脆弱性診断の価格内訳を詳しく解説｜何にいくらかかる?明細の見方

脆弱性診断の見積書を初めて見たとき、「基本診断料」「追加IP単価」「手動診断工数」など、聞き慣れない専門用語が並び、何にお金を払っているのか分からなかった経験はありませんか。複数社から見積もりを取ると、30万円から200万円まで価格差が大きく、どれが適正なのか判断に迷う方も多いでしょう。

本記事では、脆弱性診断の価格を決める要素を分解し、見積書の各項目が何を意味するのか、価格差が生じる理由、適正価格を見極めるチェックポイントを解説します。初めて発注する方でも見積もりの妥当性を判断できるようになります。

脆弱性診断の価格を決める4つの要素

脆弱性診断の料金は、以下の4つの要素によって決まります。それぞれの要素が価格にどう影響するのか、具体的に見ていきましょう。

診断対象の規模（IP数・URL数）

脆弱性診断の基本料金は、診断対象となるIPアドレスの数やURL数によって決まります。これは診断の作業量に直結するためです。

例えば、Webアプリケーション診断の場合、診断対象となるURL（ログイン画面、商品検索機能、決済画面など）が10個なのか、100個なのかで作業量が大きく変わります。一般的な価格の目安は以下の通りです。

• 最小構成（5URL程度）：30万円～50万円
• 中規模サイト（20URL程度）：70万円～120万円
• 大規模サイト（50URL以上）：150万円～300万円

ネットワーク診断の場合も同様で、対象となるサーバーやネットワーク機器の台数（IPアドレス数）によって料金が変動します。IPA（独立行政法人情報処理推進機構）の調査によると、中小企業のネットワーク診断では平均50～100万円程度が相場とされています。

診断手法（自動ツール/手動診断/併用）

脆弱性診断には大きく分けて3つの手法があり、どの手法を採用するかで価格と品質が大きく変わります。

• 自動ツールのみ：機械的にスキャンするため低価格（10万円～30万円）だが、誤検知や見逃しのリスクがある
• 手動診断のみ：セキュリティエンジニアが手作業で診断するため高精度だが高価格（80万円～200万円）
• 自動ツール+手動診断：効率と精度のバランスが良く、中小企業に推奨される（50万円～150万円）

手動診断の工数は「人日（にんにち）」という単位で計算され、1人日あたり5万円～8万円が相場です。例えば、10人日の手動診断が含まれる見積もりなら、手動診断だけで50万円～80万円かかることになります。

自動ツールは既知の脆弱性を効率的に検出できる一方、業務ロジックの欠陥やアクセス制御の不備など、文脈を理解しないと発見できない脆弱性は見逃す可能性があります。そのため、信頼性の高い診断では両方を組み合わせることが一般的です。

診断範囲（外部診断/内部診断/両方）

脆弱性診断には「外部診断」と「内部診断」があり、どちらを実施するかで料金が変わります。

• 外部診断：インターネット経由で外部から攻撃を試みる診断。Webサイトやメールサーバーなど外部公開しているシステムが対象（30万円～100万円）
• 内部診断：社内ネットワークに侵入した前提で、内部システムの脆弱性を調査する診断（50万円～150万円）
• 両方実施：外部と内部の両面から診断することで、より包括的なセキュリティ評価が可能（100万円～300万円）

中小企業の場合、まずは外部診断から始めるケースが多いです。外部からの攻撃を防げれば、内部への侵入リスクも減らせるためです。ただし、取引先からの要求や、個人情報を多く扱う業種では、内部診断も含めた包括的な診断が求められることがあります。

報告書のレベルと再診断・サポート費用

診断後に提出される報告書の詳細度と、脆弱性発見後のサポート内容も価格に影響します。

報告書には大きく2つのタイプがあります。

• 標準報告書：発見された脆弱性を技術的に列挙するテンプレート形式（報告書作成費：5万円～10万円）
• カスタマイズ報告書：経営層向けのリスク評価や、優先的に対応すべき項目の解説を含む（報告書作成費：15万円～30万円）

また、脆弱性を修正した後に再診断を行い、問題が解決したか確認するサービスを含む場合、追加で10万円～30万円かかることがあります。再診断が無料で含まれるプランもあるため、見積書で確認が必要です。

さらに、対面での報告会や、脆弱性の修正方法についての技術サポートが含まれる場合、別途10万円～20万円が加算されます。これらのアフターフォローが充実しているかどうかは、診断後の対応のスムーズさに直結するため、重要なポイントです。

