「脆弱性診断を依頼したいが、会社が多すぎて違いがわからない」
「見積もりを取ってみたら金額差が大きく、何を基準に選べばよいのか判断しにくい」。
こうした悩みを抱えている人も多いのではないでしょうか。
脆弱性診断は、単に費用の安い会社を選べばよいサービスではありません。診断対象、手動診断の有無、報告書の品質、修正後の再診断対応まで含めて比較しないと、「思っていた内容と違った」「報告書を受け取ったが次に何をすればよいかわからない」といった失敗につながります。
この記事では、どのように脆弱性診断のセキュリティ会社を選べば良いか、実際におすすめの会社を解説します。例えば、CyberCrewの脆弱性診断サービスは、低コスト・高品質で幅広いシステムに対応しています。ツール診断と手動診断を組み合わせた実践的なリスク対策を支援しており、まずは無料で相談いただけます。
この記事でわかること
- 脆弱性診断会社15社の特徴と、自社に合う選び方
- 診断種別ごとの費用相場と、金額差が生まれる理由
- 発注前に確認したい比較軸と、失敗しないためのポイント
TABLE OF CONTENTS
脆弱性診断とは?
まずは、脆弱性診断の基本を整理します。
ここを押さえておくと、各社の提案内容や見積書を見たときに、「何が含まれていて、何が別料金なのか」が分かり、そもそも脆弱性診断を実施するべきなのか・どこに依頼するべきかが判断しやすくなります。
脆弱性診断の定義
脆弱性診断とは、Webサイト、Webアプリケーション、サーバー、ネットワーク機器、スマートフォンアプリ、APIなどに存在するセキュリティ上の弱点を洗い出し、悪用される可能性や影響度を評価する検査です。
難しく聞こえるかもしれませんが、要するに「攻撃者に使われる前に、弱いところを先に見つける」ための確認です。IPAでも、脆弱性診断サービスは「情報セキュリティサービス基準」の対象として整理されており、一定の体制や品質管理が求められています。
脆弱性診断が必要な理由
脆弱性診断の必要性は年々高まっており、その理由は大きく3つあります。
1つ目は、組織を狙うサイバー攻撃が継続的に深刻化していることです。IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃となっています。一度被害にあうと復旧まで長期化しやすく、復旧にかかる費用が高額になりやすいため、事前の対策が欠かせません。
2つ目は、個人情報や顧客データの漏えいが、信用低下や事業継続リスクに直結することです。
3つ目は、取引先や監査対応で診断実施や報告書提出を求められるケースが増えていることです。
社内だけでセキュリティの脆弱性を十分に見極めるのが難しいため、外部の専門会社に依頼する意義があります。
脆弱性診断の義務化は?法的要件・コンプライアンスとの関係
すべての企業に一律で「年何回、必ず脆弱性診断を実施しなければならない」と定めた一般法があるわけではありません。ただし、実務上は“義務に近い”状況が増えています。
ISMSでは、情報セキュリティリスクアセスメントと、それに基づく管理策の適用が求められています。
プライバシーマーク制度でも、個人情報保護マネジメントシステムに基づく安全管理措置が求められ、JIPDECの注意喚起では、脆弱性診断の実施が具体的に示されています。
さらに、IPAのECサイト構築・運用セキュリティガイドラインでは、ECサイトへの脆弱性診断を定期的かつカスタマイズ時に実施し、見つかった脆弱性に対処することが「必須」とされています。
脆弱性診断は年に何回やるべきか
実務上は、少なくとも年1回を基本にしつつ、新規公開前、大きな改修時、認証や決済まわりの変更時にも追加で実施する考え方が現実的です。
JPCERT/CCとIPAは、Webサイト運営者に対して定期的な点検をルーチンワークとして行うことを呼びかけています。
特にECや会員サービスのように変更頻度が高いシステムでは、「年1回だけ」で十分とは限りません。改修の頻度やサイバー攻撃された時の被害の大きさに合わせて計画する必要があります。
脆弱性診断とペネトレーションテストの違い
脆弱性診断は、セキュリティの弱点を広く洗い出して危険な箇所を把握するためのものです。
