脆弱性診断を検討し始めたとき、「結局いくらかかるのか分かりにくい」と悩んでいる方も多いのではないでしょうか。
実際、公開されている価格や相場を見ても、数十万円で済むケースもあれば、100万円を超えるケースもあります。。費用に幅があるのは、ベンダーごとに勝手に価格を付けているからではなく、診断対象の種類、診断範囲、手法、報告内容、再診断の有無によって必要な工数が大きく変わるためです。
CyberCrewでも、脆弱性診断は10万円〜の参考価格を案内している一方で、より広い範囲や深い検証が必要な場合は個別見積もりになります。
この記事では、脆弱性診断の費用感を判断しやすくするために、次の3点を整理します。
- 診断種別ごとの費用相場
- 見積もり金額が大きく変わる理由
- 品質を落とさず費用を抑える考え方
単に「安い・高い」で比較するのではなく、どの費用にどんな意味があるのかまで分かる状態で診断を選んでいただくことが大切だと考えています。
TABLE OF CONTENTS
脆弱性診断の費用相場【一覧表で即確認】
公開価格や各社の公開相場を踏まえると、まずは「診断種別ごとにどのくらいのレンジなのか」を押さえることが、見積もりを読み解く第一歩です。
診断対象の種別ごとの費用相場、診断対象の規模別の費用相場をまとめました。
診断種別ごとの費用相場まとめ
| 診断種別 | ツール・簡易診断の目安 | 手動・ハイブリッド診断の目安 | 備考 |
|---|---|---|---|
| Webアプリケーション | 10万〜50万円 | 50万〜300万円 | ログイン、決済、会員機能で上振れしやすい |
| プラットフォーム(ネットワーク) | 1IPあたり5万〜20万円前後 | 50万〜200万円前後 | IP数、サブネット数、到達範囲で変動 |
| スマホアプリ | 50万円前後〜 | 50万〜300万円超/1OS | iOS・Android両対応で増額しやすい |
| API | 40万〜100万円前後 | 40万〜150万円超 | 5APIまたは10リクエスト単位で積み上がる例が多い |
| ペネトレーションテスト | ― | 50万〜500万円超 | 脆弱性診断とは目的が異なる |
同じ脆弱性診断でも、何をどこまで診るかで費用は変わってきます。
たとえば、CyberCrewの価格例では、単一構成のランディングページを想定した脆弱性診断が10万円〜、WordPress・CMSサイト向けのWebアプリケーションPTが20万円〜、ネットワークPTが100万円〜です。
一方、相場としては、UBsecureがWebアプリ手動診断50万〜300万円、プラットフォーム診断1IPあたり5万〜20万円、スマホアプリ診断50万〜300万円/1OSを示しています。
さらに、セキュアスカイ・テクノロジーはWebアプリ/API診断を「10HTTP(S)リクエストまたは5APIで40万円、追加10リクエストまたは5APIごとに30万円」と公開しています。
つまり、同じ「診断」という言葉でも、対象と深さが変われば見積もりレンジが大きく動くのは自然なことです。費用差が生まれる理由は、このあと詳しく解説します。
規模別の費用目安(中小企業向け早見表)
| 規模 | 想定される対象 | 費用目安 |
|---|---|---|
| 小規模 | コーポレートサイト、LP、簡易フォーム、5IP以下の公開資産 | 10万〜50万円 |
| 中規模 | 会員サイト、採用サイト、5〜30リクエスト前後、5〜20IP程度 | 50万〜150万円 |
| 大規模 | EC、SaaS、複数権限、決済、50リクエスト超、20IP超 | 150万〜300万円超 |
「自社がどの規模帯に入るか」で費用の目安をつかむことができます。
たとえば、公開相場では中小企業のコーポレートサイトが30万〜80万円、ECや会員制サイトが80万〜200万円という目安が出ています。
そこに、セキュアスカイ・テクノロジーのようなリクエスト課金型の公開価格を重ねると、小規模サイトは数十万円台、中規模以上は100万円前後、大規模や高リスク機能を含む案件は200万円超というイメージがつかみやすくなります。
まずはこの表を叩き台にして、見積もりが相場とかけ離れていないかを確認するのがおすすめです。
