【2026年最新】脆弱性診断とは?費用相場から選び方まで完全ガイド

2025年、ある中堅企業のECサイトが不正アクセスを受け、約5万件の顧客情報が流出しました。原因は、Webアプリケーションに存在していたSQLインジェクションの脆弱性でした。この企業は「うちは小規模だから狙われない」と考えていましたが、攻撃者はシステム規模ではなく脆弱性の有無で標的を選びます。

脆弱性診断は、こうした攻撃を受ける前にシステムの弱点を発見し、対策を講じるための重要な手段です。しかし「何から始めればいいのか」「費用はどのくらいかかるのか」「どの診断会社を選べばいいのか」といった疑問を持つ担当者の方は多いのではないでしょうか。

この記事では、脆弱性診断の基礎知識から最新の費用相場、失敗しない診断会社の選び方まで、初めて診断を検討する方が知っておくべき情報を網羅的に解説します。

脆弱性診断とは？基礎知識を分かりやすく解説

脆弱性診断の定義と目的

脆弱性診断とは、WebサイトやWebアプリケーション、サーバなどのITシステムに存在するセキュリティ上の弱点（脆弱性）を発見し、その危険度を評価する診断サービスです。

診断の主な目的は以下の3点です。

• 攻撃者に悪用される前に脆弱性を発見すること
• 発見した脆弱性の深刻度を評価し、対応優先度を明確にすること
• 具体的な対策方法を提示し、セキュリティリスクを低減すること

IPA（情報処理推進機構）が発表する「情報セキュリティ10大脅威 2025」では、Webアプリケーションへの攻撃が組織の脅威として上位にランクインしています。脆弱性診断は、これらの脅威からシステムを守るための予防的対策として位置づけられています。

ペネトレーションテストとの違い

脆弱性診断とよく混同されるのがペネトレーションテスト（侵入テスト）です。両者は似ているようで、診断範囲と目的が異なります。

脆弱性診断は、システム全体に存在する脆弱性を網羅的に発見することが目的です。既知の脆弱性パターンに基づいて、できるだけ多くの弱点を洗い出します。

一方、ペネトレーションテストは、実際の攻撃者の視点で特定の目標（機密情報の奪取など）に到達できるかを検証します。発見した脆弱性を組み合わせて侵入経路を探る、より実践的なテストです。

一般的には、まず脆弱性診断で全体的な弱点を把握し、重要システムに対してペネトレーションテストを実施するという流れが推奨されます。

法令・ガイドラインとの関係

脆弱性診断は、一部の業界や取引においては実施が求められるケースがあります。

• PCI DSS：クレジットカード情報を扱う事業者に対して、年1回以上の脆弱性診断実施を要求
• 個人情報保護委員会のガイドライン：安全管理措置の一環として脆弱性診断の実施を推奨
• 経済産業省「サイバーセキュリティ経営ガイドライン」：経営者が認識すべき対策として脆弱性診断を位置づけ

法的義務がない場合でも、取引先から「セキュリティ対策の証明」として診断結果の提示を求められるケースが増えています。診断は単なるリスク対策だけでなく、ビジネス継続のための信頼獲得手段でもあります。

脆弱性診断の種類と診断内容

Webアプリケーション診断

Webアプリケーション診断は、Webサイトやクラウドサービスなど、Web経由で提供されるアプリケーションを対象とした診断です。

診断で発見される代表的な脆弱性には、以下のようなものがあります。

• SQLインジェクション：データベースへの不正操作が可能になる脆弱性
• クロスサイトスクリプティング（XSS）：悪意あるスクリプトを埋め込まれる脆弱性
• クロスサイトリクエストフォージェリ（CSRF）：利用者の意図しない操作を実行される脆弱性
• 認証・認可の不備：不正ログインや権限昇格を許す脆弱性

診断は、IPAが公開する「安全なウェブサイトの作り方」やOWASP Top 10などの基準に基づいて実施されます。診断項目数は50〜100項目程度が一般的で、画面数や機能の複雑さによって診断範囲が決まります。

プラットフォーム診断

プラットフォーム診断は、サーバやネットワーク機器、データベースなど、Webアプリケーションの基盤となるインフラを対象とした診断です。別名「インフラ診断」「ネットワーク診断」とも呼ばれます。

診断内容の例は以下の通りです。

• OSやミドルウェアの既知脆弱性の有無
• 不要なサービスやポートの開放状況
• パスワードポリシーの強度確認
• ファイアウォールやルータの設定不備

プラットフォーム診断は、Webアプリケーションがいくらセキュアでも、土台となるインフラに脆弱性があれば無意味になるため、セットで実施するケースが多くなっています。

