「脆弱性診断とペネトレーションテスト、結局どちらを頼めばいいのか分からない」と悩んでいる企業担当者の方も多いのではないでしょうか。
この2つの手法は、ベンダーの提案書の中で並べて書かれがちですが、両者は似ているようで、目的も進め方も成果物も異なります。PCI SSCも、vulnerability scan(脆弱性診断) と penetration test(ペネトレーションテスト) を別の評価手法として明確に区別しています。
結論、脆弱性診断は「どこに弱点があるかを広く把握するもの」、ペネトレーションテストは「その弱点を使って実際に何が起きるかを確かめるもの」です。この記事では、次の3点が整理できるようにまとめます。
- 脆弱性診断とペネトレーションテストの違い
- 費用感と、見積もりを見るときの注意点
- 自社にどちらが向いているかの判断軸
CyberCrewでは、脆弱性診断とペネトレーションテストのどちらも実施することが可能です。低コスト・高品質で幅広いシステムに対応しており、どちらを実施するべきか、まずは無料で相談いただけます。
TABLE OF CONTENTS
脆弱性診断とペネトレーションテストの違いとは?
ひとことで言えば、脆弱性診断は健康診断、ペネトレーションテストは防災訓練です。
脆弱性診断は弱点を網羅的に見つけて優先順位を付けるためのものです。一方でペネトレーションテストは、攻撃者の立場で実際に攻め、侵入・悪用・到達がどこまで成立するかを確かめる実証型の評価です。
NISTはペネトレーションテストを「実世界の攻撃を模倣してセキュリティ機能を回避できるかを試すもの」と定義し、複数の脆弱性の組み合わせまで含めて評価すると説明しています。
| 比較軸 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| 目的 | 弱点を広く洗い出し、優先順位を付ける | 攻撃者が実際に何をできるかを実証する |
| アプローチ | ツール+手動で既知の脆弱性や設定不備、設計上の問題を確認 | 攻撃シナリオに沿って侵入・悪用・横展開・到達可否を確認 |
| 成果物 | 脆弱性一覧、深刻度、対策案 | 攻撃経路、到達範囲、事業影響、優先対策 |
| 費用感 | 小規模なら数十万円台から、規模次第で100万円超もある | 100万円台〜数百万円が中心。内部侵入やシナリオ型はさらに上振れしやすい |
| 実施タイミング | 定期実施、リリース前後、変更時 | 年次、重要変更時、重要施策前、検知・対応力の確認時 |
この整理は、PCI SSCの区分、NISTの定義、OWASPの考え方、そしてCyberCrewが公開しているサービス説明と価格目安をもとにまとめたものです。特にOWASPは、ペネトレーションテストは有効だが、それだけを唯一のテスト手法にすべきではないとも述べています。
脆弱性診断とは?
脆弱性診断は、攻撃の入口になり得る弱点を事前に洗い出し、事故が起きる前に塞ぐための予防的なアプローチです。CyberCrewでも、ネットワーク・OS・Webアプリケーションなどを対象に、脆弱性や設定不備を確認する基本的なセキュリティ対策として支援しています。
ここでは、脆弱性診断の目的と種類、手法について整理します。
脆弱性診断の目的
脆弱性診断の目的は、システムに潜む既知の脆弱性や設定不備を見つけ出し、どこから手を付けるべきかをはっきりさせることです。ただ問題を並べるだけではなく、実際に悪用される可能性や事業への影響を踏まえて、対策の優先順位まで決められるところに価値があります。
初めて外部診断を受ける企業ほど、まずはこの段階を丁寧に踏むことが大切です。
最初からペネトレーションテストで「侵入できるかどうか」を試すより、公開資産や認証、設定、古いミドルウェア、権限不備といった弱点を広く点検し、全体像をつかんだほうが、結果として無駄のない改善につながります。
実際、ペネトレーションテストだけでは見えにくい領域もあるため、ほかのテスト手法と組み合わせて考える視点は欠かせません。
脆弱性診断の2つの種類
脆弱性診断はまずWebアプリケーション診断とネットワーク/プラットフォーム診断の2系統で考えると分かりやすいです。