脆弱性診断の費用が変わる5つのポイント
「なぜ同じように見える診断で、ここまで価格差が出るのか」と疑問に思っている人も多いのではないでしょうか。
脆弱性診断の中でも、手法や診断対象・範囲、規模によって費用は異なります。さらにセキュリティサービスの中で、診断後のサポートがあるか、診断実施のタイミングや緊急度によっても費用が変わります。
ここでは、費用を左右する5つのポイントについて詳しく解説します。
診断手法:ツール診断 vs 手動診断 vs ハイブリッド
脆弱性診断の費用を最も大きく左右するのが、どうやって診るかです。
ツール診断は、自動スキャンで既知の脆弱性や設定不備を広く洗い出す方法で、費用を抑えやすく、短期間で全体像を把握しやすいという利点があります。実際、OWASP ZAP は公式に「無料でオープンソースのWebアプリケーションスキャナ」と案内されており、初期スクリーニングや開発中の簡易確認では有効です。
ただし、CyberCrewでは、ツール診断だけで十分とは考えていません。なぜなら、認証・認可、ビジネスロジック、権限設計の抜けのように、「画面や通信を人間が理解して初めて見える問題」は自動だけでは取りこぼしやすいからです。セキュアスカイ・テクノロジーも、権限周りを含む認証・承認系の脆弱性は手動診断で補うと明記しています。
CyberCrewでも、自動ツールによるスキャン結果をそのまま渡すのではなく、セキュリティ専門家が誤検知を除外し、必要に応じて手動検証を組み合わせる運用を案内しています。
そのため、多くの案件でハイブリッド型がもっとも現実的だと考えています。広い範囲はツールで効率的に確認し、重要機能や怪しい挙動は手動で深掘りする。この組み合わせなら、費用と精度のバランスが取れたセキュリティ対策を講じることが可能になります。
診断対象の種別と範囲
費用は、Webアプリ、ネットワーク、API、スマホアプリなど、何を診るかでも大きく変わります。
Webアプリは画面遷移や機能の複雑さ、APIは認証方式やエンドポイント数、ネットワークはIP数や公開範囲、スマホアプリはiOSとAndroidの別やローカル保存・通信制御の確認が必要になるため、同じ工数にはなりません。
特に、ログイン、会員登録、決済、管理画面、ファイルアップロード、外部連携は工数が増えやすい代表例です。
CyberCrewでは、費用を抑えたい場合こそ、対象を広げるのではなく高リスク箇所に絞ることをおすすめしています。
すべてを均等に薄く見るより、事故につながりやすい入口や重要機能を重点的に見る方が、限られた予算でも実効性の高い診断になりやすいからです。
診断規模(リクエスト数・IP数・ページ数)
Webアプリ診断では、実務上かなり多いのがリクエスト数ベースの見積もりです。公開価格の例では、セキュアスカイ・テクノロジーが「10HTTP(S)リクエストまたは5APIで40万円、追加10リクエストまたは5APIごとに30万円」としています。
つまり、10リクエストなら40万円、20リクエストなら70万円、30リクエストなら100万円前後というように、概算を組み立てやすい構造です。CyberCrewでは、見積もり前のヒアリングで、URL数よりも「実際に検証が必要な機能の数」を重視しています。
なぜなら、見た目のページ数が少なくても、ログイン後の権限分岐やAPI連携が多いと、診断負荷は一気に上がるからです。
ネットワーク側も同様で、UBsecure の公開相場では1IPあたり5万〜20万円ですが、実際には同一構成が多いのか、外部から到達できるのか、内部ネットワークまで含むのかで見積もりは変わります。公開IPが5つでも単純なサーバー5台なのか、多機能な境界機器やVPN装置を含むのかで、必要な検証内容はかなり違います。
診断後サポートの有無
見積もり比較で意外と見落とされやすいのが、診断後のサポートの有無です。
報告書だけなのか、報告会もあるのか、再診断は含まれるのか、改修時の質疑応答ができるのか。この違いで、費用は数万円から数十万円単位で変わります。