スマホアプリ診断

スマートフォンアプリ診断は、iOS・Android向けのネイティブアプリを対象とした診断です。

スマホアプリ特有の診断項目には、以下のようなものがあります。

• アプリ内に保存されるデータの暗号化状況
• APIとの通信における暗号化と認証の実装
• アプリの逆コンパイル対策の有無
• OSの権限設定の適切性

近年、スマホアプリを通じた情報漏洩事件が増加しており、特に金融機関や医療機関のアプリでは診断実施が推奨されています。

診断手法の違い（自動/手動）

脆弱性診断には、自動診断と手動診断の2つの手法があり、多くの場合は両者を組み合わせて実施されます。

自動診断は、専用ツールを使用して既知の脆弱性パターンを網羅的にチェックします。短期間で広範囲を診断できますが、誤検知（false positive）が発生しやすく、複雑なロジックの脆弱性は見逃す可能性があります。

手動診断は、セキュリティエンジニアが実際にシステムを操作しながら脆弱性を探します。ビジネスロジックの欠陥や、ツールでは発見できない複雑な脆弱性も検出できますが、診断に時間とコストがかかります。

高品質な診断を行う会社は、自動診断で広範囲をカバーした上で、手動診断で精査を行うハイブリッド型を採用しています。

脆弱性診断の費用相場【2026年最新版】

診断種類別の価格帯

脆弱性診断の費用は、診断対象の種類や規模によって大きく異なります。以下は2026年1月時点での一般的な価格帯の目安です。

Webアプリケーション診断

• 小規模サイト（5画面程度）：30万円〜50万円
• 中規模サイト（10〜20画面）：60万円〜100万円
• 大規模サイト（30画面以上）：120万円〜200万円以上

プラットフォーム診断

• 小規模（サーバ1〜2台）：30万円〜50万円
• 中規模（サーバ5〜10台）：80万円〜150万円
• 大規模（ネットワーク全体）：200万円〜500万円以上

スマホアプリ診断

• iOS/Androidどちらか1つ：50万円〜80万円
• 両OS対応：100万円〜150万円

※あくまで目安であり、実際の費用は診断内容や診断会社によって変動します。必ず個別に見積もりを取得してください。

費用を左右する要因5つ

同じWebアプリケーション診断でも、費用が2倍以上違うケースがあります。費用差を生む主な要因は以下の5つです。

1. 診断対象の規模

画面数・機能数が多いほど診断項目が増え、費用が上昇します。ECサイトのように会員登録・決済・管理画面など複数機能を持つシステムは高額になる傾向があります。

2. 診断項目の詳細度

基本的な50項目の診断と、OWASP Top 10を網羅した100項目超の診断では、当然費用が異なります。診断会社によって標準項目が異なるため、見積もり時に確認が必要です。

3. 手動診断の比率

自動診断ツールのみで実施する場合と、手動診断を組み合わせる場合では費用が大きく変わります。手動診断が多いほど精度は上がりますが、エンジニアの工数がかかるため高額になります。

4. 再診断の有無

診断後に脆弱性を修正した際、修正が正しく行われたかを確認する再診断（リテスト）が含まれるかどうかで費用が変わります。再診断込みのプランを選ぶと安心です。

5. 診断報告書の詳細度

脆弱性の概要だけを記載した簡易レポートと、再現手順や修正方法まで詳細に記載したレポートでは、作成工数が異なります。開発チームが対応しやすい詳細レポートを選ぶべきです。

見積もり取得時の注意点

脆弱性診断の見積もりを依頼する際は、以下の点を必ず確認してください。

追加費用の発生条件を確認する

「診断中に想定外の画面が見つかった場合」「診断範囲外のシステムへの波及調査が必要になった場合」など、追加費用が発生するケースを事前に明確にしておきましょう。

診断項目の詳細を提示してもらう

「Webアプリケーション診断 一式」という曖昧な見積もりではなく、具体的にどの項目を診断するのかリストを提示してもらうことで、他社との比較がしやすくなります。

診断実施期間と納期を確認する

診断には通常1〜2週間程度かかります。報告書の提出までの期間も含めて、自社のスケジュールに合うか確認しましょう。

サポート範囲を明確にする

報告書提出後の質問対応や、修正方法の相談に対応してもらえるかどうかは、診断会社によって異なります。契約書やSLA（サービスレベル契約）で確認してください。

失敗しない脆弱性診断会社の選び方

実績・資格で確認すべきポイント

脆弱性診断会社を選ぶ際、まず確認すべきは診断実績と保有資格です。

CREST認定の有無

CREST（Council of Registered Ethical Security Testers）は、英国発祥の国際的なセキュリティ診断認定制度です。CREST認定を取得しているエンジニアがいる会社は、一定レベル以上の診断技術を保有していると判断できます。