見積書の主要項目と価格相場【明細の読み方】

実際の見積書には、さまざまな項目が記載されています。ここでは、見積書によく登場する項目の意味と、それぞれの価格相場を解説します。

基本診断料（30万円～）

基本診断料は、診断を実施するための最低限の費用です。多くの場合、以下の内容が含まれます。

• 診断計画の策定
• 診断ツールの準備・設定
• 最小構成での診断実施（5IP・5URL程度）
• 簡易報告書の作成

中小企業向けのWebアプリケーション診断では、基本診断料が30万円～50万円、ネットワーク診断では40万円～70万円が相場です。この金額には、自動ツールによる基本的なスキャンと、標準フォーマットの報告書作成が含まれるのが一般的です。

ただし、基本診断料だけで完結することは少なく、次に説明する追加項目が発生するケースがほとんどです。

追加IP・URL単価（5,000円～2万円/件）

基本診断料に含まれる範囲を超えた場合、追加IP・URL単価が発生します。これは診断対象が増えるごとに加算される従量課金の部分です。

• 追加URL単価：5,000円～1万円/URL
• 追加IP単価：1万円～2万円/IP

例えば、基本診断料が40万円（5URL含む）で、実際の診断対象が20URLある場合、15URL分の追加料金が発生します。仮に追加単価が8,000円/URLなら、15URL×8,000円＝12万円が加算され、合計52万円になります。

見積書では、基本料金に含まれる対象数と、追加単価を明確に確認することが重要です。対象範囲が曖昧なまま契約すると、後から予想外の追加請求が発生するリスクがあります。

手動診断工数（5万円～8万円/人日）

手動診断工数は、セキュリティエンジニアが手作業で診断を行う時間を「人日（にんにち）」という単位で計算したものです。1人日とは、エンジニア1名が1日（8時間）作業した場合の工数を指します。

• 1人日あたりの単価：5万円～8万円
• 中規模診断での平均工数：5～10人日

例えば、10人日の手動診断が見積もりに含まれている場合、手動診断だけで50万円～80万円かかります。手動診断は自動ツールでは検出できない複雑な脆弱性を見つけるために不可欠ですが、コストも高くなります。

見積書で「手動診断あり」と記載されていても、具体的な工数が明記されていない場合は要注意です。実際には1～2人日程度しか含まれておらず、表面的なチェックに留まる可能性があります。信頼性の高い診断では、最低でも5人日以上の手動診断が推奨されます。

報告書作成・報告会（10万円～30万円）

診断結果をまとめた報告書の作成費用と、対面やオンラインでの報告会の実施費用も見積もりに含まれます。

• 標準報告書（技術者向け）：5万円～10万円
• カスタマイズ報告書（経営層向けサマリー付き）：15万円～30万円
• 報告会・質疑応答：5万円～10万円

報告書の品質は診断後の対応に大きく影響します。単に脆弱性を列挙するだけでなく、リスクレベルの評価や、優先的に対応すべき項目が明示されているか、具体的な修正方法が記載されているかを確認しましょう。

また、報告会が含まれている場合、技術者が直接質問に答えてくれるため、報告書だけでは分からない部分を補完できます。特に初めて診断を受ける企業では、報告会付きのプランを選ぶことをおすすめします。

価格が安い診断と高い診断の違い【品質を見極める】

同じ「脆弱性診断」という名前でも、30万円の診断と150万円の診断では内容が大きく異なります。ここでは、価格差が生じる理由と品質の見極め方を解説します。

自動ツールのみ vs 手動診断併用

最も大きな価格差の要因は、自動ツールのみで診断するか、手動診断を併用するかです。

• 自動ツールのみ：機械的にスキャンするため短時間・低価格（10万円～30万円）。既知の脆弱性は効率的に検出できるが、誤検知が多く、複雑なロジックの欠陥は見逃すリスクがある
• 手動診断併用：エンジニアが実際に攻撃を試みながら診断するため、自動ツールでは発見できない脆弱性も検出可能（50万円～200万円）。誤検知も手動で確認するため信頼性が高い

IPA（情報処理推進機構）が発表した「情報セキュリティサービス基準」によると、手動診断を含む診断は自動ツールのみの診断に比べて約2～3倍の脆弱性を発見できるとされています。特に業務ロジックの欠陥やアクセス制御の不備は、手動診断でなければ発見が困難です。

ただし、自動ツールのみの診断が無意味というわけではありません。予算が限られている場合や、定期的なチェックとして利用する場合には、自動診断でも一定の効果があります。重要なのは、自社のリスクレベルに応じて適切な診断手法を選ぶことです。

テンプレート報告書 vs カスタマイズ報告書

診断後に提出される報告書の品質も、価格差に影響します。

• テンプレート報告書：発見された脆弱性を技術的に列挙するだけの標準フォーマット。修正方法は一般的な内容に留まる（報告書作成費：5万円～10万円）
• カスタマイズ報告書：経営層向けのリスク評価サマリー、業務への影響度分析、優先順位付けされた対応計画が含まれる（報告書作成費：15万円～30万円）