セキュアスカイ・テクノロジーは報告会15万円/回を公開しており、再診断とQAサポートは無償としています。CyberCrewでは、診断完了後に脆弱性の内容、危険度評価、具体的な対策方法を記載した報告書を提出し、希望があればオンラインの報告会を開催しています。
また、初回納品から1カ月以内であれば1回まで無料再診断が可能です。見積もりを見るときは、少なくとも「報告会の有無」「再診断条件」「QA対応期間」「追加料金が発生する条件」は必ず確認してください。
ここが曖昧なままだと、安く見えた見積もりが後から高くなることがあります。
診断実施のタイミング・緊急度
脆弱性診断は「必要になってから急いで頼むもの」ではなく、リリースや監査、取引先提出の予定から逆算して前倒しで計画するものです。実際、短納期や夜間・休日対応が必要になると、ベンダー側の調整コストが上がり、結果として費用も上がりやすくなります。
UBsecureでも、平日日中以外の診断は通常料金より割増になると案内されていますし、セキュアスカイ・テクノロジーも診断期間や報告書提出の目安を明示しています。
つまり、同じ内容の診断でも、依頼時期によって見積もりや納期の出方が変わるのは珍しくありません。リリース前、監査前、認証取得前に診断が必要な場合は、少なくとも2〜4週間程度の余裕を見て動く方が、費用面でも品質面でも無理のない進め方になります。
ツール診断と手動診断の費用・精度を徹底比較
脆弱性診断を検討する際に「費用」だけでなく、その診断で本当に知りたいことが分かるかを重視しましょう。
特に、ツール診断と手動診断は価格差があるため比較されやすいのですが、両者は単なる“安い・高い”の違いではありません。何を見つけやすいのか、どのくらい誤検知が出るのか、レポートがどこまで実務に使えるのかが異なります。
OWASP ZAPのような無料のツールは初期確認に役立つ一方で、認可制御や権限設計の不備のように、人が画面遷移や業務ロジックを理解しないと見えにくい問題は別の見方が必要です。
実際にCyberCrewでも、案件によってツールと手動をどう組み合わせるべきかを最初に整理します。
ツール診断とは?費用・メリット・限界
ツール診断は広く・早く・低コストで現状把握したいときの入口として有効です。
OWASP ZAPはオープンソースのWebアプリケーションスキャナとして公開されており、既知の脆弱性や設定不備、HTTPレスポンス上の典型的な問題を機械的に洗い出す用途では非常に便利です。小規模サイトの初期スクリーニングや、継続的な簡易チェック、開発中のセルフチェックでは特に使いやすい方法です。費用面でも、無料ツールの活用や簡易診断サービスを使えば、数万円〜数十万円台で始められるケースがあります。
ただし、ツール診断だけで「十分」と判断するのは危険です。たとえば、認証後画面の権限差分、業務フローのすり抜け、管理画面特有の操作権限、APIの認可不備のような問題は、単純な自動スキャンでは拾い切れないことがあります。
IPAの「安全なウェブサイトの作り方」でも、アクセス制御や認可制御の欠落は設計上の問題として扱われており、OWASP Top 10でもBroken Access Controlは重要リスクとして位置づけられています。つまり、ツール診断は有効ですが、ツールだけで安心しないことが大前提です。
手動診断とは?費用・メリット・必要なケース
脆弱性診断を、既知の弱点を機械的に洗い出して終わるものではありません。
自動ツールによる診断は、広い範囲を効率よく確認するうえで有効ですが、実際の事故につながるのは、侵入ルート、権限設計の抜け、業務フローの盲点、複数の小さな弱点を組み合わせた悪用経路など、ツールだけでは見抜きにくい問題であることも少なくありません。
そのためCyberCrewでは、ホワイトハッカーによる手動診断を重視し、画面遷移や通信の流れ、権限の切り替わり方、想定外の操作パターンまで丁寧に確認しています。単に脆弱性の有無を列挙するのではなく、それが本当に侵入や不正操作、情報漏えいにつながるのか、どの機能から被害が広がるのか、どこを優先して塞ぐべきかまで見極めることを大切にしています。
特に、個人情報や決済情報を扱う重要なシステムでは、必要に応じてペネトレーションテストまで含めた検証をご提案しています。こうした考え方は、ツールだけでは見つからない“事故に直結する脆弱性”を見逃さないためです。