- Webアプリ診断は、公開Webサイト、会員機能、管理画面、業務システムなどの入力処理、認証、認可、セッション、ビジネスロジックを見ます
- ネットワーク/プラットフォーム診断は、サーバー、OS、VPN、FW、ルーター、外部公開IP、ミドルウェアなど、基盤側の公開状態や設定不備を見ます。
実務では、ここからAPI、モバイル、クラウド、WordPress、無線LANなどに枝分かれします。
CyberCrewでも、Webアプリ、API、クラウド、サーバ・OS、ネットワークなど複数の対象を分けて案内しています。まずは「画面や機能を見るのか」「基盤や公開面を見るのか」で切り分けると、ベンダーへの相談もぐっと楽になります。
脆弱性診断の手法(ツール診断 vs 手動診断)
脆弱性診断は、ツールによる自動スキャンと専門家による手動診断を組み合わせるのが一般的です。OWASPは、DAST(動的アプリケーション・セキュリティ・テスト)を「稼働中のアプリケーションに対して行うテスト」と説明しており、Webアプリの自動スキャンはこの文脈に近いものです。
CyberCrewでも、Webアプリ診断はOWASP Top 10とASVSに準拠しつつ、自動診断の結果を専門家が手動で検証し、誤検知を除外したうえで報告するとしています。なお、OWASP Top 10の現行版は 2025 です。
ざっくり言えば、ツール診断は広く・早く・比較的安く見られるのが強みです。ただし、権限の抜け道や業務ロジック不備のように、文脈を理解しないと見つけにくい問題は苦手です。逆に手動診断は、深く・精度高く見られますが、そのぶん工数と費用は上がりやすくなります。見積もりを見るときは、「どこまで自動で、どこから人が確認するのか」を必ず確認しましょう。
ペネトレーションテストとは?
ペネトレーションテストは、実際に攻撃を試みて、どこまで侵入できるかを実証するテストです。OWASPは、ペネトレーションテストを攻撃者の役割を演じて脆弱性を発見・悪用するものと説明しており、NISTも実世界の攻撃を模倣する評価と定義しています。
ペネトレーションテストの目的
ペネトレーションテストの目的は、脆弱性が本当に悪用できるのか、単発ではなく組み合わせると何が起きるのかを確かめることです。NISTは、単一の脆弱性では到達できないレベルのアクセス権が、複数の脆弱性の組み合わせで得られる場合があると説明しています。つまり、単なる「穴探し」ではなく、被害シナリオの実証が本質です。
もう一つ大きいのが、防御側の実力確認です。金融庁のガイドラインでは、脆弱性診断やペネトレーションテストの重要な所見を経営層へ報告すべきことに加え、TLPT(脅威ベースのペネトレーションテスト)ではブルーチームの検知・報告・封じ込め・緩和能力も評価対象に含めるよう示しています。
SOCやCSIRTを運用している企業がペネトレーションテストを重視するのは、このためです。
ペネトレーションテストの実施フロー(5ステップ)
ペネトレーションテストの実施手順は、採用する方法論やベンダーによって細かな分け方が異なります。
発注前に全体像をつかむうえでは、次の5ステップで理解しておくと十分です。
- 攻撃者像とゴール設定
何を守りたいのか、どの資産まで到達されたら危険なのかを決めます。ここが曖昧だと、ただ派手なテストをして終わります。 - 攻撃シナリオ策定
外部侵入、認証情報悪用、内部横展開、クラウド権限昇格など、現実的なシナリオを設計します。金融庁のTLPTでも、現実的な脅威シナリオを計画に入れることが求められています。 - 情報収集
公開情報、ドメイン、サブドメイン、VPN、ログイン画面、構成情報などを集めます。攻撃者はまずここから始めるので、テストでも軽視できません。 - 侵入試行・権限昇格・横展開
脆弱性や設定不備を手がかりに、実際に侵入できるか、権限を広げられるか、重要な領域まで到達できるかを確認します。 - 報告書作成と改善提案
どこから入り、何に到達でき、どこを直せばよいかを整理します。OWASPは、報告書には見つかった脆弱性だけでなく、修正方法や、可能ならどう悪用されたかも明確に書くべきだとしています。
