LASSIC Media らしくメディア
脆弱性診断を外注する費用相場と診断の種類・選び方
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- 脆弱性診断にはWebアプリ・ネットワーク・スマホアプリ・ペネトレーションテストの4種類があり、目的と対象に合わせて選ぶことが大切です。
- 手動診断とツール診断では検出精度・費用・所要期間が異なるため、リスク許容度に応じた組み合わせが有効です。
- 外注先を選ぶ際は診断資格・実績・報告書の品質を軸に評価することで、診断後の対応コストを抑えられます。
目次
脆弱性診断の外注とは:実施目的と4種類の診断
脆弱性診断の外注とは、自社のWebアプリケーション・ネットワーク・スマートフォンアプリ等に潜むセキュリティ上の弱点を、専門の第三者機関に調査・評価してもらうサービスです。自社内にセキュリティ専門人材を持たない企業でも、客観的な視点でリスクを洗い出し、優先度の高い対策に絞ることができます。
IPA(情報処理推進機構)が公開する「安全なウェブサイトの作り方」(改訂第7版、2021年)では、SQLインジェクションやクロスサイト・スクリプティング(XSS)など11種類の代表的なウェブアプリケーション脆弱性が整理されています。また、国際的なセキュリティ啓発団体OWASPが公開する「OWASP Top 10:2025」では、不正なアクセス制御・セキュリティの誤設定・ソフトウェアサプライチェーンの失敗など上位10リスクが示されています。これらの公的基準は、診断スコープや外注先の評価軸として参考になります。
脆弱性診断を外注する主な目的は次の3点です。第一に、リリース前または定期的なセキュリティ確認として、新機能追加や大規模改修のたびに実施することが挙げられます。第二に、個人情報保護法改正対応・ISMS認証取得・金融系規制への準拠として、第三者による診断証跡を残すことが求められるケースです。第三に、インシデント発生後の原因特定と再発防止のために、侵入経路を確認する目的でも使われます。
Webアプリケーション診断:画面・API・認証を一通りチェック
Webアプリケーション診断とは、ブラウザからアクセスできる画面・フォーム・API・認証機能を対象に、SQLインジェクションやXSS・セッション管理の不備などを検証するサービスです。診断員がブラウザ経由でリクエストを操作しながら確認する「ブラックボックス方式」と、ソースコードや設計書を部分的に開示する「ホワイトボックス(コード開示)方式」があります。
OWASPが整理したリスクカテゴリを基準に診断するケースが多く、診断ページ数・入力フォーム数・API数が多いほど所要時間と費用が増加します。ECサイト・会員サービス・社内ポータルなど、ユーザー認証が絡むシステムで特に重視されます。
プラットフォーム/ネットワーク診断:インフラ全体の設定ミスを洗い出す
プラットフォーム/ネットワーク診断とは、サーバー・ネットワーク機器・OSのパッチ状況や設定を調べ、不要なポート開放・弱い暗号スイート・管理コンソールの公開状態などを確認するサービスです。クラウド環境(AWS・Azure・GCPなど)に対してはセキュリティグループや権限設定の見直しが中心になります。
ポートスキャンや脆弱性スキャナを使う「ツール主体」の進め方が多く、Webアプリ診断より単価が低い傾向があります。ただし、IaC(Infrastructure as Code)管理の環境やコンテナ基盤は構成が複雑なため、追加の確認工数が発生することがあります。
スマートフォンアプリ診断:iOS/Androidの両プラットフォームを確認
スマートフォンアプリ診断とは、iOSおよびAndroidアプリのバイナリ解析・通信内容の改ざん検証・ローカルデータの保護状況などを評価するサービスです。アプリ内に埋め込まれたAPIキーやアクセストークンの露出、通信経路の証明書検証の不備が主な検出対象です。
スマホアプリ診断はWebアプリ診断より実施している事業者が少なく、専門人材の確保コストが費用に反映されます。金融・医療・HR系アプリなど機微情報を扱うケースでは、リリース前の必須確認項目として設定する企業が増えています。
ペネトレーションテスト:実際の攻撃シナリオで侵入可否を確認
ペネトレーションテスト(ペンテスト)とは、攻撃者を模したシナリオで実際に侵入を試み、機密情報の奪取や権限昇格ができるかを検証するサービスです。単体の脆弱性を列挙する「診断」と異なり、複数の脆弱性を組み合わせた攻撃チェーンを検証するため、より高度な技術と長い工数が必要です。
スコープを「外部からのWebアプリ経由」「内部ネットワーク侵害後の横展開」「ソーシャルエンジニアリング込み」など目的に応じて設定します。費用が高い分、診断報告書の納品後に優先対応すべき攻撃パスが明確になるメリットがあります。
