ペネトレーションテストの実施期間はどれくらい?規模別の目安を解説

ペネトレーションテストを導入したいと考えているものの、「実際にどれくらいの期間がかかるのか」「業務への影響はどの程度なのか」と不安に感じている方は多いのではないでしょうか。実施期間はシステムの規模や複雑さによって大きく異なり、適切なスケジュール設定をしないと業務に支障をきたす可能性もあります。この記事では、準備段階から報告書納品までの全体スケジュール、企業規模別の実施期間の目安、そしてスムーズに進めるためのポイントを実績データをもとに解説します。

ペネトレーションテストの全体スケジュール【準備から完了まで】

ペネトレーションテストは、契約から報告書納品までいくつかのフェーズに分かれています。実際の診断作業だけでなく、事前準備や結果の取りまとめにも相応の時間が必要です。ここでは、各フェーズでどの程度の期間がかかるのかを詳しく見ていきましょう。

テスト実施までの準備期間

ペネトレーションテストを依頼してから実際の診断作業が始まるまでには、約2週間から1か月程度の準備期間が必要になります。この期間には以下のような作業が含まれます。

• 契約内容の確認と契約書の締結
• テスト対象システムの範囲（スコープ）の確定
• システム構成図やネットワーク図などの資料提供
• 社内関係者への説明と承認取得
• 実施日時の調整と関係部署への通知

特に初めてペネトレーションテストを実施する企業では、社内での説明や承認に時間がかかることが多いです。経営層や現場担当者への説明資料の作成、稟議手続きなども考慮すると、余裕を持って1か月前から準備を始めることをおすすめします。

テスト実施期間（本番作業）

実際の診断作業にかかる期間は、システムの規模や複雑さによって異なります。一般的には3営業日から20営業日程度が目安となりますが、これは後述する企業規模別の詳細で解説します。

診断作業中は、以下のような活動が行われます。

• 外部からの侵入経路の探索
• 脆弱性の検証と悪用可能性の確認
• 権限昇格や横展開の試行
• 発見した脆弱性の詳細記録

なお、診断作業は通常の業務時間外に実施するケースも多いです。本番環境への影響を最小限に抑えるため、夜間や休日に作業を行う場合もあります。

報告書作成・納品期間

診断作業が完了してから報告書が納品されるまでには、約1週間から2週間程度の期間が必要です。この期間には以下の作業が含まれます。

• 発見した脆弱性の分析と評価
• リスクレベルの判定（Critical、High、Medium、Low）
• 具体的な改善策の提案
• 報告書の作成と内容の精査
• エグゼクティブサマリーの作成

IPA（情報処理推進機構）の調査によると、質の高い報告書を作成するためには診断作業と同程度の時間が必要とされています。単に脆弱性を列挙するだけでなく、ビジネスへの影響度や優先的に対処すべき項目を明確にすることが重要だからです。

再診断が必要なケース

初回の診断で重大な脆弱性が多数発見された場合、修正後の再診断が必要になることがあります。再診断には通常、初回診断の30-50%程度の期間がかかります。

再診断が必要となる主なケースは以下の通りです。

• Critical（緊急）レベルの脆弱性が複数発見された場合
• 修正内容が適切に実装されているか確認が必要な場合
• 修正によって新たな問題が発生していないか検証する場合
• コンプライアンス要件で再診断が義務付けられている場合

再診断の費用や期間については、初回契約時に確認しておくことが重要です。多くのベンダーでは、初回診断から3か月以内の再診断を割引価格で提供しています。

企業規模・システム規模別の実施期間の目安

ペネトレーションテストの実施期間は、企業の規模やシステムの複雑さによって大きく異なります。ここでは、実績データをもとに規模別の目安をご紹介します。

小規模（従業員20名以下/Webサイト1-2個）

小規模な企業やスタートアップの場合、実施期間は3-5営業日程度が一般的です。具体的には以下のような構成を想定しています。

• 公開Webサイト1-2個
• シンプルなネットワーク構成
• クラウドサービス（AWS、Azure等）を主に利用
• 管理対象のサーバー数が10台以下

例えば、ECサイト1つとコーポレートサイト1つを運営している中小企業の場合、外部からのWebアプリケーション診断とネットワーク境界の診断を合わせて4営業日程度で完了するケースが多いです。

