脆弱性診断の見積もり比較で見るべき10のポイント｜安さだけで選ぶと失敗する理由

脆弱性診断サービスの見積もりを複数社から取得したものの、価格が2倍、3倍と大きく異なり、どの業者を選べばよいのか悩んでいませんか。安い見積もりに惹かれながらも「本当に大丈夫だろうか」と不安を感じている方は少なくありません。実は、見積もりの価格差には明確な理由があり、安さだけを基準に選んでしまうと、重大な脆弱性を見逃すリスクがあります。この記事では、脆弱性診断の見積もりで確認すべき10のチェックポイントと、適正価格の見極め方を詳しく解説します。

脆弱性診断の見積もりで価格差が生まれる3つの理由

同じ「脆弱性診断」という名称のサービスでも、見積もり金額に大きな差が生まれるのには理由があります。まずは、価格差の背景にある3つの要因を理解しておきましょう。

診断範囲・対象の違い

見積もりの価格差で最も大きな要因となるのが、診断の範囲と対象の違いです。例えば、Webアプリケーション診断の場合、診断対象となるURLやページ数、フォーム数によって工数が大きく変わります。

A社の見積もりが50万円、B社が150万円という場合、以下のような違いがある可能性があります。

• A社：トップページと主要5ページのみを診断対象
• B社：全ページ（50ページ以上）と管理画面を含む包括的な診断

また、診断対象のIPアドレス数、サーバー台数、ネットワーク機器の数なども価格に直結します。見積もり書に「診断対象：Webサイト一式」とだけ書かれている場合は要注意です。具体的な対象範囲が明記されていない見積もりは、後から「これは含まれていません」というトラブルの原因になります。

診断手法の違い

脆弱性診断には大きく分けて自動診断と手動診断の2つの手法があり、どちらを採用するかで費用が大きく変わります。

自動診断は、専用ツールを使って既知の脆弱性を機械的にスキャンする手法です。短時間で広範囲をカバーできる反面、ツールでは検出できない複雑な脆弱性（ビジネスロジックの欠陥など）は見逃す可能性があります。費用は比較的安価で、数万円から数十万円程度です。

一方、手動診断は、セキュリティエンジニアが人の目で一つひとつの機能を検証していく手法です。自動診断では見つからない脆弱性も発見できますが、専門家の工数がかかるため費用は高額になります。一般的には数十万円から数百万円の範囲です。

高品質な診断サービスでは、自動診断と手動診断を組み合わせたハイブリッド診断を採用しています。自動診断で全体をスキャンした後、重要な機能については手動で詳細に検証するという方法です。この場合の費用は、自動診断のみよりは高額になりますが、手動診断のみよりはコストを抑えられます。

報告書の詳細度の違い

診断後に提出される報告書の内容と詳細度も、価格差の要因です。簡易的な報告書では「〇〇の脆弱性が見つかりました」という結果だけが記載されますが、詳細な報告書では以下のような情報が含まれます。

• 脆弱性の詳細な説明と技術的な背景
• 攻撃者が悪用した場合の具体的な影響範囲
• 再現手順（どのような操作で脆弱性を確認したか）
• リスクレベルの評価（CVSS等の基準に基づく）
• 具体的な修正方法と推奨対策
• 参考資料やセキュリティ基準の引用

開発チームが実際に修正作業を進める際には、詳細な報告書が不可欠です。「SQLインジェクションの脆弱性あり」とだけ書かれていても、どこをどう直せばよいのかわかりません。IPAの「脆弱性対策の効果的な進め方」でも、診断結果の報告には再現手順と対策方法の明示が推奨されています。

報告書作成の工数が多いほど費用は上がりますが、その分、実務での活用度も高まります。

見積もり比較で確認すべき10のチェックポイント

価格差の理由を理解したら、次は具体的に見積もりのどこを見れば良いのかを確認しましょう。以下の10項目をチェックすることで、適正な見積もりかどうかを判断できます。

①診断対象範囲の明確化

見積もり書で最も重要なのが、診断対象範囲が具体的に記載されているかです。以下の情報が明記されているか確認してください。

• 対象となるURL、ドメイン、IPアドレスのリスト
• 診断するページ数、画面数、フォーム数
• 対象となるサーバー台数、ネットワーク機器の種類と数
• 診断対象外となる範囲（例：本番環境は対象外、テスト環境のみなど）