ペネトレーションテストの3つの手法
ペネトレーションテストは、事前共有する情報量で大きく3つに分かれます。OWASPはペネトレーションテストをブラックボックスに近い形で説明し、NISTは白箱と黒箱を併用するものをグレーボックスとしています。OWASP MASTG でも、ブラックボックスは事前情報なし、グレーボックスは部分的な知識ありと整理されています。
| 手法 | 特徴 | 向いているケース |
|---|---|---|
| ブラックボックス | 事前情報なし。外部攻撃者に近い | 公開面のリアルな見え方を確かめたい |
| グレーボックス | 一部アカウントや構成情報を共有 | 効率と現実性のバランスを取りたい |
| ホワイトボックス | 設計書・コード・構成などを共有 | 網羅性を高めたい、重要システムを深く見たい |
実務で最も使いやすいのはグレーボックスです。完全なブラックボックスは現実の攻撃者に近い一方で、時間も費用もかかりやすくなります。ホワイトボックスは深く確認できますが、純粋な外部攻撃者の視点とは少し異なります。だからこそ、見積もりを比較する際は、どの手法を前提にしているのかを必ず確認することが重要です。
あわせて読みたい
脆弱性診断とペネトレーションテストのどちらを選ぶべき?
脆弱性診断とペネトレーションテストのどちらを選ぶべきかは、目的と自社の成熟度で決まります。
まだ全体の弱点を把握できていない企業は、まず脆弱性診断から始めた方が投資効率が高いです。逆に、基本的な弱点洗い出しは一巡していて、「実際にどこまで侵入されるのか」「防御チームは気づけるのか」を見たいなら、ペネトレーションテストの出番です。
OWASPも、ペネトレーションテストだけに依存しないバランス型の対策方法を勧めています。
脆弱性診断が向いている企業・シーン
脆弱性診断が向いているのは、新規Webサービスのリリース前後、システム更改後、初めて外部診断を受ける企業、取引先や監査向けに診断結果を整理したい企業です。特に公開Web、VPN、API、クラウド設定など、入口が増えている環境では、まず広く棚卸しする方が合理的です。金融庁のガイドラインでも、VPN機器を含めて脆弱性評価の対象範囲や頻度を定めるよう求めています。
また、限られた予算で始めたい中小企業にも向いています。たとえば小規模なLPや単純構成の公開環境であれば、CyberCrewの価格例では脆弱性診断は10万円から、通常のWebアプリ診断でも規模に応じて段階的に広げやすい設計です。まず全体像を把握し、重要箇所だけ次年度以降に深掘りする進め方は、現場でもよく機能します。
ペネトレーションテストが向いている企業・シーン
ペネトレーションテストが向いているのは、脆弱性診断はすでに実施済みで、次の一手として実害ベースの検証をしたい企業です。たとえば、重要情報を扱うSaaS、複雑な権限設計がある業務システム、Active Directory やクラウドを含む多層環境、SOC/CSIRT の運用評価をしたい組織などでは、脆弱性の一覧より「到達シナリオ」の方が経営判断に効きます。
金融分野では、その傾向がより明確です。金融庁のガイドラインは、脆弱性診断やペネトレーションテストに加えて、TLPT を定期的に実施することを推奨しています。つまり、説明責任が重い業界ほど、「穴があるか」だけでなく「本当に攻撃が通るのか」「防御側は耐えられるのか」まで見にいく流れが強くなっています。
脆弱性診断・ペネトレーションテスト会社の選び方
ここはかなり重要です。実際、「ペネトレーションテスト」という言葉の使い方は、ベンダーによって少しずつ異なります。
同じ名称でも、前提条件や作業範囲が違えば、見積もり金額も成果物も変わってきます。つまり、名称だけで比較するのは危険です。発注前に、何をどこまで実施するのかを自分で確認する軸を持っておく必要があります。
費用・料金相場で選ぶ
費用感はかなり幅があります。脆弱性診断は、小規模な構成なら10万円台から始まる例もありますが、手動比率が高いWebアプリ診断では50万円〜300万円前後、プラットフォーム診断ではIP数や到達範囲次第でさらに変動します。ペネトレーションテストは、Webアプリで50万円〜300万円、内部ネットワークで50万円〜800万円、クラウドで100万円台からといった公開目安があり、シナリオ型や横展開を含む案件ではさらに上振れしやすいです。