一方、ペネトレーションテストは、その弱点を足がかりに実際にどこまで侵入や横展開が可能かを検証するものです。
前者は「何が弱いか」を知るのに向いており、後者は「その弱点が現実にどこまで被害につながるか」を知るのに向いています。そのため、ペネトレーションテストはシナリオ設計や検証工数が必要になり、費用も高くなりやすい傾向があります。
まずは幅広く現状把握したい場合は脆弱性診断、重要システムに対する侵入可能性まで確認したい場合はペネトレーションテストが向いています。CyberCrewでは、脆弱性診断とペネトレーションテストのどちらをすべきか、無料でご相談いただけます。ぜひ一度お問い合わせください。
脆弱性診断の種類と自社に必要な診断を見極める方法
脆弱性診断サービスを提供しているセキュリティ会社を比較する前に、自社がどの種類の診断を必要としているのかを整理することが大切です。
ここが曖昧だと、相見積もりを取っても前提条件がそろわず、正しい比較ができません。
Webアプリケーション診断
Webアプリケーション診断は、ログイン機能、会員登録、検索、問い合わせ、決済、管理画面など、ブラウザ経由で利用する機能を対象とする診断です。
代表的な確認項目には、SQLインジェクション、クロスサイトスクリプティング、セッション管理不備、アクセス制御や認可制御の欠落などがあります。ECサイト、会員制サービス、SaaS管理画面、予約システムなど、入力フォームや認証機能を持つシステムでは特に重要です。
IPAの「安全なウェブサイトの作り方」でも、こうした脆弱性は継続的な対策対象として整理されています。
プラットフォーム(ネットワーク)診断
プラットフォーム診断は、サーバー、OS、ミドルウェア、ファイアウォール、VPN、ルーターなど、ネットワーク基盤側を対象にする診断です。
Webアプリ診断が画面や機能を見るのに対して、こちらは公開ポート、設定不備、古いソフトウェア、危険な構成などを確認します。
外部公開IPがある企業や、リモートアクセス環境を運用している企業では、Webアプリ診断だけでなくプラットフォーム診断も併せて検討する価値があります。
スマートフォンアプリ診断
スマートフォンアプリ診断は、iOSやAndroidアプリを対象に、アプリ本体の実装、通信、データ保存、認証処理などを確認する診断です。
API通信、端末内への機密情報保存、証明書検証の不備などが問題になることがあります。
会員向けアプリや業務アプリでは、Webアプリ診断とバックエンドAPI診断を組み合わせて考えるのが一般的です。
API診断
最近は、モバイルアプリ、SPA、SaaS連携などでAPIの比重が大きくなっています。
API診断では、認証トークンの扱い、権限チェックの不備、不要なデータ返却、想定外リクエストへの耐性などを確認します。
見た目がシンプルな画面でも、内部のAPI設計に問題があると重大な情報漏えいにつながることがあります。Webアプリ診断にAPI観点がどこまで含まれるかは、見積もり時に必ず確認すべきポイントです。
CyberCrewの脆弱性診断は成果報酬型
CyberCrewでは、通常の脆弱性診断に加えて、2026年2月から成果報酬型のWebアプリケーション脆弱性診断を提供しています。
CyberCrewの成果報酬型 脆弱性診断は、基本料金10万円に加え、検出された脆弱性の危険度に応じて費用が加算され、総額上限100万円という料金設計です。通常の「最初にまとまった予算を確保して発注する」形に比べて、費用の説明がしやすく、初期費用を抑えやすいのが特徴です。
はじめて診断を依頼する中小企業やスタートアップ、稟議で金額の妥当性を説明しやすい方式を探している企業に向いています。詳しくは、CyberCrewの脆弱性診断サービスページをご確認ください。
脆弱性診断サービス・会社の選び方|5つのチェックポイント
どこへ脆弱性診断を依頼するか、まずはサービス・会社の比較軸を整理しておくと判断しやすくなります。
知名度や価格だけで決めると失敗しやすいため、最低限の確認ポイントを持ったうえで比較することが重要です。
① IPA登録・情報セキュリティサービス基準への適合有無
まず確認したいのは、IPAの「情報セキュリティサービス基準適合サービスリスト」に掲載されているかどうかです。