手動診断とツール診断:検出範囲・費用・期間の違い
脆弱性診断の方式は大きく「手動診断」と「ツール診断」に分かれます。どちらかを選ぶ前に、検出できる脆弱性の種類・費用水準・所要期間の違いを把握することが大切です。
| 比較項目 | 手動診断 | ツール診断(自動スキャン) |
|---|---|---|
| 検出範囲 | 論理的な権限不備・業務フロー特有の脆弱性など、ツールでは検出できないパターンに強い | 既知の脆弱性パターン(CVEベース)を広くカバーするが、ビジネスロジック系は手薄になりやすい |
| 費用水準 | ツール診断より高め。診断員の工数が直接費用に反映される | スキャン範囲が広くても費用を抑えやすい。ただしレポート確認の人件費は別途発生する |
| 所要期間 | ページ数・API数に応じて1週間〜数週間程度 | スキャン自体は短期間。レポート精査に別途時間がかかる |
| 誤検知(偽陽性) | 診断員が目視確認するため少ない。対応優先度の判断精度が高い | 誤検知が出やすい。トリアージ(真偽の選別)作業が必要になる |
| 向いているケース | 本番リリース前の重要システム・個人情報を扱うアプリ・ISMS取得の証跡用途 | 既知のCVE(共通脆弱性識別子)の網羅確認・CI/CDパイプラインへの組み込み |
手動診断の中心的な強みは、ビジネスロジックに依存した脆弱性を発見できる点です。たとえば「他のユーザーの注文情報をURLのパラメータ変更で閲覧できる」「割引コードを繰り返し適用できる」といった問題は、自動スキャンでは検出されないことがあります。
一方、ツール診断はCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)ベースの既知パターンを網羅的に確認するうえで有効です。CI/CDパイプラインへの組み込みやインフラの定期スキャンに向いています。費用対効果を高めるには、「ツール診断で広く洗い出してから、重要箇所だけ手動で深掘りする」という組み合わせが実務上よく選ばれます。
費用相場の考え方:診断種別ごとの目安と変動要因
脆弱性診断の外注費用は、診断の種類・対象の規模・手動か自動か・診断事業者の体制によって大きく変動します。以下に示す金額は複数の事業者の公開情報・見積もり事例をもとにした市場参考値であり、一次調査データではありません。実際の費用は複数社から見積もりを取得して確認することをお勧めします。
Webアプリケーション診断の費用目安と変動要因
Webアプリケーション診断の費用は、診断対象のページ数・入力フォーム数・APIエンドポイント数を「ポイント数」に換算して算出する事業者が多い傾向があります。市場参考値として、10〜30ページ規模の小規模アプリで数十万円台から、100ページ・数十APIを持つ中規模システムでは数百万円台に達することがあります。
費用が増える主な変動要因は次のとおりです。シングルサインオン(SSO)やOAuthなどの複雑な認証フローが含まれる場合、診断工数が増えます。REST APIとWebSocket・GraphQLが混在する構成も追加工数の対象になります。コード開示方式でソースコードを提供する場合は別途調整が生じることがあります。
プラットフォーム/ネットワーク診断の費用目安と変動要因
ネットワーク診断はIPアドレス数・ホスト数を単位とする見積もりが一般的です。小規模な環境(数台〜十数台)であれば数十万円程度から始めることができます。クラウド環境ではアカウント数・リージョン数が多いほど確認範囲が広がり費用が増加します。
変動要因としては、検査対象ホストに本番サービスが稼働しているかどうかが影響します。本番環境への直接スキャンは業務影響を避けるための事前調整が必要なため、スケジュール調整コストが上乗せになることがあります。
スマートフォンアプリ診断の費用目安と変動要因
スマートフォンアプリ診断はiOS・Androidを個別に診断するため、プラットフォームごとに費用が発生します。市場参考値として、1プラットフォームあたり数十万円台から始まるケースが見られます。バイナリ難読化の解除が必要な場合や、通信先のAPIも同時診断する場合は追加費用が生じます。
ペネトレーションテストの費用目安と変動要因
ペネトレーションテストは診断スコープの設計から実施・報告まで専門チームが関与するため、他の診断と比較して費用水準が高い傾向があります。スコープや期間によって数百万円規模に達するケースもあります。ただし「実際に侵入されやすい攻撃チェーンの特定」という付加価値があり、対策の費用対効果の根拠として利用する企業も増えています。
費用の変動要因として、外部侵入のみ・内部ネットワーク侵害後の横展開・ソーシャルエンジニアリング込みなど、テストシナリオの範囲が広がるほど日数と費用が増えます。