「Webサイト全体」「システム一式」といった曖昧な表現ではなく、「トップページを含む20ページ、会員登録フォーム1件、ログイン機能1件」のように具体的に記載されているかが判断基準です。

②診断項目・脆弱性基準

どのような脆弱性を検査するのか、診断項目が明示されているかを確認しましょう。国際的に認知されている基準としては、OWASP Top 10（Webアプリケーションの代表的な脆弱性トップ10）があります。

見積もり書に「OWASP Top 10に準拠」「JPCERT/CCガイドラインに基づく」などの記載があれば、一定の基準に沿った診断が実施されることがわかります。また、以下のような具体的な項目が列挙されているかもチェックポイントです。

• SQLインジェクション
• クロスサイトスクリプティング（XSS）
• 認証・セッション管理の不備
• アクセス制御の不備
• セキュリティ設定の不備

診断項目が不明確な見積もりは、後から「この脆弱性は診断範囲外でした」と言われるリスクがあります。

③診断手法の明示

自動診断のみか、手動診断を含むかが明記されているかを確認してください。理想的な見積もりには以下のように記載されています。

• 自動診断ツールによる全体スキャン：〇時間
• 手動診断（重要機能の詳細検証）：〇人日
• 診断手法の割合（例：自動70%、手動30%）

「脆弱性診断」とだけ書かれていて手法の記載がない場合は、業者に問い合わせて確認しましょう。自動診断のみの場合、費用は安くなりますが、検出精度には限界があることを理解しておく必要があります。

④診断担当者の資格・実績

診断を実施するエンジニアの資格や実績が記載されているかも重要なポイントです。セキュリティ診断には専門的な知識とスキルが求められるため、以下のような資格保有者が担当するかを確認してください。

• CEH（Certified Ethical Hacker）：国際的に認知されたハッキング技術の資格
• 情報処理安全確保支援士（旧セキュリティスペシャリスト）：日本の国家資格
• CISSP（Certified Information Systems Security Professional）：情報セキュリティの国際資格

また、「〇〇業界での診断実績〇〇件」「〇〇年の診断経験」といった実績情報があれば、信頼性の判断材料になります。資格や実績の記載がない見積もりは、経験の浅いエンジニアが担当する可能性もあるため注意が必要です。

⑤診断期間・工数

診断にかかる期間と工数（人日）が適切かを確認しましょう。人日とは、1人が1日作業した場合の工数単位です。例えば「5人日」であれば、1人が5日間作業するか、5人が1日作業する量を意味します。

一般的な目安として、中規模のWebアプリケーション診断であれば5〜10人日程度が標準的です。大規模なシステムや複雑な業務フローを持つアプリケーションでは20人日以上になることもあります。

逆に、診断対象が広範囲なのに「2人日」など極端に短い工数の見積もりは、自動診断のみで手を抜いている可能性があります。診断期間についても、急ぎすぎると品質が低下するため、適切な期間が確保されているか確認してください。

⑥報告書のサンプル確認

見積もりを依頼する際には、過去の診断報告書のサンプルを見せてもらうことを強くおすすめします。報告書の品質は業者によって大きく異なるためです。

良質な報告書には以下の要素が含まれます。

• エグゼクティブサマリー：経営層向けに、重要なリスクを簡潔にまとめた要約
• 詳細な脆弱性レポート：技術者向けに、発見した脆弱性ごとに詳細を記載
• 再現手順：どのような操作で脆弱性を確認したかのステップバイステップ
• リスク評価：CVSS等の基準に基づいた脆弱性の重要度評価
• 修正方法：具体的なコードの修正例や設定変更の手順

サンプルを見せてもらえない、あるいは簡易的な内容しかない場合は、報告書の品質に不安があると判断できます。

⑦再診断費用の有無

脆弱性診断で問題が発見された場合、修正後に**再診断（修正確認診断）**を実施するのが一般的です。この再診断が見積もりに含まれているか、別途費用がかかるのかを必ず確認してください。

多くの診断サービスでは、初回診断の費用に「1回の再診断を含む」としていますが、業者によっては再診断が有償の場合もあります。再診断費用が別途となっている場合、トータルコストが想定より高くなる可能性があります。

