脆弱性診断のサービスレベルの違いとは?基本・標準・プレミアムの比較

脆弱性診断の見積もりを取ったとき、「基本プラン」「標準プラン」「プレミアムプラン」といった選択肢を提示されて、どのプランを選べばよいか迷った経験はありませんか。実は、これらのサービスレベルには診断範囲・手法・報告内容に大きな違いがあります。本記事では、各サービスレベルの具体的な違いを分かりやすく解説し、中小企業が自社に適したプランを選ぶための判断基準を提示します。

脆弱性診断のサービスレベル4つの分類と特徴

脆弱性診断サービスは、提供される診断内容によって大きく4つのレベルに分類されます。それぞれの特徴を理解することが、適切なプラン選択の第一歩です。

基本プラン(エントリー)：自動ツール中心の診断

基本プランは、自動診断ツールを使用した機械的なスキャンが中心となります。既知の脆弱性データベース(CVEなど)に登録されている一般的な脆弱性を検出することに特化しており、短時間かつ低コストで実施できる点が特徴です。

具体的には以下のような診断が行われます。

SQLインジェクションやクロスサイトスクリプティング(XSS)などの基本的な脆弱性チェック
使用しているソフトウェアのバージョン確認と既知脆弱性の照合
一般的な設定ミスの検出(デフォルトパスワード、ディレクトリリスティングなど)

IPA(情報処理推進機構)の統計によると、基本プランで検出される脆弱性は全体の約60%程度とされています。初めて診断を受ける企業や、公開情報が少ない単純なWebサイトに適しています。

標準プラン(スタンダード)：自動診断と手動診断の組合せ

標準プランでは、自動ツールによる診断結果を専門技術者が手動で検証します。ツールでは検出できないビジネスロジックの問題や、誤検知の排除、実際に悪用可能かの確認を行います。

診断内容は以下のように拡張されます。

自動診断で検出された脆弱性の実証(PoC:Proof of Concept)
権限管理の不備や認証バイパスなど、ロジック上の問題点の確認
セッション管理やファイルアップロード機能の詳細検査
OWASP Top 10の主要項目に対する網羅的チェック

手動検証により誤検知が減り、実際に対応が必要な脆弱性を正確に把握できるため、多くの企業で推奨される標準的なサービスレベルです。

プレミアムプラン(エンタープライズ)：高度な手動診断と攻撃シナリオ

プレミアムプランは、熟練したセキュリティエンジニアによる高度な手動診断が中心となります。実際の攻撃者が用いる手法を想定した多段階の攻撃シナリオを実施し、複合的な脆弱性の組合せによるリスクを評価します。

診断内容には以下が含まれます。

複数の脆弱性を組み合わせた攻撃チェーン(Attack Chain)の検証
APIやモバイルアプリとの連携部分の詳細診断
ゼロデイ攻撃を想定した未知の脆弱性探索
内部ネットワークへの侵入可能性の評価(ペネトレーションテスト)
経営層向けリスク評価レポートの作成

金融機関や大手EC事業者など、高度な攻撃に対する防御が求められる企業に適したサービスレベルです。

【比較表】各サービスレベルの主な違い

項目	基本プラン	標準プラン	プレミアムプラン
診断手法	自動ツールのみ	自動+手動検証	高度な手動診断中心
診断項目数	約50-100項目	約100-200項目	200項目以上+カスタム
診断期間	1-3日	5-10日	2週間以上
料金目安	20-50万円	50-150万円	150万円以上
報告書	脆弱性リスト	詳細レポート+改善提案	経営層向け+技術詳細
再診断	オプション	1回含む	複数回含む

各サービスレベルに適した企業と診断内容の詳細

自社に適したサービスレベルを選ぶためには、企業規模やシステムの重要度、リスク許容度を考慮する必要があります。

基本プランが適している企業と注意点

基本プランは以下のような企業に適しています。

初めて脆弱性診断を実施するスタートアップや小規模事業者
個人情報や決済機能を扱わないコーポレートサイト
既に標準プラン以上で診断を受けた経験があり、定期的な簡易チェックが目的