診断種別ごとの費用詳細
相場表だけでは判断しづらい方のために、診断種別ごとに何が費用に効いてくるのかを分けて考えることがおすすめです。
実際、「脆弱性診断」と一言で言っても、Webアプリ、ネットワーク、スマホアプリ、API、さらにペネトレーションテストでは見積もりの前提がかなり異なります。
Webアプリケーション診断の費用
Webアプリケーション診断の費用は、ページ数よりも“機能の複雑さ”で決まります。公開価格の分かりやすい例として、セキュアスカイ・テクノロジーは10HTTP(S)リクエストまたは5APIで40万円、追加10リクエストまたは5APIごとに30万円と案内しています。
こうした料金体系から見ても、ログイン、会員登録、権限別画面、管理画面、ファイルアップロード、決済、外部API連携などが増えるほど、診断工数が積み上がる構造がよく分かります。Webアプリ手動診断の公開相場として、UBsecureは50万〜300万円を示しています。
CyberCrewでは、Webアプリ診断の費用を抑えたい場合、画面を機械的に全部見るのではなく、事故につながりやすい機能を先に絞ることをおすすめしています。具体的には、ログイン、パスワード再設定、権限制御、個人情報閲覧、管理画面、決済連携のような高リスク機能を優先した方が、同じ予算でも意味のある結果が出やすくなります。
OWASP ASVSは、Webアプリケーションの技術的セキュリティ統制を検証するための基準を提供しており、どこを重点的に見るべきかを整理する際にも役立ちます。
プラットフォーム(ネットワーク)診断の費用
プラットフォーム診断の費用は、単純なIP数だけではなく、到達可能範囲や対象機器の性質も含めて見る必要があります。
公開相場として、UBsecureは1IPあたり5万〜20万円を示していますが、これはサーバー、FW、VPN、ルーター、公開ミドルウェアなど、対象によって必要な検証内容が違うためです。5IPでも単純なWebサーバー群なのか、VPNや境界機器を含むのかで、見積もりの意味は変わります。
また、単なる脆弱性診断とネットワークペネトレーションテストを分けて考えることも大切です。公開相場では、ネットワークペネトレーションテストは50万〜200万円が一般的です。
「公開IPを機械的に調べる診断」と「侵入後の展開まで試す攻撃検証」では、同じネットワーク領域でも別のサービスとして理解した方が、見積もり比較で迷いにくくなります。
スマホアプリ診断の費用
スマホアプリ診断は、Webアプリよりも高くなることが珍しくない領域です。理由は、画面や機能だけでなく、端末内保存、証明書検証、通信の暗号化、トークン管理、リバースエンジニアリング耐性、組み込みSDKの扱いなど、見るべき観点が広いからです。
公開相場では、UBsecureがスマホアプリ診断を1OSあたり50万〜300万円と案内していますし、CyberCrewのモバイルアプリケーション ペネトレーションテストの参考価格例では、簡易アプリ50万円〜、中規模アプリ200万円〜、複雑・エンタープライズアプリ400万円〜としています。
特にiOSとAndroidの両対応アプリでは、「同じアプリだから同じ料金」とは考えない方がよいでしょう。OSごとの実装差分や挙動の違いがあるため、実務では片方だけで済まないケースが多いからです。
CyberCrewのモバイルアプリ向けペネトレーションテストでは、OWASP MASVS、OWASP MSTG、OWASP Mobile Top 10などのガイドラインに沿って、静的解析、動的解析、APIテストを組み合わせて診断します。
ペネトレーションテストの費用と脆弱性診断との違い
CyberCrewでは、ペネトレーションテストを、単なる弱点発見ではなく、その問題が本当に事業リスクへつながるのかを確かめるための検証だと位置づけています。PCI SSCでも、脆弱性スキャンは既知の弱点を洗い出すためのもの、ペネトレーションテストは不正アクセスや悪用の実現可能性を検証するものとして区別されています。
脆弱性診断では見えにくい攻撃者視点のリスクや、既存対策が実際に機能するかどうかまで確認できる点に、ペネトレーションテストの価値があると考えています。