これは、診断サービスの体制や品質管理が外部基準で確認されているかを見るための材料になります。
特に、取引先提出や監査対応で「第三者基準に沿った会社か」が問われる場合、この観点は説明しやすいポイントになります。
もちろん、登録の有無だけで優劣が決まるわけではありませんが、比較軸としては有効です。
② 手動診断・ツール診断・ハイブリッドの違い
診断品質の差を生みやすいのが、手動診断か、ツール診断か、ハイブリッドかという点です。
ツール診断は短期間・低コストで広く確認しやすい一方、業務ロジックや権限不備のような文脈依存の問題は見逃しやすくなります。
手動診断は費用が上がる傾向がありますが、専門家が挙動を見ながら判断するため、精度は高くなりやすいです。ハイブリッドは、自動化で広く拾いつつ、重要箇所を手動で深掘りする考え方です。
「安かったが実質ツールだけだった」という失敗を避けるためにも、どこまで人が確認するのかを見積もりで確認してください。
③ 診断後のフォロー体制(レポート品質・修正提案・再診断)
診断は、報告書を受け取って終わりではありません。
改修担当へ指示を出し、修正内容を確認し、必要に応じて再診断まで進めて初めて意味があります。
そのため、レポートの読みやすさ、再現手順の明確さ、改善提案の具体性、再診断の有無は非常に重要です。
確認したい項目は次の通りです。
- 経営層向け要約と技術者向け詳細の両方があるか
- 再現手順や影響範囲が書かれているか
- 改善案や回避策まで含まれるか
- 修正後の再診断に対応しているか
- 報告会や質疑応答の場があるか
見積もりの際には、フォロー体制をしっかりと把握しましょう。
④ 自社規模・システム規模への対応実績
例えば、大手ベンダーは高品質でも、50名規模の企業には費用や手続きが重く感じられることがあります。逆に、小規模案件に強い会社でも、大規模ネットワークや高い説明責任が必要な案件では物足りない場合があります。
重要なのは「有名かどうか」ではなく、「自社と近い規模・業種・システムへの対応実績があるか」です。
公開事例、導入企業、料金の出し方などを見て、自社に近い案件を想定できる会社を選ぶことが大切です。
⑤ 費用体系の透明性
最後に確認したいのが、費用体系の透明性です。
固定型なのか、ページ数・IP数・URL数などの従量型なのか、報告会や再診断が別料金なのかによって、最終金額は大きく変わります。
例えば、CyberCrewでは、通常の脆弱性診断に加えて、成果報酬型の脆弱性診断を提供しています。基本料金10万円に加え、検出された脆弱性の危険度に応じて費用が加算され、総額上限100万円という料金設計です。
個別見積もり中心の会社では、対象範囲や診断方法の違いが金額差につながります。希望の見積もり条件をそろえて比較することが重要です。
脆弱性診断におすすめの会社15選|目的・規模別に徹底比較
ここでは、脆弱性診断サービスを提供する15社を比較します。
選定基準は、提供メニュー、公開情報の充実度、認定・登録の確認しやすさ、費用体系の見えやすさ、診断後フォローのわかりやすさです。
「どんな企業に向いているか」がわかるように整理して紹介しています。
① CyberCrew
CyberCrewは、脆弱性診断、ペネトレーションテスト、ツール診断を提供しており、2026年からは成果報酬型のWebアプリ脆弱性診断も開始しています。
通常の脆弱性診断は10万円〜、ペネトレーションテストは20万円〜の価格目安が公開されており、比較的相談しやすい価格設計です。
情報セキュリティサービス基準への登録も公表しており、初めて発注する企業や、費用の妥当性を説明しやすい会社を探している企業に向いています。
まずは、CyberCrewの脆弱性診断サービス、資料ダウンロードをご確認ください。
② LAC(ラック)
LACは、セキュリティ専業大手として長年の診断・事故対応・コンサルティング実績を持つ会社です。公式ページでも、熟練エンジニアが攻撃者視点で診断し、実効的な対策提案まで行うことが明記されています。診断単体だけでなく、インシデント対応やコンサルティングまで含めて検討したい企業、大規模案件や高い説明責任が求められる案件に向いています。
③ NRIセキュア