ただし、基本プランには重要な制約があります。実際の攻撃者が狙う「ビジネスロジックの脆弱性」や「権限管理の不備」は検出できないケースが多いのです。

実例として、ある中小EC事業者が基本プランで診断を受けた際、自動ツールでは「問題なし」と判定されました。しかしその後、標準プランで再診断したところ、会員情報の不正閲覧が可能な権限管理の不備が発見されました。この事例は、初回診断で基本プランを選ぶリスクを示しています。

標準プランが最も推奨される理由

標準プランは、コストとセキュリティ品質のバランスが最も優れているため、多くの企業に推奨されます。特に以下の企業には標準プランが適しています。

会員登録機能や問い合わせフォームがあるWebサイト
顧客データベースを持つ業務システム
年商1億円以上の企業や従業員50名以上の組織

NISC(内閣サイバーセキュリティセンター)の調査によると、中小企業で実際に被害が発生した脆弱性の約75%は、標準プラン相当の診断で検出可能だったとされています。

標準プランでは、技術者による手動検証により以下が可能になります。

誤検知(False Positive)の排除による正確な脆弱性把握
実証コード(PoC)による悪用可能性の確認
優先度付けされた改善提案と具体的な修正方法の提示

プレミアムプランが必要な企業の条件

プレミアムプランは、以下のような高度なセキュリティ要求がある企業に必要です。

クレジットカード情報や医療情報など機微情報を扱う事業者
上場企業やその子会社で、情報漏洩が経営リスクに直結する組織
金融庁やPCI DSSなど、外部監査でプレミアム相当の診断が求められる企業

プレミアムプランの特徴は、複数の脆弱性を組み合わせた攻撃シナリオの検証にあります。例えば、XSSとCSRF(クロスサイトリクエストフォージェリ)を組み合わせることで、単独では低リスクとされる脆弱性でも、重大な情報漏洩につながるケースがあります。

【よくある誤解】基本プランでも十分という考え方のリスク

「うちは小さな会社だから基本プランで十分」という判断は、リスクを過小評価している可能性があります。IPAの「中小企業の情報セキュリティ対策ガイドライン」では、初回診断は標準プラン以上を推奨しています。

その理由は以下の通りです。

中小企業でも個人情報保護法の対象であり、漏洩時の法的責任は同じ
サプライチェーン攻撃の踏み台として狙われるリスクが増加
被害発生時の損害額は、診断費用の数十倍から数百倍に達する

適切なサービスレベル選択は、「コスト削減」ではなく「リスクマネジメント」の観点で判断すべきです。

サービスレベルで変わる4つの重要ポイント

脆弱性診断のサービスレベルが変わると、具体的にどのような違いが生まれるのでしょうか。特に重要な4つのポイントを解説します。

①診断手法(自動/手動)の違いが検出精度に与える影響

自動診断ツールは効率的ですが、検出できる脆弱性には限界があります。IPA「ウェブサイトの脆弱性診断」ガイドラインによると、自動ツールの検出率は約60-70%とされています。

手動診断が必要な典型例は以下です。

会員の権限によって表示内容が変わる機能(自動ツールは1アカウントでしか確認できない)
複数ステップにわたる処理フロー(決済処理など)
JavaScriptによる動的なDOM操作(SPAなど)

標準プラン以上では、こうした自動ツールでは見逃される脆弱性を人間の目で確認します。

②診断項目数と網羅性の違い

OWASP(Open Web Application Security Project)が公開している「Top 10」は、Webアプリケーションで最も危険な脆弱性のリストです。各サービスレベルでの対応状況は以下の通りです。

基本プラン：OWASP Top 10の主要3-5項目程度をカバー
標準プラン：OWASP Top 10の全項目+独自チェック項目を追加
プレミアムプラン：OWASP全項目+業界特有のリスク+ゼロデイ探索