また、再診断の実施期間（初回診断から〇ヶ月以内など）や、再診断の範囲（発見された脆弱性のみか、全体を再度診断するか）も確認しておきましょう。

⑧脆弱性発覚時の対応

診断中に重大な脆弱性が発見された場合の対応手順が見積もりや契約書に記載されているかを確認してください。特に、本番環境での診断を実施する場合、システムに影響を与える可能性があります。

良質な診断サービスでは、以下のような緊急対応体制が整備されています。

• 重大な脆弱性発見時の即時連絡体制（24時間以内など）
• 診断中にシステム障害が発生した場合の対応手順
• 緊急度に応じた報告のタイムライン

これらの対応が明記されていない見積もりは、トラブル発生時の責任範囲が曖昧になるリスクがあります。

⑨守秘義務契約の内容

脆弱性診断では、企業の重要なシステム情報やセキュリティ上の弱点を業者に開示することになります。そのため、**守秘義務契約（NDA）**の内容が適切かを確認することが重要です。

特に以下の点を確認してください。

• 診断で得られたデータ（脆弱性情報、システム構成など）の取扱い方法
• 診断データの保管期間と破棄方法
• 第三者への情報開示の禁止
• 診断担当者の守秘義務の範囲

守秘義務契約が緩い、あるいは記載がない業者は、情報漏洩のリスクがあるため避けるべきです。

⑩サポート体制

診断実施後のサポート体制が整っているかも重要なチェックポイントです。診断報告書を受け取った後、以下のようなサポートがあるかを確認しましょう。

• 報告書の内容に関する質問対応（メール、電話など）
• 修正方法に関する技術的な相談
• 対策実施後のフォローアップ
• 次回診断のタイミングに関するアドバイス

診断して終わりではなく、その後の改善活動をサポートしてくれる業者を選ぶことで、セキュリティレベルの継続的な向上につながります。

安さだけで選んで失敗した3つの実例

ここからは、実際に「安さ」を優先して脆弱性診断を依頼した結果、問題が発生した事例を紹介します。価格だけで判断することのリスクを理解していただければと思います。

事例①：自動診断のみで重大な脆弱性を見逃し

あるEC事業者が、費用を抑えるために自動診断ツールのみを使用する格安の診断サービスを選択しました。診断費用は15万円と相場の半額以下でしたが、診断後に重大な問題が発覚しました。

診断では「問題なし」という結果が出たにもかかわらず、数ヶ月後に外部のセキュリティ研究者から「会員情報が漏洩する可能性のあるSQLインジェクションの脆弱性がある」との指摘を受けたのです。

再度、手動診断を含む詳細な診断を別業者に依頼したところ、自動診断では検出できない複雑なSQLインジェクションの脆弱性が複数発見されました。結果として、追加の診断費用と緊急のシステム改修費用で、合計200万円以上のコストが発生しました。

この事例では、自動診断ツールが既知のパターンには対応していたものの、カスタマイズされた業務ロジック内の脆弱性を見逃していたことが原因でした。

事例②：報告書が簡易すぎて対応不可

ある製造業の企業が、コスト重視で選んだ診断サービスでは、報告書が極めて簡易的でした。報告書には「クロスサイトスクリプティング（XSS）の脆弱性あり」「SQLインジェクションのリスクあり」といった結果だけが記載され、具体的な場所や修正方法は一切書かれていませんでした。

開発チームが報告書を見ても、どこをどう修正すれば良いのかわからず、結局、別の業者にコンサルティングを依頼して対策方法を教えてもらう必要がありました。追加のコンサルティング費用として50万円がかかり、当初の診断費用と合わせると、最初から詳細な報告書を提供する業者に依頼したほうが安く済んだという結果になりました。

IPAの「脆弱性対策の効果的な進め方」でも、診断報告書には「再現手順」と「具体的な対策方法」の記載が推奨されています。簡易的な報告書では、せっかく診断を実施しても実際の改善につながらないのです。

事例③：再診断が有償で追加費用発生

ある金融関連企業が、見積もり段階で「再診断費用」について確認しなかったため、後から追加費用が発生した事例です。

初回診断では複数の脆弱性が発見され、開発チームが修正作業を実施しました。修正完了後、業者に再診断を依頼したところ、「再診断は別料金です」と言われ、初回診断費用の50%にあたる追加費用が請求されました。