外注先の選定:資格・実績・報告書品質で見極める
脆弱性診断事業者を選ぶ際、費用だけを比較しても診断の質は保証されません。報告書の内容が薄い場合、対策の優先度が判断できずに修正工数が膨らむことがあります。以下の3軸で評価することをお勧めします。
診断員の資格・スキルを確認する
診断員の専門性を示す資格として、情報処理安全確保支援士(登録セキスペ)・CEH(Certified Ethical Hacker)・OSCP(Offensive Security Certified Professional)・CREST認定などが挙げられます。特にOSCPは実機攻略を要する実践的な資格として評価されています。
事業者に対して「診断員の保有資格」「スタッフ構成(専任か兼任か)」「診断員が直接報告書を書くか」を事前に確認しておくと、品質の見通しが立てやすくなります。ツール診断に自動スキャンだけを使い、人による確認を省いている事業者には注意が必要です。
業種・システム特性への実績を確認する
金融系・医療系・Eコマース系など、自社と近い業種への診断実績があると、業務フロー特有の脆弱性パターンへの理解が深まります。クラウドネイティブ構成やマイクロサービスアーキテクチャへの対応実績も、現代的なシステムを診断する際の指標になります。
事業者が公開しているホワイトペーパーや診断事例(匿名化済み)を参照すると、実際の診断アプローチを事前に確認できます。見積もり段階でサンプル報告書の提示を求めることも有効です。
報告書の構成と再診断対応を確認する
報告書の品質は、診断後の修正対応コストを左右します。確認すべき項目は「CVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)スコアによるリスク評価が付いているか」「再現手順が開発者が実際に試せる粒度で書かれているか」「優先度別の修正ガイダンスがあるか」の3点です。
また、修正後に再診断(リテスト)を同一工数内で対応するか、別途費用が発生するかは事前に確認しておきましょう。再診断を省くと「修正済みのはずが別の経路でまだ侵入できる」という状態が見落とされるリスクがあります。
診断の進め方:スコープ定義から再診断まで5ステップ
外注先が決まったら、スムーズに診断を進めるための準備が必要です。以下に一般的な進め方を5ステップで示します。
- ステップ1 スコープ定義:診断対象(URL・IPアドレス・アプリのバージョン)と対象外(本番データベース直接操作禁止など)を文書化します。スコープが曖昧だと診断漏れや本番障害のリスクが生じます。
- ステップ2 事前情報提供:コード開示方式であれば、テスト用アカウント・API仕様書・システム構成図を提供します。情報の範囲によって検出精度が変わります。
- ステップ3 診断実施:診断事業者が実施します。実施中は連絡窓口を設けて、重大な脆弱性を発見した場合の緊急連絡ルールを決めておくことが大切です。
- ステップ4 報告書受領と対応計画策定:報告書をもとに、CVSSスコアや業務影響を加味した優先度付けを行います。全件を即時修正しようとすると開発工数が集中するため、重大度・影響範囲・修正コストの3軸で対応計画を作成します。
- ステップ5 修正確認と再診断(リテスト):主要な修正が完了したら、同じ診断員による再確認を依頼します。修正の抜け漏れや新たな問題の混入がないかを確認して、診断プロセスを完結させます。
ステップ1のスコープ定義を省略して「とりあえず全部見てほしい」と依頼すると、診断側の判断で優先度が低い箇所に工数が集まり、重要な部分の精度が下がることがあります。発注側が「守るべきデータと機能」を先に整理しておくことで、診断の費用対効果が上がります。
報告書の読み方と優先度別の対応計画
診断報告書を受け取ったとき、件数の多さに圧倒されて対応が止まってしまうケースがあります。効果的に読み進めるポイントを整理します。
CVSSスコアを軸に重大度を確認する
CVSSスコアは0〜10のスコアで脆弱性の深刻度を示す指標で、9.0以上が「緊急(Critical)」、7.0〜8.9が「重要(High)」、4.0〜6.9が「警告(Medium)」、0.1〜3.9が「注意(Low)」とされています。まず「緊急」「重要」に分類された項目を確認し、ビジネス影響を追加で評価します。
ただしCVSSスコアは汎用的な指標であるため、自社システム固有の事情(インターネット非公開・多要素認証実装済みなど)によってリスクが下がるケースもあります。報告書のスコアだけで判断せず、診断員に「このスコープで実際に攻撃が成立しやすいのはどれか」を確認することをお勧めします。
修正対応の3カテゴリで計画を立てる
実務上、以下の3カテゴリで優先度を仕分けると開発チームとの調整がしやすくなります。