NRIセキュアは、脆弱性診断やペネトレーションテストに加え、コンサルティング、ソースコード診断、継続的なリスク管理まで広く対応しているのが特徴です。
単発の診断というより、組織全体のセキュリティや開発プロセスも含めて整えたい企業と相性がよい会社です。
大企業や、複数部門・複数システムをまたぐ検討をしたい企業に向いています。
④ 三井物産セキュアディレクション
三井物産セキュアディレクションは、2001年からWebアプリケーション診断を提供してきた実績があり、攻撃者視点での分析・評価・対処助言を強みとしています。
Webサイトには、独自ツールと手動を組み合わせるハイブリッド型の考え方も示されており、単純な自動診断では見つけにくい問題まで見たい企業に向いています。歴史の長さと技術蓄積を重視する企業に有力な候補です。
⑤ NTTドコモソリューションズ(旧:NTTコムウェア)
旧NTTコムウェアで、現在はNTTドコモソリューションズとして案内されている会社です。
脆弱性診断では、ネットワーク診断、サーバー構成診断、Webアプリ診断、スマホアプリ診断など複数メニューを提供しており、サイバー保険付きサービスも展開しています。
Webサイトでは、ドコモグループを中心に年間約690システム規模の診断実績が示されており、規模感のある案件を任せたい企業にも向いています。
⑥ サイバートラスト
サイバートラストは、重大な脆弱性の速報通知や報告会など、診断後の運用を意識した体制が見えやすいのが強みで、Webアプリケーション診断では再診断対応を案内しています。
レポートの使いやすさや、修正後の確認まで含めて選びたい企業に向いています。
⑦ グローバルセキュリティエキスパート(GSX)
GSXは、Web、ネットワーク、IoTなど幅広い診断メニューを持ち、企業規模や用途に応じた選択肢がある会社です。
Webアプリケーション診断は20年の実績をうたい、資格保有者による対応を案内しています。
さらに、必要最低限の項目に絞った「Web脆弱性診断クイック」では、開始から3日後で完了、報告書納品後1週間まで質問対応があるなど、スピードとコストのバランスを取りやすい構成です。
⑧ サイバーセキュリティクラウド
サイバーセキュリティクラウドは、セキュリティ専門家とツールを組み合わせたハイブリッド診断を打ち出しており、Webアプリ、プラットフォーム、APIに対応しています。
25年以上の実績とノウハウを背景に、再診断1回無料、価格ページ公開など、比較しやすい要素がそろっています。
公開価格の目安がほしい企業や、WebとAPIをまとめて相談したい企業に向いています。
⑨ AGEST(アジェスト)
AGESTは、OWASP Top 10など国内外のガイドラインに対応し、攻撃者視点を持つエンジニアの手動診断を強みとしています。
Webサイトでは、自社育成のセキュリティスペシャリスト体制と、大手ベンダーの約6〜7割の低コストを訴求しています。
一定の品質を確保しながら、費用も現実的に抑えたい中堅企業や成長企業に向いています。
⑩ EGセキュア
EGセキュアは、Webアプリケーション脆弱性診断とプラットフォーム診断を提供し、SQLインジェクションやXSSなどの代表的な脆弱性に対応しています。
公開ページでは、スタンダードプラン30万円〜、詳細な報告書、危険度の高い脆弱性の速報対応、再診断は有償対応などが確認できます。
中小企業でも検討しやすい価格感で、診断後の支援内容を把握しやすい会社です。
⑪ アイティーエム
アイティーエムは、SaaS型の脆弱性診断サービスを提供しており、オンデマンドで実施しやすいのが特徴です。
Webサイトでは、Webからログイン後、最短5分で診断・レポート確認まで可能なサービスがあり、価格表も公開されています。
年間1回チケットや年間無制限プランなど、継続運用を前提とした選択肢が用意されているため、複数サイトや複数IPを継続的に確認したい企業に向いています。
⑫ イエラエセキュリティ
現在はGMOサイバーセキュリティ byイエラエとして展開されており、Web、スマートフォンアプリ、ネットワークの脆弱性診断からペネトレーションテストまで広く提供しています。
研究開発色が強く、CVE情報やゼロデイの発見実績も公開しているため、高度な技術力を重視する企業に向いています。