診断項目数が多いほど、見落としのリスクが減少します。

③報告書の詳細度と改善提案の質

診断後に提供される報告書の内容も、サービスレベルで大きく異なります。

報告書の内容	基本プラン	標準プラン	プレミアムプラン
脆弱性リスト	○	○	○
リスク評価(CVSS)	△(簡易)	○(詳細)	○(カスタム)
改善方法の提示	×	○(技術者向け)	○(技術者+経営層向け)
修正コード例	×	△(一部)	○(全て)
経営リスク評価	×	×	○

基本プランでは「この脆弱性があります」という指摘のみですが、標準プラン以上では具体的な修正方法や優先順位が示されます。プレミアムプランでは、経営層向けに「情報漏洩時の損害額試算」「法的リスクの評価」なども含まれます。

④再診断とアフターサポートの範囲

脆弱性を修正した後の「再診断」の有無も重要なポイントです。

基本プラン：再診断は別途費用(5-10万円程度)
標準プラン：1回の再診断が含まれる(修正確認)
プレミアムプラン：複数回の再診断+改善支援コンサルティング

IPAの調査では、初回診断で発見された脆弱性の約30%は、修正時に新たな問題が発生するとされています。再診断が含まれるプランを選ぶことで、修正の完全性を担保できます。

自社に適したサービスレベルの選び方

最後に、自社に最適なサービスレベルを選ぶための具体的な判断基準を提示します。

システムの重要度で判断する3つの基準

以下のチェックリストで、自社システムの重要度を評価してください。

個人情報を扱うか：氏名・メールアドレス・住所などを保存している → 標準プラン以上
決済機能があるか：クレジットカード情報や銀行口座情報を扱う → プレミアムプラン推奨
業務システムか：社内の基幹システムや顧客管理システム → 標準プラン以上

これらの条件に1つでも該当する場合、基本プランでは不十分と考えるべきです。

予算と診断頻度のバランスを考える

セキュリティ予算が限られている場合、以下のような段階的アプローチが現実的です。

初回(1年目)：標準プランで徹底的に診断し、現状を正確に把握
2回目以降(2年目-)：大規模な改修がない場合は基本プランで定期チェック
大規模改修時：再度標準プラン以上で全体診断

「毎年標準プラン」よりも、「初回標準+以降基本」の組合せの方が、長期的なコストパフォーマンスが高いとされています。

初回診断では標準プラン以上を選ぶべき理由

初めて脆弱性診断を受ける場合、標準プラン以上を強く推奨します。その理由は以下の通りです。

システム構築時から潜在していた脆弱性は、基本プランでは発見できない可能性が高い
初回診断で見逃した脆弱性は、次回診断まで放置されるリスクがある
手動診断による「セキュリティの考え方」を開発チームが学べる教育効果がある

JPCERT/CCの報告では、初回診断で基本プランを選んだ企業の約40%が、後に重大な脆弱性を見逃していたと判明しています。

【チェックリスト】サービスレベル選択の5つの判断基準

以下のチェックリストで、自社に必要なサービスレベルを判断してください。

個人情報や機密情報を扱う → 該当する場合：標準プラン以上
決済機能や金融取引がある → 該当する場合：プレミアムプラン推奨
過去に脆弱性診断を受けたことがない → 該当する場合：標準プラン以上
年商1億円以上または従業員50名以上 → 該当する場合：標準プラン以上
上場予定または大手企業との取引がある → 該当する場合：プレミアムプラン推奨