診断実績の件数と業種

年間診断件数だけでなく、自社と同じ業種（金融・医療・ECなど）での診断実績があるかを確認しましょう。業界特有の脆弱性や規制要件に詳しい会社を選ぶことで、より実効性の高い診断が受けられます。

セキュリティ関連資格の保有状況

情報処理安全確保支援士（旧情報セキュリティスペシャリスト）や、CEH（Certified Ethical Hacker）などの資格保有者が在籍しているかも判断材料になります。

診断報告書の質を見極める

診断結果をまとめた報告書の質は、診断会社を選ぶ上で最も重要な要素の一つです。

良質な報告書の条件は以下の通りです。

• 脆弱性の再現手順が詳細に記載されている：開発チームが実際に再現し、修正できるレベルの情報
• CVSSスコアによる深刻度評価：国際標準の評価基準（CVSS）で危険度が数値化されている
• 具体的な対策方法の提示：「脆弱性あり」だけでなく、どう修正すべきかが明記されている
• 経営層向けサマリーがある：技術的な詳細とは別に、経営判断に必要な情報が整理されている

契約前に、過去の報告書サンプル（機密情報を除いたもの）を見せてもらうことをおすすめします。報告書の分かりやすさは、その後の対応スピードに直結します。

サポート体制の重要性

脆弱性診断は、報告書を受け取って終わりではありません。診断後のサポート体制も重要な選定基準です。

再診断（リテスト）の対応

脆弱性を修正した後、修正が適切に行われたかを確認する再診断に対応しているかを確認しましょう。無償で1回まで再診断を行う会社もあれば、追加費用が必要な会社もあります。

修正方法の相談対応

報告書の内容について、開発チームが質問できる窓口があるかどうかは重要です。特に社内にセキュリティ専門家がいない企業では、診断会社からのアドバイスが修正の成否を左右します。

緊急時の連絡体制

診断中に重大な脆弱性が発見された場合、速やかに連絡してもらえる体制があるかを確認しましょう。定期報告だけでなく、緊急時の連絡フローが明確な会社を選ぶべきです。

中小企業が陥りがちな選定ミス

中小企業が脆弱性診断会社を選ぶ際、よくある失敗パターンを3つ紹介します。

1. 価格の安さだけで選んでしまう

「とにかく安く診断したい」という理由で、自動診断ツールのみで実施する格安業者を選ぶケースです。結果として、重要な脆弱性を見逃し、後から被害を受けるリスクがあります。費用対効果を考え、手動診断も含むプランを選びましょう。

2. 大手だから安心と思い込む

大手セキュリティ会社だからといって、必ずしも自社に最適とは限りません。大手は大規模システムの診断に強みがある一方、中小企業向けの丁寧なサポートは得意でない場合もあります。自社の規模感に合った会社を選ぶことが重要です。

3. 診断範囲を曖昧にしたまま契約する

「Webサイト全体」という曖昧な依頼をすると、後から「この機能は対象外です」とトラブルになるケースがあります。契約前に、診断対象システム・画面・機能を明確にリスト化し、双方で合意することが不可欠です。

まとめ

この記事では、脆弱性診断の基礎知識から費用相場、診断会社の選び方まで解説しました。重要なポイントは以下の3つです。

• 脆弱性診断は予防的投資である：攻撃を受けてからでは遅く、事前に弱点を発見・対策することでリスクを大幅に低減できます
• 診断費用は規模と内容で大きく変動する：Webアプリケーション診断で30万円〜200万円と幅があるため、自社の予算と診断目的に合わせた選択が必要です
• 診断会社選びは実績と報告書の質で判断：価格だけでなく、CREST認定などの資格や、過去の報告書サンプルを確認して選びましょう

脆弱性診断は一度実施すれば終わりではなく、システム改修や新機能追加のタイミングで定期的に実施することが推奨されています。まずは現状のリスクを把握するため、複数の診断会社から相見積もりを取得し、自社に最適なパートナーを見つけることから始めてみてください。