相場感としては、Webアプリのペネトレーションテストは50万〜500万円、ネットワークは50万〜200万円が一般的な目安です。一方で、CyberCrewの参考価格例では、Webアプリペネトレーションテストが20万円〜、ネットワークペネトレーションテストが100万円〜と相場に比べて価格を抑えることが可能です。
重要システムの侵入可能性を現実的に確かめたい場合や、監査・顧客要件で実効性の確認が求められる場合には、脆弱性の有無だけでなく、その先の被害可能性まで見極める意味があります。
なお、CyberCrewのペネトレーションテストには脆弱性診断が含まれているため、弱点の洗い出しと実害可能性の検証を一体で進めることも可能です。重要なシステムほど、「弱点があるか」だけではなく、「その弱点が本当に事故や被害につながるのか」まで確認することが重要です。
脆弱性診断サービスの選び方
CyberCrewでは、費用相場が見えてきた段階で次に大切なのは、「どこに頼むか」を価格だけで決めないことだと考えています。見積書の金額が近くても、手動診断の有無、報告会の扱い、再診断条件、サポート期間、基準準拠の考え方で、サービスの中身はかなり変わります。
ここでは、相見積もり時に最低限見ておきたいポイントを5つに整理します。
手動診断が含まれるか
サービスページや見積書に「手動検証」「アナリスト確認」「認証・認可の確認」「誤検知の精査」といった言葉があるかを、最初に確認することがおすすめです。
CyberCrewの脆弱性診断サービスでは、ツール診断と手動診断を組み合わせることを案内していますし、セキュアスカイ・テクノロジーも認証・認可を含む部分は手動で補う前提を示しています。
ツールの結果をそのまま出すだけなのか、人が意味を解釈してくれるのかで、レポートの価値は大きく変わります。
再診断・報告会が費用内か
見積もりを読むときに、「診断の後に何が付くか」まで必ず確認しましょう。
CyberCrewでは、初回納品から1カ月以内であれば1回まで無料再診断が可能と案内しています。
一方、セキュアスカイ・テクノロジーは再診断を無償としつつ、報告会は15万円/回と公開しています。
見積もり額だけで比較すると、報告会や再診断の扱いで最終コストが逆転することがあります。
IPA基準・OWASP準拠かどうか
品質の最低ラインを確認するために、国内基準と国際的な技術基準の両方を見ることがおすすめです。
国内では、IPAが「情報セキュリティサービス基準適合サービスリスト」を公開しており、脆弱性診断サービスの登録状況を確認できます。技術面では、OWASP Top 10がWebアプリケーションの主要なリスクの共通認識として広く参照されており、OWASP ASVSはより具体的な技術要件の確認基準として使われています。
クライアント提出用のレポートや調達時の説明資料では、こうした基準への言及があるかどうかが信頼性の目安になります。
診断後のサポート期間
脆弱性診断は見つけて終わりではなく、直すところまで見据えて初めて意味があります。
そのため、診断後にどのくらい相談できるのか、再診断までの期限はどうなっているのか、改修時の質疑応答が可能なのかは、発注前に確認しておくべきです。CyberCrewでは、初回納品から1カ月以内の1回無料再診断を案内していますし、セキュアスカイ・テクノロジーはQAサポート無償としています。
こうしたサポート条件が曖昧なベンダーだと、改修段階で迷ったときに相談しづらくなります。
資格保有エンジニアが担当するか
資格の有無だけで診断品質が決まるわけではありませんが、担当者の知識体系や実務基盤を見る目安にはなるでしょう。
ISC2のCISSPは情報セキュリティの設計・実装・運用・管理を横断する国際資格として位置づけられており、GIACは30を超える分野別のサイバーセキュリティ資格を提供しています。また、JPCERT/CCは、脆弱性診断士(Webアプリケーション)スキルマップの公開について紹介しており、国内でも診断人材のスキル整理の取り組みが進んでいます。
見積もり比較では、「どんな資格や経験を持つ人が実際に担当するのか」を確認しておくと安心です。
CyberCrewの脆弱性診断は成果報酬型!
