーがトライアルできるように調整いたします。

なお、メーカーへのトライアル申請のため、以下の情報が必要です。

Burp Suite Professional Edition の場合

ご希望のトライアル開始時期
ご担当者様の氏名（ローマ字）
ご担当者様のメールアドレス（トライアル期間中、メーカーからいくつかのメールが自動で送られます）
ご担当者様の役割（アプリケーションセキュリティの実務者・アプリケーションセキュリティのマネジメント・その他）
ソフトウェアに求める要件（できるだけ詳細に記述してください）
アプリケーションセキュリティにおける経験（初心者・中級・上級）
Burp Suite の使用経験（使用経験がある場合は、Community / Professional のどちらであるか記述してください）

Burp Suite DAST の場合

ご希望のトライアル開始時期
ご担当者様の氏名（ローマ字）
ご担当者様のメールアドレス（トライアル期間中、メーカーからいくつかのメールが自動で送られます）
ご担当者様の役割（セキュリティ全般・開発・運用）
トライアルで最も達成したいこと（以下よりご選択ください）
- アプリケーションのスキャンをテストしたい
- 特定の機能や統合をテストしたい
- 使いやすさをテストしたい
- 自分の環境でのデプロイをテストしたい
ソフトウェアに求める要件（できるだけ詳細に記述してください）
アプリケーションセキュリティにおける経験（初心者・中級・上級）
診断対象のアプリケーション数（予定している概算数）
自動診断ソリューションは現在導入済みでしょうか。
構築予定の環境
- 物理サーバー
- クラウド仮想マシン（AWS EC2など）
- Kubernetes
- その他（記述してください）

Burp Scanner によって特定された Issue の severity (High, Medium, Low, Informational) の判定基準は何ですか？

メーカー（Portswigger社）独自の基準によって判定されています。

脆弱性名称・CWE・severityなどの対応表が、メーカーサイトに掲載されており、メーカーのリサーチをもとに随時更新されています。

ユーザーの方から妥当性のある異議申し立てがあれば、修正されることもあります。

Burp Suiteの性能をテストしたいです。脆弱なウェブアプリとしてテストに使えるものはありますか？

はい、メーカーが推奨するものとして、ウェブサイトとして公開されているものと、自社環境にデプロイできるオープンソースのウェブアプリの２つがあります。なお、OWASP Benchmark はレガシーなウェブアプリであるため、非推奨です。

ウェブサイトとして公開されているもの：https://vulnerable-website.com/
Portswigger社の研究チームによって開発されたWebサイトです。現実によくある脆弱性が含まれており、あらゆる自動スキャナーをテストできるように設計されています。モダンでJavaScriptを多用し、自動スキャナが効果的にカバーするのが難しい、SPAフロントエンド・コンポーネントも備えています。
ウェブサイトに含まれる脆弱性や認証情報は、こちらのページに掲載されています。
自社環境にデプロイできるオープンソースのウェブアプリ：https://github.com/NeuraLegion/brokencrystals
自社でデプロイする他、公開されているウェブサイトもあります：https://brokencrystals.com/

サードパーティの研究プロジェクトによって作成されたウェブアプリです。自分の環境にデプロイしてソースコードを検査することができます。Swagger APIを備えたReact SPAフロントエンドとNodeJSバックエンドのモダンなウェブアプリです。
ウェブサイトに含まれる脆弱性は、こちらのページに掲載されています。

Burp Suiteを用いて適切なパフォーマンスで稼働させたり、適切な結果を得るために考慮すべき点はありますか。

以下の点を考慮してください。

Burp Suiteをインストールするマシンには、システム要件（Professional Edition、DAST）を満たすものをご用意ください。推奨値以下である場合、大きな、または複雑なウェブアプリケーションは、スキャン時に問題が発生することがあります。
CentOS/RHEL v7.xおよびARMアーキテクチャ上で動作するシステムでは問題が発生することを確認しています。これは、Chromium burpブラウザがこれらのシステム上で正しく動作しないためです。
シングルページアプリケーション（SPA）では、いくつかの設定を調整する必要があります。
【参考】https://portswigger.net/burp/documentation/scanner/scanning-spas
対象のウェブアプリケーションがMFA、2FA、CAPTCHA、またはその他の自動化防止ツールを使用している場合、Burp Scannerでは動作しないので、これらを回避する必要があります。
通常、テストアカウントでこの機能を無効にするか、または識別用のクッキーまたはヘッダーを渡して無効にして回避します。