該当項目が3つ以上の場合、標準プラン以上が適切です。5つ全てに該当する場合は、プレミアムプランを検討してください。

まとめ

脆弱性診断のサービスレベルは、診断手法(自動/手動)・項目数・報告書の詳細度・再診断の有無で大きく異なります。重要なポイントは以下の3つです。

基本プランの制約を理解する：自動ツールのみの診断では、ビジネスロジックの脆弱性や権限管理の不備を見逃すリスクが高い
初回は標準プラン以上を選ぶ：システムの現状を正確に把握し、重大な脆弱性を見逃さないために、手動診断を含むプランが推奨される
段階的アプローチで予算最適化：初回診断後、大規模改修がない場合は基本プランへの切替を検討し、長期的なコストパフォーマンスを高める

自社のシステムが扱うデータの重要度・予算・リスク許容度を総合的に評価し、適切なサービスレベルを選択してください。判断に迷う場合は、複数のセキュリティベンダーに相談し、自社の状況に応じたプラン提案を受けることをおすすめします。

脆弱性診断のサービスレベル4つの分類と特徴

基本プラン(エントリー)：自動ツール中心の診断

具体的には以下のような診断が行われます。

SQLインジェクションやクロスサイトスクリプティング(XSS)などの基本的な脆弱性チェック
使用しているソフトウェアのバージョン確認と既知脆弱性の照合
一般的な設定ミスの検出(デフォルトパスワード、ディレクトリリスティングなど)

標準プラン(スタンダード)：自動診断と手動診断の組合せ

診断内容は以下のように拡張されます。

自動診断で検出された脆弱性の実証(PoC:Proof of Concept)
権限管理の不備や認証バイパスなど、ロジック上の問題点の確認
セッション管理やファイルアップロード機能の詳細検査
OWASP Top 10の主要項目に対する網羅的チェック

手動検証により誤検知が減り、実際に対応が必要な脆弱性を正確に把握できるため、多くの企業で推奨される標準的なサービスレベルです。

プレミアムプラン(エンタープライズ)：高度な手動診断と攻撃シナリオ

診断内容には以下が含まれます。

複数の脆弱性を組み合わせた攻撃チェーン(Attack Chain)の検証
APIやモバイルアプリとの連携部分の詳細診断
ゼロデイ攻撃を想定した未知の脆弱性探索
内部ネットワークへの侵入可能性の評価(ペネトレーションテスト)
経営層向けリスク評価レポートの作成

金融機関や大手EC事業者など、高度な攻撃に対する防御が求められる企業に適したサービスレベルです。

【比較表】各サービスレベルの主な違い

項目	基本プラン	標準プラン	プレミアムプラン
診断手法	自動ツールのみ	自動+手動検証	高度な手動診断中心
診断項目数	約50-100項目	約100-200項目	200項目以上+カスタム
診断期間	1-3日	5-10日	2週間以上
料金目安	20-50万円	50-150万円	150万円以上
報告書	脆弱性リスト	詳細レポート+改善提案	経営層向け+技術詳細
再診断	オプション	1回含む	複数回含む

各サービスレベルに適した企業と診断内容の詳細

自社に適したサービスレベルを選ぶためには、企業規模やシステムの重要度、リスク許容度を考慮する必要があります。

基本プランが適している企業と注意点

基本プランは以下のような企業に適しています。

初めて脆弱性診断を実施するスタートアップや小規模事業者
個人情報や決済機能を扱わないコーポレートサイト
既に標準プラン以上で診断を受けた経験があり、定期的な簡易チェックが目的

標準プランが最も推奨される理由

会員登録機能や問い合わせフォームがあるWebサイト
顧客データベースを持つ業務システム
年商1億円以上の企業や従業員50名以上の組織

標準プランでは、技術者による手動検証により以下が可能になります。

誤検知(False Positive)の排除による正確な脆弱性把握
実証コード(PoC)による悪用可能性の確認
優先度付けされた改善提案と具体的な修正方法の提示

プレミアムプランが必要な企業の条件

プレミアムプランは、以下のような高度なセキュリティ要求がある企業に必要です。

クレジットカード情報や医療情報など機微情報を扱う事業者
上場企業やその子会社で、情報漏洩が経営リスクに直結する組織
金融庁やPCI DSSなど、外部監査でプレミアム相当の診断が求められる企業