- 即時対応(数日以内):外部から認証なしで機密情報を取得できる・任意コードが実行できるなど、悪用されると事業継続に直結する項目
- 計画対応(次回リリースまで):CVSSが中程度で、悪用には複数条件が重なる必要がある項目
- 長期対応(アーキテクチャ改善):設計レベルの問題で短期修正が難しいが、ワークアラウンドで暫定対処できる項目
この仕分けを行うと、「今すぐ直せるもの」と「設計から見直すもの」が分かれ、開発スプリントへの組み込みが具体的になります。外注先の診断員に対して「各項目について修正のカテゴリ分けの相談ができるか」を事前確認しておくことも有効です。
再診断(リテスト)で修正の有効性を確認する
修正が完了したと判断しても、修正漏れや副作用による新たな問題が発生していることがあります。特に「根本的な原因が同じ脆弱性が複数箇所に存在する」ケースでは、一部だけを直しても残存リスクが続きます。再診断は「修正が機能しているか」を外部目線で確認する工程として、診断プロセスに組み込むことをお勧めします。
まとめ:外注判断の3つの軸
本稿では、脆弱性診断を外注する際の診断の種類・方式の選び方・費用の考え方・外注先選定・診断の進め方・報告書の活用方法を整理しました。要点を3つに集約します。
第一に、診断種別の選択です。WebアプリやAPIを持つシステムにはWebアプリケーション診断、インフラ全体を確認するにはネットワーク診断、スマホアプリには専門診断、侵入可否の確認にはペネトレーションテストと、対象と目的に合わせて種別を選ぶことで費用対効果が高まります。
第二に、手動とツールの組み合わせです。既知のCVEはツール診断で網羅的に洗い出し、業務フロー固有のリスクは手動診断で深掘りするハイブリッドアプローチが、精度とコストのバランスを取りやすくなります。
第三に、外注先の選定基準です。費用だけでなく「診断員の資格・実績・報告書サンプル・再診断対応の有無」を確認することで、診断後の修正コストを下げられます。診断は実施して終わりではなく、報告書の内容を組織の修正計画に落とし込んでから完結します。
よくある質問
脆弱性診断はどのくらいの頻度で外注するのが適切ですか?
一般的には年1回以上の定期診断が推奨されています。ただし、大規模な機能追加・インフラ変更・外部サービス連携の追加が発生した場合は、その都度スポットで診断を実施することが大切です。個人情報を扱うシステムや決済機能を持つサービスでは、変更のたびに影響範囲の診断を組み込む運用が効果的です。
外注費用を抑えるために内製でできることはありますか?
開発フェーズでOWASP ZAP(Zed Attack Proxy)などのオープンソースツールをCI/CDパイプラインに組み込み、既知パターンの自動スキャンを日常的に実施することで、外注診断の事前整備コストを下げられます。また、外注範囲を「手動診断が必要な重要機能のみ」に絞り、ネットワーク層はツール診断に限定するという組み合わせも有効です。
診断中に本番サービスが止まることはありますか?
適切なスコープ設定と事前合意があれば、本番サービスへの影響を最小化できます。ただし、高負荷のスキャン(ファジングなど)を本番環境に直接実施した場合、サービスが不安定になるリスクがあります。一般的にはステージング環境での実施が推奨されており、本番への実施が必要な場合は深夜・休日など影響の少ない時間帯に限定することが多いです。
報告書に書かれた脆弱性はすべて修正しなければなりませんか?
すべてを即時修正する必要はありません。CVSSスコア・実際の悪用可能性・業務への影響を総合的に評価して優先度を決め、緊急度の高い項目から順に対応することが現実的です。対応の暫定措置(WAFによるフィルタリング、アクセス制限の強化など)と恒久修正を組み合わせる判断も有効です。リスク受容の判断とその記録を残しておくことで、次回の診断時に変化を追跡しやすくなります。
脆弱性診断の外注先を選ぶときに確認すべき資格はありますか?
診断員が保有する資格の代表例として、情報処理安全確保支援士(登録セキスペ)・OSCP(Offensive Security Certified Professional)・CEH(Certified Ethical Hacker)があります。OSCPは実機攻略を要する実践的な試験として業界での評価が高い資格です。資格に加えて、自社と類似した業種・システム規模での診断実績や、サンプル報告書の内容を確認することも外注先の評価に役立ちます。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:IPA(情報処理推進機構)「安全なウェブサイトの作り方」改訂第7版(2021年)
- *2 出典:OWASP「OWASP Top 10:2025」(2025年)
