企業や組織は、情報システムを安全にするために脆弱性診断が必要ですが、診断の種類によって費用が変わります。費用は診断の深度、専門家の経験・技術レベルによって変わります。

この記事では脆弱性診断の種類、費用、重要性について説明します。ぜひ参考にしてください。

＞＞おすすめの脆弱性診断会社への依頼はこちら

脆弱性診断（セキュリティ診断）の種類

脆弱性診断には様々な種類が存在し、それぞれが異なるアプローチや手法を必要とします。以下に主な種類を示します。

• Webアプリケーション診断
• プラットフォーム診断

Webアプリケーション診断

Webアプリケーション診断は、ウェブ上で提供されるアプリケーションに焦点を当てた診断手法です。例えば、SQLインジェクションやクロスサイトスクリプティング（XSS）などの具体的な脆弱性を見つけ、適切な入力検証やサニタイズ処理を行います。

アプリケーションの運用では、フォームで入力を確認するときに正しい形式のデータだけが入力されるようにすることが大切です。なぜなら、不正確なデータが入力されると、予期せぬエラーを引き起こし、SQLインジェクション攻撃など、潜在的な脆弱性を生じる可能性があるからです。

また、フォームの入力検証が不十分な場合、入力欄にスクリプトを埋め込んだり、特殊な文字列を利用することで、クロスサイトスクリプティング（XSS）などの脆弱性が悪用されるリスクがあります。したがって、Webアプリケーション診断を通して脆弱性を把握し、正しい形式のデータだけを受け入れるようにすることが重要です。

>SQLインジェクションについてはこちら

プラットフォーム診断

プラットフォーム診断は、オペレーティングシステムやミドルウェア、ネットワーク機器などの基盤となるプラットフォームに焦点を当てた診断です。

デフォルトの管理者パスワードや不必要なサービスの稼働などセキュリティ設定の不備を検出し、これに対する対策を実施します。もし、これらのプラットフォーム設定が不適切であると、システム全体が脆弱性にさらされ、不正アクセスのリスクが高まります。

したがって、プラットフォーム診断で見つかった脆弱性は、デフォルトの管理者パスワードを変更することや、不必要なネットワークサービスを無効化することが重要となってきます。

ツール診断の相場

ツール診断とは、専用の診断ツールを用いて、ソフトウェアやシステムの脆弱性を自動的に検出する診断方法で、相場は無料から数十万円程度となります。

ツール診断でよく使われる「脆弱性スキャナーツール」は、定義された脆弱性を対象システムに照合可能で、短時間で網羅的に脆弱性を検出できます。小規模な組織や個人の場合、オープンソースのツールで対応できるケースもありますが、機能やサポートが制限されているため、大規模な組織の場合、必要な機能や要件を確認し、最適なツールを選択する必要があります。

手動診断の相場

手動診断とは、ソフトウェアやシステムの脆弱性を、サイバーセキュリティ専門家が、対象システムのソースコードや構成ファイル、動作などを実際に確認して検出する診断方法です。複雑なシステムやカスタマイズされたシステムでも検出精度が高く、ソーシャルエンジニアリングなどを通して漏れなく脆弱性を検出することができます。

ただ、その相場は、対象システムの規模や、機能の数によって大きく異なり、一般的には、数十万円〜数百万円程度です。

具体的には、以下のとおりです。

• 小規模なWebサイト（10ページ未満）：数十万円程度
• 中規模なWebサイト（10ページ〜100ページ）：数十万円〜100万円程度
• 大規模なWebサイト（100ページ以上）：100万円〜数百万円程度

また、対象システムにカスタマイズされた部分が多い場合や、セキュリティ要件次第で、費用が高くなる傾向にあります。

手動診断を検討している方は、以下の点を参考にしてみてください。

• 対象システムの規模と機能を把握する
• 診断目的や期待できる効果を明確にする
• 診断結果をどのように活用するのか、具体的な計画を立てる

検討事項は業者に相談することで、より具体的な内容を詰めることができます。

脆弱性診断（セキュリティ診断）の費用はどのように算出されるのか？

脆弱性診断（セキュリティ診断）の費用は、以下の3つの要素で算出されます。

• 対象システムの規模
• 診断の範囲
• 診断の深度

ここでは対象システムごとに詳細を見ていきましょう。

対象システムの規模

脆弱性診断（セキュリティ診断）の費用は、対象システムの規模に比例します。システムが大きく複雑であればあるほど、診断にかかる時間や人員が増え、それに伴って費用も増加します。一方、小規模なウェブサイトやブログなどでは、基本的な脆弱性スキャンや簡単なペネトレーションテストで十分な場合もあり、低コストで抑えられる場合もあります。