【よくある誤解】基本プランでも十分という考え方のリスク

その理由は以下の通りです。

中小企業でも個人情報保護法の対象であり、漏洩時の法的責任は同じ
サプライチェーン攻撃の踏み台として狙われるリスクが増加
被害発生時の損害額は、診断費用の数十倍から数百倍に達する

適切なサービスレベル選択は、「コスト削減」ではなく「リスクマネジメント」の観点で判断すべきです。

サービスレベルで変わる4つの重要ポイント

脆弱性診断のサービスレベルが変わると、具体的にどのような違いが生まれるのでしょうか。特に重要な4つのポイントを解説します。

①診断手法(自動/手動)の違いが検出精度に与える影響

手動診断が必要な典型例は以下です。

会員の権限によって表示内容が変わる機能(自動ツールは1アカウントでしか確認できない)
複数ステップにわたる処理フロー(決済処理など)
JavaScriptによる動的なDOM操作(SPAなど)

標準プラン以上では、こうした自動ツールでは見逃される脆弱性を人間の目で確認します。

②診断項目数と網羅性の違い

基本プラン：OWASP Top 10の主要3-5項目程度をカバー
標準プラン：OWASP Top 10の全項目+独自チェック項目を追加
プレミアムプラン：OWASP全項目+業界特有のリスク+ゼロデイ探索

診断項目数が多いほど、見落としのリスクが減少します。

③報告書の詳細度と改善提案の質

診断後に提供される報告書の内容も、サービスレベルで大きく異なります。

報告書の内容	基本プラン	標準プラン	プレミアムプラン
脆弱性リスト	○	○	○
リスク評価(CVSS)	△(簡易)	○(詳細)	○(カスタム)
改善方法の提示	×	○(技術者向け)	○(技術者+経営層向け)
修正コード例	×	△(一部)	○(全て)
経営リスク評価	×	×	○

④再診断とアフターサポートの範囲

脆弱性を修正した後の「再診断」の有無も重要なポイントです。

基本プラン：再診断は別途費用(5-10万円程度)
標準プラン：1回の再診断が含まれる(修正確認)
プレミアムプラン：複数回の再診断+改善支援コンサルティング

自社に適したサービスレベルの選び方

最後に、自社に最適なサービスレベルを選ぶための具体的な判断基準を提示します。

システムの重要度で判断する3つの基準

以下のチェックリストで、自社システムの重要度を評価してください。

個人情報を扱うか：氏名・メールアドレス・住所などを保存している → 標準プラン以上
決済機能があるか：クレジットカード情報や銀行口座情報を扱う → プレミアムプラン推奨
業務システムか：社内の基幹システムや顧客管理システム → 標準プラン以上

これらの条件に1つでも該当する場合、基本プランでは不十分と考えるべきです。

予算と診断頻度のバランスを考える

セキュリティ予算が限られている場合、以下のような段階的アプローチが現実的です。

初回(1年目)：標準プランで徹底的に診断し、現状を正確に把握
2回目以降(2年目-)：大規模な改修がない場合は基本プランで定期チェック
大規模改修時：再度標準プラン以上で全体診断

「毎年標準プラン」よりも、「初回標準+以降基本」の組合せの方が、長期的なコストパフォーマンスが高いとされています。

初回診断では標準プラン以上を選ぶべき理由

初めて脆弱性診断を受ける場合、標準プラン以上を強く推奨します。その理由は以下の通りです。

システム構築時から潜在していた脆弱性は、基本プランでは発見できない可能性が高い
初回診断で見逃した脆弱性は、次回診断まで放置されるリスクがある
手動診断による「セキュリティの考え方」を開発チームが学べる教育効果がある