一般的な比較検討枠というより、難度の高い案件や専門性の高い評価が必要な案件で候補に入れたい会社です。
⑬ SHIFT SECURITY
SHIFT SECURITYは、脆弱性診断の標準化・仕組化を打ち出しており、品質のばらつきを抑えた提供体制を強みとしています。公開情報では、診断実績10,000件以上、在籍診断員数250名以上、リピート率90%が示されており、安定した供給力とスピード感を重視する企業に向いています。属人的な品質差が気になる企業や、複数案件を継続的に回したい企業と相性がよいでしょう。
⑭ セキュアブレイン
セキュアブレインは、現在は日立システムズとの統合後も、GRED Webセキュリティ診断 Cloudなどのサービスが案内されています。
専門家による診断に加え、外部からの自動・定期診断、アラート通知、継続監視の考え方が見えやすいのが特徴です。
単発の診断だけでなく、運用中のサイトを継続的に点検したい企業に向いています。
⑮ AeyeScan
AeyeScanは、クラウド型のWebアプリケーション脆弱性診断ツールです。
公式サイトでは、One ShotプランとBusinessプランが案内されており、1サイトを短期間で診断したいケースから、年間で複数サイトを継続的に診断したいケースまで対応できます。
診断項目はIPAやOWASP Top 10などをベースにしており、CIツール連携やAPIスキャン、生成AI機能などのオプションも用意されています。
手動診断ほど深い業務ロジック検証は難しい一方、スピードと継続運用性を重視する企業には有力な選択肢です。
脆弱性診断の費用相場|規模・種類別に解説
ここでは、「結局いくらかかるのか」という最大の関心事に答えます。
脆弱性診断の価格は幅がありますが、診断種別と前提条件を整理すれば、おおよその相場感はつかめます。
診断種別ごとの費用相場一覧
以下は、各社の公開価格や公開レンジ、提供形態を踏まえた実務上の目安です。
厳密な定価ではなく、比較検討や稟議の初期整理に使うための相場感としてご覧ください。
公開価格があるものは実例を参照し、公開価格がない領域は複数社の案内内容から推定しています。
| 診断種別 | ツール診断の目安 | 手動診断の目安 | 備考 |
|---|---|---|---|
| Webアプリケーション診断 | 10万〜50万円程度 | 50万〜300万円程度 | 画面数、ログイン後機能、決済、管理画面で変動 |
| プラットフォーム診断 | 10万〜30万円程度 | 30万〜150万円程度 | IP数、公開機器数、VPNやFW構成で変動 |
| スマートフォンアプリ診断 | 20万〜50万円程度 | 50万〜200万円程度 | iOS/Android別、API連携範囲で増減 |
| API診断 | 10万〜50万円程度 | 30万〜200万円程度 | エンドポイント数、認証方式、権限設計で変動 |
| ペネトレーションテスト | 対象外または限定的 | 100万〜500万円以上 | シナリオ数、期間、目標到達条件で大きく変動 |
なお、CyberCrewでは脆弱性診断を10万円〜提供しています。「自社の場合、どの診断が適切で、どれくらいの予算感になるか」を整理したい場合は、対象(URL/アプリ種別/環境)と目的(リリース前・定期点検・監査対応など)だけでも構いません。まずはお気軽にご相談ください。
脆弱性診断の費用が変わる理由は、次の項目で整理します。
費用が変わる3つの要因
費用差が大きくなる理由は主に3つです。
1つ目は診断範囲で、URL数、画面数、IP数、API本数、認証後機能の有無が増えるほど工数が増えます。
2つ目は、手動と自動の割合です。ツール中心なら安くなりやすい一方、手動比率が高いと費用は上がりますが、精度や実務価値は高まりやすくなります。
3つ目は、報告書やフォロー体制です。再現手順、改善提案、報告会、再診断まで含むと、単純なスキャン結果より費用は上がります。
つまり、見積もりの幅が大きいのは、脆弱性診断の中に「何が含まれているか」が違うからです。
稟議に使える!費用の妥当性を説明する方法