ただし、決済機能や個人情報を扱うシステムがある場合は、より詳細な診断が必要となり、5-7営業日程度かかることもあります。

中規模（従業員50名前後/複数システム）

従業員50名前後で複数のシステムを運用している企業の場合、実施期間は5-10営業日程度が目安となります。

• Webアプリケーション3-5個
• 社内ネットワークとVPN接続環境
• データベースサーバーやファイルサーバーの存在
• クラウドとオンプレミスの混在環境

経済産業省の調査によると、この規模の企業では平均して7営業日程度の診断期間を確保しているケースが多いとされています。Webアプリケーションだけでなく、社内ネットワークの診断も含めると、より包括的なセキュリティ評価が可能になります。

特に、リモートワーク環境が整備されている企業では、VPN接続やクラウドサービスの設定診断も重要です。これらを含めると、10営業日程度の期間が必要になることもあります。

大規模（従業員100名以上/基幹システム含む）

従業員100名以上で基幹システムを運用している企業の場合、実施期間は10-20営業日以上が必要になります。

• 多数のWebアプリケーションとAPIサービス
• 複雑なネットワーク構成（DMZ、内部ネットワーク等）
• 基幹システム（ERP、CRM等）の存在
• 複数拠点間の接続環境
• クラウドとオンプレミスの複雑な連携

大手企業や金融機関などでは、20営業日を超える長期間の診断を実施するケースも珍しくありません。システムの複雑さだけでなく、業務への影響を最小限に抑えるため、段階的に診断を進める必要があるからです。

例えば、全国展開している小売チェーンでは、本社システム、店舗システム、ECサイトをそれぞれ異なる時期に診断し、トータルで1か月以上の期間をかけて実施した事例もあります。

実施期間に影響する要因

同じ規模の企業でも、以下の要因によって実施期間が変動します。

• システムの複雑度：レガシーシステムと最新システムの混在、カスタマイズの程度
• 対象範囲：Webアプリケーションのみか、ネットワーク全体か
• アクセス権限：外部からのみか、内部アクセス権限ありか
• テスト手法：ブラックボックスかホワイトボックスか
• 実施時間帯：業務時間内か時間外か

特に、ホワイトボックステスト（システム情報を事前提供して実施）は短期間で完了しやすい一方、ブラックボックステスト（攻撃者視点で実施）はより時間がかかる傾向があります。

ペネトレーションテスト期間を短縮・延長する要因

実施期間は企業の準備状況や診断結果によって変動します。ここでは、期間が短縮または延長される具体的な要因を解説します。

期間が短縮できるケース

以下の条件が整っている場合、標準的な期間よりも短縮できる可能性があります。

• システム構成図や設計書が整備されている：診断対象の理解に時間がかからない
• 過去に診断実績がある：前回からの変更点のみを重点的に診断できる
• テスト用アカウントが事前に準備されている：環境構築の時間が不要
• 診断対象が明確に定義されている：スコープの再確認が不要
• 社内調整が完了している：実施中の問い合わせ対応がスムーズ

例えば、年次でペネトレーションテストを実施している企業では、前回から変更があった部分のみを重点的に診断することで、期間を30-40%程度短縮できるケースもあります。

また、ホワイトボックステストの形式で、システムの詳細情報を事前に提供することで、調査時間を大幅に削減できます。

期間が延長するケース

一方、以下のような状況では、当初の予定よりも期間が延長する可能性があります。

• 脆弱性が多数発見された：追加の検証が必要になる
• スコープの追加依頼があった：当初想定していなかったシステムも対象に
• システム構成が複雑で文書化されていない：理解に時間がかかる
• 診断中に障害が発生した：原因調査と復旧に時間を要する
• 担当者の不在で確認作業が遅延：問い合わせへの回答待ち

特に注意が必要なのは、想定以上に脆弱性が発見された場合です。セキュリティ診断ベンダーの報告によると、初回診断では予定期間の1.5-2倍の時間がかかるケースも珍しくありません。重大な脆弱性を発見した際は、その影響範囲を詳細に調査する必要があるためです。

また、クラウド環境の診断では、クラウド事業者の利用規約に基づく制約により、診断可能な時間帯が限定されることもあります。これにより、当初の予定よりも期間が延びる可能性があります。

よくある誤解「早く終われば品質が低い？」

「診断期間が短いということは、手を抜いているのではないか」と心配される方もいますが、これは必ずしも正しくありません。

期間と品質は必ずしも比例しないというのが実態です。重要なのは以下の点です。

• 適切なスコープ設定：対象範囲が明確であれば効率的に診断できる
• 診断員のスキル：経験豊富な診断員は短期間でも的確に脆弱性を発見できる
• 自動化ツールの活用：効率的な診断により時間を短縮
• 事前準備の充実度：情報提供が適切であれば無駄な時間が削減される

むしろ、ダラダラと長期間かけることが品質向上につながるわけではありません。重要なのは、限られた時間の中でリスクの高い箇所を優先的に診断し、実効性のある報告書を作成することです。