さらに、再診断でも一部の修正が不十分だったため、2回目の再診断が必要になり、さらに追加費用が発生しました。結果として、初回の見積もり金額の2倍近いコストがかかってしまいました。

この事例では、契約時に「再診断1回を含む」条件の業者を選んでいれば、追加費用を抑えられたはずです。見積もり段階で再診断の取扱いを必ず確認することの重要性を示しています。

適正価格の相場と診断サービスの選び方

これまでのポイントを踏まえて、適正価格の相場と、自社に合った診断サービスを選ぶための判断基準を解説します。

Webアプリ診断の価格相場

Webアプリケーション診断の費用は、診断対象の規模や複雑さによって変動しますが、一般的な相場は以下のとおりです。

また、診断対象にログイン機能、決済機能、個人情報の取扱いなどが含まれる場合は、リスクが高いため診断工数が増え、費用も上がります。逆に、静的なコーポレートサイトなど機能が少ないサイトは費用を抑えられます。

プラットフォーム診断の価格相場

サーバーやネットワーク機器を対象としたプラットフォーム診断（インフラ診断）の費用相場は、対象となるサーバー台数やネットワーク構成によって変動します。

クラウド環境（AWS、Azure等）の診断の場合は、設定の複雑さによって費用が変動します。また、診断実施時に本番環境への影響を避けるための準備作業（テスト環境の構築など）が必要な場合は、その分の費用も考慮してください。

見積もり取得時の質問リスト

業者に見積もりを依頼する際、以下の質問をすることで、見積もりの妥当性を判断しやすくなります。

• 診断対象の範囲を具体的に教えてください（ページ数、URL、サーバー台数など）
• 自動診断と手動診断の割合はどのくらいですか
• 診断項目はOWASP Top 10に準拠していますか
• 診断担当者の資格や実績を教えてください
• 診断期間と工数（人日）の内訳を教えてください
• 報告書のサンプルを見せていただけますか
• 再診断は何回まで含まれていますか
• 診断中に重大な脆弱性が見つかった場合の対応手順を教えてください
• 診断後のサポート体制について教えてください
• 守秘義務契約の内容を確認させてください

これらの質問に対して明確に答えられる業者は、信頼性が高いと判断できます。逆に、曖昧な回答しかできない業者は避けたほうが無難です。

複数社比較の判断基準

複数社から見積もりを取得した場合、以下の判断基準で総合的に評価してください。

価格だけで選ばない：最も安い見積もりが必ずしも最適とは限りません。診断の範囲、手法、報告書の品質を総合的に判断しましょう。

診断内容の網羅性：自社が求める診断項目がすべて含まれているかを確認してください。安い見積もりは診断範囲が狭い可能性があります。

担当者の専門性：資格や実績が明記されている業者を優先しましょう。経験豊富なエンジニアが担当するかどうかで診断品質が変わります。

報告書の品質：サンプルを見て、自社の開発チームが実際に対策を実施できるレベルの報告書かを判断してください。

サポート体制：診断後のフォローアップがあるかどうかも重要です。継続的なセキュリティ向上には、業者との長期的な関係が役立ちます。

再診断の条件：再診断が含まれているか、追加費用がかかるかを確認し、トータルコストで比較してください。

これらの基準を使って、価格と品質のバランスが最も良い業者を選ぶことが、脆弱性診断の成功につながります。

まとめ

この記事では、脆弱性診断の見積もり比較で確認すべき10のポイントと、安さだけで選ぶリスクについて解説しました。重要なポイントは以下の3つです。

• 価格差の理由を理解する：診断範囲、診断手法、報告書の詳細度によって費用が変わることを理解し、見積もりの内訳を確認しましょう。
• 10のチェックポイントで比較する：診断対象範囲、診断手法、担当者の資格、報告書の品質、再診断の有無など、価格以外の要素を総合的に評価してください。
• 安さだけで選ばない：格安の診断サービスは、重要な脆弱性を見逃したり、報告書が不十分だったりするリスクがあります。適正価格の範囲内で、品質とサポート体制が充実した業者を選びましょう。

次のステップとしては、複数の業者に見積もりを依頼し、この記事で紹介した10のチェックポイントを使って比較検討することをおすすめします。自社のセキュリティレベルを向上させるために、適切な診断サービスを選択してください。