脆弱性診断は、見つかった件数が多ければよいというものではありません。重要なのは、どの弱点がどの程度のリスクを持ち、どこから優先して対処すべきかが分かることです。CyberCrewの成果報酬型脆弱性診断は、システムやアプリの弱点や設定不備を洗い出し、悪用時の影響と対策優先度を整理するサービスです。
発見した重大度と件数に応じて費用が決まるため、まずは現状把握から始めたい企業でも導入しやすく、稟議や監査に使いやすい説明根拠も得られます。
実際の成果物としては、優先順位付きの改善リストに加え、再現手順と対策案まで整理した内容が提供されます。 料金はCVSS v4.0の評価結果を基準に算定され、基本料金は10万円、成果報酬額はCritical 20万円、High 10万円、Medium 5万円、Low 0円、上限は100万円です。上限が決まっているため予算化しやすく、費用対効果を説明しやすいのも特長です。
また、OWASPなどの業界標準を参照しながら網羅的に診断する設計になっており、単なる簡易チェックではなく、改善につなげるための診断として位置づけられています。なお、このサービスでは実際の侵入可否や攻撃シナリオの検証までは行わず、そこまで確認したい場合は攻撃者視点のペネトレーションテストで対応します。再テストは1回10万円で、レポート提出にも対応しています。
初めて脆弱性診断を依頼する場合でも、最初から大がかりな侵入検証に進む必要はありません。まずは成果報酬型の脆弱性診断で弱点を把握し、影響評価と優先順位付けを行ったうえで、必要に応じてペネトレーションテストへ進めると、費用と深さのバランスを取りやすくなります。まず何から始めるべきか迷っている企業にとって、検討しやすい入口になっています。
脆弱性診断を実施する流れと費用が確定するまでのステップ
「問い合わせると何を聞かれるのか分からない」という不安が、診断を先送りする原因になりやすいでしょう。ですが、実際に必要なのは、システムの全詳細ではなく、対象範囲と期限感の整理です。ここを押さえておけば、相見積もりも取りやすくなり、見積もり精度も上がります。
①診断対象・範囲の整理(事前準備)
問い合わせの前に、診断対象と範囲を整理しておくと、その後の見積もりや比較がかなりスムーズになります。確認しておきたいのは、対象URLやIPアドレス、ログイン機能や管理画面の有無、決済機能や個人情報の取扱い、API数、iOS/Androidの別、そしてリリース予定日や監査・提出期限などです。
こうした前提が曖昧なままだと、見積もりごとに想定している範囲がずれてしまい、金額だけを見ても比較しにくくなります。まずはヒアリングで対象範囲を確認したうえで、内容に応じたお見積もりをご案内できます。
②複数ベンダーへの相見積もり依頼
相見積もりは、単に価格を下げるためだけに取るものではありません。大切なのは、各社がどこまでを診断範囲に含め、どこまで対応してくれるのかを見比べることです。
たとえば、手動診断が含まれているか、報告会や再診断は別料金か、納期はどのくらいか、報告書はどこまで具体的か、といった点は必ず揃えて確認したいところです。
比較しやすくするには、同じ条件で依頼を出すのが基本です。対象範囲や希望納期、診断の目的をあらかじめ整理したうえで見積もりを取ると、価格差の理由も見えやすくなります。
③見積書の読み方・確認ポイント
見積書を見るときは、金額だけで判断せず、何が含まれているかを細かく確認することが大切です。最低でも見ておきたいのは、対象範囲、追加料金が発生する条件、報告会の有無、再診断の条件、納期の5点です。
特に注意したいのは、ログイン機能の追加、対象URLの増加、スマホ実機の手配、夜間・短納期対応などで別料金になるケースです。こうした条件が明記されていれば、見積もりの透明性は高いと判断しやすくなります。