CyberCrewの価格例で見ると、脆弱性診断は10万円〜、WordPress・CMS向けのWebアプリケーションPTは20万円〜、クラウドPTとネットワークPTは100万円〜です。加えて、成果報酬型のWebアプリ脆弱性診断は、基本料金10万円+検出内容に応じて加算、総額上限100万円という設計も案内されています。初めての発注で稟議を通しやすくしたい企業には、この「説明しやすい価格設計」はかなり重要です。
実績・対応領域で選ぶ
診断会社を選ぶときは、「有名かどうか」より、自社と近い業種・規模・技術スタックへの対応経験があるかを見るべきです。Webアプリしか見られない会社に、クラウドIAMやAD横展開まで相談しても精度は上がりません。逆に、大規模案件中心の会社は、小規模企業にとって手続きや費用が重く感じることがあります。
最低限、Web、API、モバイル、クラウド、ネットワーク、できればADや認証基盤まで、どこまで見られるのかは確認したいところです。CyberCrewも、ペネトレーションテストでWeb、モバイル、クラウド、ネットワーク、LLMまで、脆弱性診断ではWeb、API、クラウド、サーバ・OS、ネットワークなどを分けて案内しています。対象領域が自社の構成と合っているかは、提案の良し悪しを左右します。
保有資格・技術力で選ぶ
資格だけで全ては決まりませんが、一定の客観指標にはなります。たとえば OSCP は OffSec が提供する実践的なペンテスト資格、CISSP は ISC2 が提供するセキュリティマネジメントを含む広範な資格、CEH は EC-Council のエシカルハッキング資格、GXPN は GIAC の高度な侵入テスト・攻撃者モデリング能力を検証する資格です。
CyberCrewには、CTF世界大会優勝者やOSCPなどの国際資格保有者が在籍しています。
ただ、資格名だけで判断するのではなく、そうした人材がどの領域の案件を担当しているのか、報告書や改善提案にどう反映されるのかまで確認することが大切です。
報告書の質・アフターフォローで選ぶ
見積もり時に意外と見落とされるのが、報告書の質です。OWASPは、ペネトレーションテスト報告書には見つかった脆弱性、修正方法、そしてどう悪用されたかが分かる形で示されるべきだとしています。経営層に説明するには、技術詳細だけでは足りません。攻撃経路、影響範囲、優先順位、次のアクションまで一枚で伝わる必要があります。
脆弱性診断やペネトレーションテストでは、報告書の内容だけでなく、その後のフォロー体制まで見ておくことが大切です。
たとえば、改修後の再確認が条件付きで受けられるか、報告会で質疑応答の時間があるかどうかで、実務での動きやすさは大きく変わります。報告書がきれいでも、改修につなげられなければ意味がありません。
脆弱性診断・ペネトレーションテストならCyberCrewにお任せください
ここまで読んで、「違いは分かったが、自社だとどこから始めるべきかまではまだ迷う」という方も多いと思います。実際、診断は技術の話であると同時に、優先順位付けの話でもあります。CyberCrewは、攻撃者視点での実践性と、発注側が判断しやすい説明の両立を重視しているセキュリティチームです。
CyberCrewが選ばれる理由
CyberCrewの強みは、大きく3つあります。
1つ目は、CTF世界大会優勝者やOSCPなどの国際資格保有者が在籍すること。
2つ目は、経済産業省が定める情報セキュリティサービス基準に基づく登録サービスであること。この制度自体、サービスの品質維持向上を第三者が客観的に確認し、利用者が調達時に参照できるようにする仕組みです。
3つ目は、「どのように攻撃が成立するのか」「どうすれば防げるのか」まで整理する報告を強みとして掲げている点です。
単に脆弱性を並べるだけでは、現場は動きません。経営層には影響と優先順位、技術者には再現手順と対策方針が必要です。その両方をつなぐ報告ができるかどうかで、診断の価値は大きく変わります。CyberCrewでは、結果を伝えるだけでなく、その後の対応につながる報告を大切にしています。