テンプレート報告書は低コストですが、技術知識がないと内容を理解するのが難しく、どこから手を付ければ良いのか分からないケースが多いです。一方、カスタマイズ報告書は、自社の業務環境に即した具体的な対応策が提示されるため、診断後のアクションが取りやすくなります。

初めて診断を受ける企業や、経営層への報告が必要な場合は、少し費用が高くてもカスタマイズ報告書を選ぶことをおすすめします。

診断実績・技術者資格の有無

診断を行う技術者の実績や保有資格も、価格と品質の差に影響します。

• 実績豊富な診断企業：金融機関や官公庁への診断実績があり、技術者が高度な資格（CEH、GPEN、情報処理安全確保支援士など）を保有している。料金は高めだが信頼性も高い（80万円～200万円）
• 実績の少ない診断企業：価格は安いが、技術者のスキルにばらつきがあり、見逃しのリスクがある（30万円～60万円）

見積書を比較する際は、診断を担当する技術者の保有資格や、過去の診断実績（特に同業種での実績）を確認しましょう。公式サイトに実績が掲載されていない場合は、営業担当に直接質問することをおすすめします。

再診断・脆弱性対応支援の有無

診断後のアフターフォローが含まれているかも重要なポイントです。

• 再診断あり：脆弱性を修正した後、無料または低価格で再診断を実施し、問題が解決したか確認できる
• 再診断なし：修正後の確認は自社で行う必要があり、修正が不十分だった場合のリスクが残る
• 対応支援あり：脆弱性の修正方法について技術サポートが受けられる

再診断が含まれていない場合、別途依頼すると10万円～30万円の追加費用が発生します。初めから再診断込みのプランを選ぶか、無料で1回は再診断してくれるサービスを選ぶと、トータルコストを抑えられます。

中小企業が失敗しない見積もりチェックポイント

最後に、脆弱性診断の見積もりを比較する際に、必ず確認すべきポイントをまとめます。

診断範囲が明確に記載されているか

見積書で最も重要なのは、診断対象の範囲が具体的に明記されているかです。以下の項目を確認しましょう。

• 対象となるIP数・URL数が明示されているか
• 診断対象外のシステムや機能が明確になっているか
• 追加料金が発生する条件（対象数の増加、診断期間の延長など）が記載されているか

範囲が曖昧な見積もりは、後から「これは対象外です」と追加請求される原因になります。必ず書面で診断範囲を確定させてから契約しましょう。

手動診断の工数が含まれているか

見積書に「手動診断あり」と書かれていても、実際の工数が記載されていない場合は要注意です。以下を確認してください。

• 手動診断の人日数が明記されているか（最低5人日以上が推奨）
• 手動診断を担当するエンジニアの保有資格や経験年数
• 手動診断の具体的な作業内容（ログイン後の診断、業務ロジックの確認など）

手動診断が1～2人日しか含まれていない場合、実質的には自動ツール中心の診断となり、複雑な脆弱性は見逃される可能性があります。

脆弱性発見後の対応支援が含まれているか

脆弱性診断の本当の価値は、診断後にどう対応するかにあります。以下のサポートが含まれているか確認しましょう。

• 脆弱性の修正方法について技術サポートが受けられるか
• 再診断が無料または低価格で実施されるか
• 対面またはオンラインでの報告会が含まれているか
• 修正後の疑問点について質問できる期間が設定されているか

診断だけ実施して報告書を渡されても、技術力が不足している中小企業では対応が難しい場合があります。アフターフォローが充実しているサービスを選ぶことで、実際に脆弱性を解消できる確率が高まります。

相見積もり時の比較表作成方法

複数社から見積もりを取った場合、以下のような比較表を作成すると、項目ごとの違いが一目で分かります。

この表を作成することで、単純に総額だけでなく、サービス内容の違いが明確になります。最安値のA社は手動診断が少なく再診断も有料なので、実質的にはB社やC社の方がコストパフォーマンスが良い場合もあります。

まとめ

脆弱性診断の価格は、診断対象の規模・手法・範囲・サポート内容によって30万円～300万円と大きく変動します。この記事で解説した重要なポイントは以下の3つです。

• 価格の内訳を理解する：基本診断料・追加単価・手動診断工数・報告書作成費を分けて確認し、何にお金を払っているのか把握すること
• 安さだけで選ばない：自動ツールのみの診断は低価格だが見逃しリスクがあるため、手動診断の工数が十分に含まれているか確認すること
• アフターフォローを重視する：再診断や技術サポートが含まれているサービスを選ぶことで、診断後の対応がスムーズになること

見積もりを比較する際は、総額だけでなく内訳の妥当性を判断し、自社のリスクレベルに合ったサービスを選びましょう。必要に応じて、まずは小規模な診断から始め、段階的に範囲を広げていく方法も有効です。