JPCERT/CCの報告では、初回診断で基本プランを選んだ企業の約40%が、後に重大な脆弱性を見逃していたと判明しています。

【チェックリスト】サービスレベル選択の5つの判断基準

以下のチェックリストで、自社に必要なサービスレベルを判断してください。

個人情報や機密情報を扱う → 該当する場合：標準プラン以上
決済機能や金融取引がある → 該当する場合：プレミアムプラン推奨
過去に脆弱性診断を受けたことがない → 該当する場合：標準プラン以上
年商1億円以上または従業員50名以上 → 該当する場合：標準プラン以上
上場予定または大手企業との取引がある → 該当する場合：プレミアムプラン推奨

該当項目が3つ以上の場合、標準プラン以上が適切です。5つ全てに該当する場合は、プレミアムプランを検討してください。

まとめ

基本プランの制約を理解する：自動ツールのみの診断では、ビジネスロジックの脆弱性や権限管理の不備を見逃すリスクが高い
初回は標準プラン以上を選ぶ：システムの現状を正確に把握し、重大な脆弱性を見逃さないために、手動診断を含むプランが推奨される
段階的アプローチで予算最適化：初回診断後、大規模改修がない場合は基本プランへの切替を検討し、長期的なコストパフォーマンスを高める

脆弱性診断のサービスレベル4つの分類と特徴

基本プラン(エントリー)：自動ツール中心の診断

標準プラン(スタンダード)：自動診断と手動診断の組合せ

プレミアムプラン(エンタープライズ)：高度な手動診断と攻撃シナリオ

【比較表】各サービスレベルの主な違い

各サービスレベルに適した企業と診断内容の詳細

基本プランが適している企業と注意点

標準プランが最も推奨される理由

プレミアムプランが必要な企業の条件

【よくある誤解】基本プランでも十分という考え方のリスク

サービスレベルで変わる4つの重要ポイント

①診断手法(自動/手動)の違いが検出精度に与える影響

②診断項目数と網羅性の違い

③報告書の詳細度と改善提案の質

④再診断とアフターサポートの範囲

自社に適したサービスレベルの選び方

システムの重要度で判断する3つの基準

予算と診断頻度のバランスを考える

初回診断では標準プラン以上を選ぶべき理由

【チェックリスト】サービスレベル選択の5つの判断基準

まとめ

エンタープライズセキュリティ相談

関連記事

脆弱性診断で相見積もりを取る正しい方法｜3社比較で最適な業者を選ぶ

脆弱性診断の費用対効果を計算する方法｜投資対効果を数値で示すテクニック

脆弱性診断を発注するまでの社内承認手順｜スムーズに進める7ステップ

脆弱性診断のサービスレベル4つの分類と特徴

基本プラン(エントリー)：自動ツール中心の診断

標準プラン(スタンダード)：自動診断と手動診断の組合せ

プレミアムプラン(エンタープライズ)：高度な手動診断と攻撃シナリオ

【比較表】各サービスレベルの主な違い

各サービスレベルに適した企業と診断内容の詳細

基本プランが適している企業と注意点

標準プランが最も推奨される理由

プレミアムプランが必要な企業の条件

【よくある誤解】基本プランでも十分という考え方のリスク

サービスレベルで変わる4つの重要ポイント

①診断手法(自動/手動)の違いが検出精度に与える影響

②診断項目数と網羅性の違い

③報告書の詳細度と改善提案の質

④再診断とアフターサポートの範囲

自社に適したサービスレベルの選び方

システムの重要度で判断する3つの基準

予算と診断頻度のバランスを考える

初回診断では標準プラン以上を選ぶべき理由

【チェックリスト】サービスレベル選択の5つの判断基準

まとめ

エンタープライズセキュリティ相談

関連記事

脆弱性診断で相見積もりを取る正しい方法｜3社比較で最適な業者を選ぶ

脆弱性診断の費用対効果を計算する方法｜投資対効果を数値で示すテクニック

脆弱性診断を発注するまでの社内承認手順｜スムーズに進める7ステップ