最初は安く見えても、後からオプション費用が積み上がる構造であれば、結果的に割高になることもあります。
④契約〜診断実施〜レポート受領までの期間目安
脆弱性診断は、問い合わせてすぐ翌日に完了するようなものではなく、一定の準備期間を見込んで進める必要があります。一般的なWebアプリ診断であれば、ヒアリング、対象確定、契約、診断実施、報告書提出まで含めて、おおむね2〜4週間程度を目安に考えておくと安心です。
対象が広い場合や、ペネトレーションテストのように検証範囲が深い場合は、さらに時間がかかることもあります。リリース前や監査提出前に慌てないためにも、必要な日から逆算して、早めに相談を始めることが重要です。
脆弱性診断の費用についてよくある質問(FAQ)
脆弱性診断の費用相場はいくらですか?
まず目安として、小規模な簡易診断は数十万円台、Webアプリの手動診断は50万〜300万円、スマホアプリは1OSあたり50万〜300万円、ペネトレーションテストは50万〜500万円超と見ておくことをおすすめしています。
最終的な金額は、対象種別、範囲、手動確認の深さ、報告会や再診断の有無で変わります。
プラットフォーム診断の料金はいくらですか?
CyberCrewでは、公開相場として1IPあたり5万〜20万円を一つの目安として案内することが多いです。
ただし、境界機器、VPN、到達可能範囲、内部診断の有無で実工数は大きく変わります。
単純な台数ではなく、どこまで見たいかで考えるのがポイントです。
Webアプリケーション診断の相場はいくらですか?
CyberCrewでは、Webアプリ診断の相場は、手動診断で50万〜300万円前後を一つの目安として説明しています。価格例としては、10HTTP(S)リクエストまたは5APIで40万円、追加10リクエストまたは5APIごとに30万円という体系もあります。ログイン、決済、権限制御があると上振れしやすくなります。
脆弱性診断は毎年行うべきですか?
外部公開システムや継続的に改修されるサービスは、少なくとも年1回、または大きな改修やリリースの節目ごとに見直すことをおすすめしています。UBsecureも、システム変更がなくても利用ソフトウェアや攻撃手法の変化でセキュリティレベルは低下しうるとして、定期的な再診断を推奨しています。
Webアプリケーションの脆弱性診断は義務化されますか?
CyberCrewでは、この点は一律の法的義務と、業界要件として実質的に必須になるケースを分けて説明しています。一般企業すべてに対して、毎年のWebアプリ診断が一律で法定義務になっているわけではありません。ただし、個人情報保護法では必要かつ適切な安全管理措置が求められていますし、経済産業省はクレジットカード・セキュリティガイドラインの改訂で、EC加盟店に対してシステムやWebサイトの脆弱性対策の実施を求めています。
業種や取扱データによっては、実務上かなり必須に近い状態です。
ツール診断と手動診断はどちらが良いですか?
CyberCrewでは、入口としてはツール診断、重要機能や対外提出を意識するなら手動診断、迷うならハイブリッドという考え方をおすすめしています。ツールは広く早く見られますが、認可制御や業務ロジックの不備は手動でないと見えにくいことがあります。予算だけで決めず、守りたい情報や用途で選ぶのが大切です。
中小企業でも脆弱性診断は必要ですか?
中小企業でも脆弱性診断は必要です。個人情報保護委員会のガイドラインでも、中小規模事業者を含めて安全管理措置の考え方が示されています。専任担当が少ない企業ほど、事故後の復旧コストや信頼失墜の影響を受けやすいため、まずは高リスク機能に絞った小さな診断から始めるのが現実的です。