信頼できるベンダーは、診断計画書の段階で「なぜこの期間が必要なのか」を明確に説明してくれます。見積もりを依頼する際は、単に期間の長短だけでなく、診断内容と期間の妥当性を確認することが重要です。

スムーズに進めるための準備と注意点

ペネトレーションテストを予定通りの期間で完了させるためには、事前準備が欠かせません。ここでは、スムーズな実施のためのポイントを解説します。

事前に用意すべき情報・資料

診断をスムーズに進めるためには、以下の情報や資料を事前に整備しておくことが重要です。

• システム構成図：ネットワーク構成、サーバー配置、接続関係
• IPアドレス一覧：診断対象となるIPアドレスのリスト
• ドメイン情報：対象となるドメイン名とサブドメイン
• 利用技術の情報：Webサーバー、データベース、フレームワーク等
• アクセス権限：テスト用アカウントの認証情報
• 除外対象：診断を実施してはいけない範囲の明確化
• 緊急連絡先：問題発生時の連絡先とエスカレーションフロー

これらの情報が不足していると、診断開始後に確認作業が発生し、予定期間が延びる原因となります。特にシステム構成図は、診断員が対象を正しく理解するために必須です。

JPCERT/CCの調査によると、事前準備が充実している企業では、診断期間が平均20-30%短縮されるというデータもあります。

社内調整のタイミング

ペネトレーションテストの実施には、社内の複数部署との調整が必要です。以下のような関係者と早めに調整を開始しましょう。

• 経営層：予算承認と実施方針の決定（実施の1-2か月前）
• 情報システム部門：技術的な調整と実施計画の策定（実施の1か月前）
• 運用担当者：実施日時の調整と監視体制の確認（実施の2-3週間前）
• 事業部門：業務への影響説明と協力依頼（実施の1週間前）
• 法務部門：契約内容の確認と承認（契約前）

特に初めてペネトレーションテストを実施する企業では、「なぜ実施するのか」を経営層に理解してもらうことが重要です。サイバー攻撃による被害事例や、コンプライアンス要件などを説明材料として準備しましょう。

また、診断中に万が一システム障害が発生した場合の対応手順も、事前に関係部署と合意しておくことが重要です。

業務への影響を最小限にする進め方

ペネトレーションテストは本番環境に対して実施されることが多いため、業務への影響を最小限に抑える工夫が必要です。

• 実施時間帯の調整：アクセスが少ない深夜や休日に実施
• 段階的な実施：重要度の低いシステムから順に診断
• 負荷の調整：過度な負荷をかけないよう診断ツールを設定
• 監視体制の強化：診断中は運用担当者が常時監視
• ロールバック計画：問題発生時の復旧手順を事前に確認

例えば、ECサイトを運営している企業では、売上への影響を避けるため、月曜深夜や火曜早朝などアクセスが少ない時間帯に診断を実施するケースが一般的です。

また、診断中は通常よりも多くのアクセスログやアラートが発生します。これらが通常業務に影響しないよう、事前に運用チームと情報共有しておくことが重要です。

IPAの「ペネトレーションテスト実施ガイドライン」では、実施前にリスク評価と影響度分析を行うことが推奨されています。最悪の場合、サービス停止のリスクもゼロではないため、事前に経営層の承認を得ておくことが重要です。

まとめ

この記事では、ペネトレーションテストの実施期間について解説しました。重要なポイントは以下の3つです。

• 全体スケジュールは準備期間も含めて把握する：契約から報告書納品まで、トータルで1.5-2か月程度の期間を見込む必要があります。実際の診断作業だけでなく、事前準備や報告書作成にも相応の時間がかかることを理解しておきましょう。
• 企業規模に応じた実施期間の目安を参考にする：小規模企業で3-5営業日、中規模企業で5-10営業日、大規模企業で10-20営業日以上が一般的です。自社のシステム規模や複雑さに応じて、適切な期間を確保することが重要です。
• 事前準備が期間短縮の鍵：システム構成図やアクセス権限などの情報を事前に整備し、社内調整を早めに進めることで、予定通りの期間で完了させることができます。業務への影響を最小限に抑えるための実施時間帯の調整も忘れずに行いましょう。

ペネトレーションテストは、単に「セキュリティの穴を見つける作業」ではなく、企業全体のセキュリティ体制を強化する重要な取り組みです。適切な期間を確保し、計画的に進めることで、より効果的な診断結果を得ることができます。実施を検討されている方は、まず信頼できるベンダーに相談し、自社に最適なスケジュールを検討してみてはいかがでしょうか。