CyberCrewのサービス
CyberCrewでは、ペネトレーションテスト、脆弱性診断、成果報酬型のWebアプリ脆弱性診断、ダークウェブモニタリングなどを提供しています。サービスページでは、ペネトレーションテストを「実際の攻撃を模擬しシステムの脆弱性を検証するサービス」、脆弱性診断を「専門ツールと手動検査でリスクの高い箇所を可視化するサービス」、ダークウェブモニタリングを「漏えい情報を常時監視し、不正利用リスクを早期発見するサービス」と説明しています。
「まずは弱点を広く把握したい」のか、「侵入シナリオまで見たい」のか、「漏えい済み認証情報の監視まで含めたい」のか。目的に応じて組み合わせを設計できるのが、CyberCrewの強みです。費用は対象範囲や規模によって大きく変わるため、詳しくはお問い合わせいただければ無料で見積もり可能です。
脆弱性診断とペネトレーションテストの違いについてよくある質問(FAQ)
脆弱性診断とペネトレーションテストは同時に実施できますか?
可能です。とはいえ、実務ではまず脆弱性診断で弱点の全体像を把握し、その結果を踏まえてペネトレーションテストで深掘りする方が効率的です。OWASPも単一手法への依存を勧めていません。
中小企業でもペネトレーションテストは必要ですか?
必要になる場面はありますが、最初の一歩としては脆弱性診断から始める方が現実的です。機密情報を多く扱う、重要取引先の要求がある、侵入シナリオを経営層に示したい場合に、ペネトレーションテストを検討するとよいでしょう。
脆弱性診断はどのくらいの頻度で実施すべきですか?
少なくとも年1回を軸に、公開サービスや重要システムは大きな変更時にも追加実施するのが基本です。金融庁は範囲・頻度・タイミングを定めるよう示しており、PCI系では四半期スキャンや年次ペンテストの考え方もあります。
ペネトレーションテストで本番環境に影響が出ることはありますか?
ゼロとは言い切れませんが、通常は事前にスコープや実施条件を合意し、影響を最小化する前提で進めます。NISTやFedRAMP系の文書でも、ROEや承認手続きの重要性が示されています。
脆弱性診断とセキュリティ診断は同じものですか?
現場ではほぼ同義で使われることが多いです。ただし「セキュリティ診断」は広い言葉で、脆弱性診断だけでなく、ペネトレーションテストや他の評価まで含めて使われる場合があります。
ペネトレーションテストの結果はどのような形で報告されますか?
一般的には、侵入経路、到達範囲、影響、優先度、対策案をまとめた報告書で提出されます。OWASPは修正方法や悪用のされ方まで明確に示すことが望ましいとし、CyberCrewも報告書提出と報告会、再診断を案内しています。
まとめ|脆弱性診断とペネトレーションテストは目的で選ぶ
脆弱性診断とペネトレーションテストは、似ているようで役割の異なるセキュリティの評価方法です。
脆弱性診断は、システムに潜む弱点を広く洗い出し、どこから対策すべきかを整理するためのものです。一方、ペネトレーションテストは、攻撃者の視点で実際に侵入や悪用を試み、どこまで被害が広がり得るかを確かめるためのものです。
そのため、どちらを選ぶかは自社が何を知りたいのかで決まります。まずは弱点の全体像を把握したいなら脆弱性診断、侵入シナリオや事業影響まで確認したいならペネトレーションテストが向いています。初めて外部診断を受ける場合は、脆弱性診断から始め、必要に応じてペネトレーションテストへ進む流れが現実的です。
診断の進め方や対象範囲に迷う場合は、ベンダーごとの言葉の違いだけで判断せず、実施範囲や成果物、アフターフォローまで含めて比較することが大切です。もしどちらにすべきか悩んでいるなら、まずはCyberCrewへ無料でご相談ください。
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
Hack The Box Business CTF 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