稟議では、「高い・安い」ではなく、「なぜこの金額が必要か」を説明できることが重要です。説明の基本は、対象システムの重要性、診断範囲、診断方式、診断後の活用価値の4点で組み立てることです。
たとえば、「当社の会員向けWebシステムは個人情報を扱い、取引先からもセキュリティ対策状況の提示が求められているため、ログイン後画面を含む脆弱性診断を実施する。
単なる自動スキャンではなく、認可不備なども確認できる方式を採用し、結果は改修指示・監査説明に活用する」と整理すれば、金額の妥当性を説明しやすくなります。
ISMSや各種ガイドラインでは、リスクアセスメントや管理策の有効性を意識した運用が求められているため、「事故防止」「取引継続」「監査対応」の3点に結びつけると重要性を説明しやすくなるでしょう。
ペネトレーションテストの費用相場
ペネトレーションテストが高額になりやすいのは、単なるチェックではなく、攻撃シナリオの設計、到達目標の設定、侵入後の横展開や権限昇格の確認まで含まれるためです。
CyberCrewでは、Webアプリ単体のペネトレーションテストは100万円〜、クラウドやActive Directoryを含むと300万円〜が目安としています。
一般に、脆弱性診断が「弱点の洗い出し」であるのに対し、ペネトレーションテストは「その弱点がどこまで被害につながるか」の検証なので、対象範囲やシナリオ数が費用を大きく左右します。
まずは相場感を知りたい、比較しやすい資料がほしいという場合は、CyberCrewの脆弱性診断サービス資料も参考になります。
脆弱性診断についてよくある質問(FAQ)
最後に、脆弱性診断の比較検討の段階で残りやすい疑問をまとめます。
脆弱性診断サービスとは何ですか?
脆弱性診断サービスとは、Webアプリケーション、サーバー、ネットワーク機器、スマートフォンアプリ、APIなどに存在するセキュリティ上の弱点を洗い出し、悪用される前に把握・対処するためのサービスです。攻撃者視点で問題点を確認し、危険度や改善優先度を整理できる点に価値があります。
脆弱性診断の費用相場はいくらですか?
脆弱性診断の費用は目安として、Webアプリの手動診断は50万〜300万円程度、プラットフォーム診断は30万〜150万円程度、ペネトレーションテストは100万〜500万円以上が一つの相場です。ツール型は数万円〜数十万円で始められるものもあります。詳しくは本記事の「脆弱性診断の費用相場|規模・種類別に解説」をご確認ください。
ペネトレーションテストと脆弱性診断の違いは何ですか?
脆弱性診断は弱点の洗い出し、ペネトレーションテストはその弱点を起点に実際にどこまで侵入できるかの検証です。
前者は広く把握する用途、後者は侵入深度や被害可能性まで見たい用途に向いています。詳しくは、ペネトレーションテストの基礎解説記事も参考になります。
脆弱性診断は年に何回行うべきですか?
脆弱性診断は最低でも年1回を目安にしつつ、新規公開前、大きな改修時、認証や決済機能の変更時にも追加で実施するのが現実的です。
特に変更頻度の高いWebシステムでは、定期+変更時の考え方が重要です。
脆弱性診断は義務化されますか?
一律の法定義務ではありませんが、ISMS、プライバシーマーク、取引先要求、ECサイト運用ガイドラインなどの文脈では、実質的に必要になる場面が増えています。
特に監査や報告書提出がある企業では、未実施だと説明が難しくなりやすいです。
セキュリティ診断と脆弱性診断の違いは何ですか?
セキュリティ診断は広い概念で、その中の一つが脆弱性診断です。
セキュリティ診断には、設定確認、クラウド構成レビュー、ペネトレーションテスト、ソースコード診断などが含まれることもあります。
その中で、脆弱性診断は主に技術的な弱点の洗い出しを担う位置づけです。
まとめ
脆弱性診断会社を選ぶときに大切なのは、価格だけでなく、「どの診断を、どこまで、誰が、どういうレポートで返してくれるのか」を確認することです。
特に初めての発注では、見積もりの安さだけで決めると後悔しやすいため、比較軸を持った上で問い合わせることをおすすめします。
CyberCrewでは、通常の脆弱性診断に加え、成果報酬型のWebアプリ脆弱性診断やペネトレーションテストにも対応しています。自社に必要な診断がまだ明確でない段階でも、対象範囲の整理から相談できます。