診断の範囲

診断の範囲とは、すなわち診断するシステムの範囲を指します。診断の範囲は、特定のアプリケーション、ネットワーク、データベース、APIなどで分かれ、システムのすべての機能を診断する場合、診断の範囲が広くなります。一方、診断したい範囲を限定する場合は、診断の範囲が狭くなります。

診断の深度

診断の深度とは、脆弱性を検出する際に、どの程度の詳細まで検査を行うかを示すものです。具体的には、ツール診断のみで実施するか、手動診断も組み合わせて実施するかによって深度は判断され、診断の深度によって、検出できる脆弱性の種類や数が変わるため、目的や予算に合わせて適切な深度を決めることが大切です。

また、特定箇所の診断に重点を置くなど、カスタマイズによっても費用は異なります。

脆弱性診断（セキュリティ診断）を専門家に依頼する際のポイント

脆弱性診断（セキュリティ診断）を専門家に依頼する際のポイントは、以下のとおりです。

• 自社に見合った適切な診断方法や範囲を検討する
• 実績や信頼性を重視する
• コンサルティングや相談に応じてくれるか確認する

自社に見合った適切な診断方法や範囲を検討する

脆弱性診断では、自社のITインフラやアプリケーションの特性に合わせて、最適な診断方法を選定することが重要です。たとえばWebアプリケーションやネットワークに特有の脆弱性がある場合、それに焦点を当てた診断を行うことで、より効果的な対策が可能となります。

また診断の範囲も、対象システムの規模やセキュリティ要件によって異なります。小規模なシステムであれば、ツール診断で十分な場合もありますが、大規模なシステムでは、手動診断も組み合わせて実施する必要があります。

したがって、自社に見合った適切な診断方法や範囲を検討するためには、以下の点を考慮する必要があります。

• 対象システムの規模
• セキュリティ要件
• 予算
• 実施期間

実績や信頼性を重視する

脆弱性診断は、専門的な知識やスキルが必要な業務です。実績や信頼性の高い業者に依頼することで、適切な診断を受けることができます。実績や信頼性を判断する際には、以下の点を確認するとよいでしょう。

• 脆弱性診断の経験年数
• 脆弱性診断の実施実績
• 顧客の評価
• セキュリティに関する資格や認証

コンサルティングや相談に応じてくれるか確認する

脆弱性診断の結果に基づいて、適切な対策を講じることが重要です。脆弱性診断を実施する業者に、コンサルティングや相談に応じてくれるか確認しておきましょう。コンサルティングに対応している業者であれば、適切な対策を実施することができます。

具体的には、以下の点を確認するとよいでしょう。

• 脆弱性に対する対策の支援
• 報告書の作成
• 脆弱性に対する教育や研修

脆弱性診断（セキュリティ診断）でおすすめの専門会社

脆弱性診断（セキュリティ診断）はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できる脆弱性診断（セキュリティ診断）専門会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• 緊急時のスピード対応が可能
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめの専門会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

＞フォレンジック調査会社の一覧リストはこちら

脆弱性診断（セキュリティ診断）で使われる主なサービス

脆弱性診断（セキュリティ診断）のツール・サービスは大きく分けて無料版のツールと有料のサービスとがあります。それぞれ、機能や特長が異なるため、自社のニーズに合致したツールを選びましょう。

詳細は下記の記事で解説しています。

まとめ

脆弱性診断（セキュリティ診断）の費用は、対象システムの規模、診断の範囲、診断の深度、診断の頻度、診断のタイミング、アフターフォローの有無などにより異なります。複数のサービスを比較検討して、自社のニーズに合致したサービスを検討しましょう。