失敗しない脆弱性診断業者の選び方｜8つのチェックポイントで見極める

「脆弱性診断を依頼したいけど、業者が多すぎてどこを選べばいいかわからない」「安い業者に頼んだら、形だけの診断で終わってしまわないか不安」――このような悩みを抱えている方は少なくありません。実際、業者選定を誤ったために重大な脆弱性を見逃され、後に情報漏洩事故につながったケースも存在します。この記事では、脆弱性診断業者を選ぶ際に確認すべき8つのチェックポイントを具体的に解説し、自社に最適なパートナーを見極めるための判断基準を提供します。

脆弱性診断業者選びで失敗する3つのパターン

まず、よくある失敗パターンを知ることで、同じ轍を踏まないようにしましょう。経済産業省の「サイバーセキュリティ経営ガイドライン」でも、適切な業者選定の重要性が強調されています。

パターン1：価格だけで選んで精度不足

「相見積を取ったら、A社は50万円、B社は20万円。安いB社に決めよう」――このような判断をした結果、診断精度が著しく低く、重要な脆弱性を見逃された事例があります。

ある中堅EC事業者では、価格重視で選定した診断業者が自動ツールのみで診断を実施し、SQLインジェクションの脆弱性を見逃しました。その後、第三者による攻撃を受け、約15万件の顧客情報が流出。損害賠償や信用失墜による損失は、診断費用の数百倍に達しました。

価格差には必ず理由があります。診断工数、診断員のスキル、手動検査の有無などを確認せずに価格だけで判断するのは危険です。

パターン2：診断範囲が不明確で漏れ

契約時に診断範囲を明確にしなかったため、重要なシステム部分が診断対象外だったというトラブルも頻発しています。

• 「ログイン後の管理画面は含まれていなかった」
• 「APIエンドポイントは別料金だと後から判明」
• 「スマートフォンアプリは診断対象外だった」

特に注意が必要なのは、「除外項目」の確認です。多くの業者は標準的な診断範囲を提示しますが、自社システムの構成によっては重要部分が含まれていない可能性があります。見積段階でシステム構成図を共有し、診断範囲を明確にすることが不可欠です。

パターン3：報告書が読めず対策不能

診断は実施したものの、報告書が専門用語だらけで理解できず、結局対策を講じられなかったという失敗例もあります。

脆弱性診断の目的は「脆弱性を発見すること」だけでなく、「発見した脆弱性を修正できる形で報告すること」にあります。IPAの「脆弱性対策情報データベース」によれば、報告書には以下の情報が含まれるべきとされています：

• 脆弱性の内容と深刻度（CVSS値等）
• 攻撃シナリオの具体例
• 修正方法の提案
• 緊急度の評価

これらが欠けている、あるいは技術的すぎて理解できない報告書では、診断費用が無駄になってしまいます。

【8つのチェックポイント】業者選定の具体的な確認項目

それでは、失敗を避けるための具体的なチェックポイントを見ていきましょう。これらは見積依頼時や商談時に必ず確認すべき項目です。

①診断手法（ツール/手動の比率）

自動ツールと手動検査の組み合わせ比率は、診断品質を左右する最重要項目です。

自動ツールは効率的ですが、誤検知（存在しない脆弱性を報告）や見逃し（実在する脆弱性を検出できない）のリスクがあります。一方、手動検査は時間がかかりますが、ビジネスロジックの欠陥や複雑な脆弱性を発見できます。

確認すべき質問例：

• 「自動ツールと手動検査の比率はどのくらいですか？」
• 「どのような自動ツールを使用していますか？」
• 「手動検査では具体的にどのような項目を確認しますか？」

目安として、自動ツール60%・手動検査40%以上の割合であれば、バランスが取れていると言えます。

②診断員の保有資格・経験年数

診断品質は診断員のスキルに大きく依存します。以下の資格保有者が在籍しているか確認しましょう：

• 情報処理安全確保支援士（登録セキスペ）：国家資格
• CEH（Certified Ethical Hacker）：国際的なペネトレーションテスト資格
• CISSP（Certified Information Systems Security Professional）：セキュリティ専門家の上位資格
• GIAC認定資格：実践的なセキュリティスキルを証明

また、実務経験年数も重要です。最低でも3年以上、できれば5年以上の経験者が診断を担当することが望ましいでしょう。「担当する診断員の経験年数を教えてください」と直接質問することをおすすめします。

③診断範囲と除外項目の明確化

見積段階で以下を明文化してもらいましょう：

• 診断対象のURL・IPアドレス・ページ数
• 診断対象のアプリケーション機能（ログイン、決済、管理画面等）
• 除外項目（診断しない部分）
• 診断項目の一覧（OWASP Top 10準拠等）

特に、「標準診断に含まれない項目」を明示してもらうことが重要です。多くの業者は標準プランを用意していますが、自社システムの重要部分が含まれていないケースがあります。

システム構成図やネットワーク図を共有し、「この部分は診断対象に含まれますか？」と具体的に確認しましょう。

④報告書のサンプル確認

契約前に報告書のサンプルを見せてもらうことを強く推奨します。報告書の質は業者によって大きく異なります。

確認すべきポイント：

• 読みやすさ：専門用語だけでなく、平易な説明があるか
• 深刻度の明示：CVSS値やリスクレベルが記載されているか
• 再現手順：脆弱性を再現できる具体的な手順があるか
• 修正方法の提案：単なる指摘だけでなく、対策方法が示されているか
• 優先順位：どの脆弱性から対応すべきか明確か

良い報告書は、技術者でなくても概要を理解でき、技術者には詳細な情報を提供できる構成になっています。サンプルを見て「これなら自社で対応できる」と感じられるかが判断基準です。

⑤再診断・フォロー体制の有無

診断後のサポート体制も重要な比較ポイントです。以下を確認しましょう：

• 再診断の条件：脆弱性修正後の再診断は無償か、有償か
• 質問対応：報告書の内容について質問できる期間・回数
• 修正支援：修正方法のアドバイスは受けられるか
• 緊急対応：診断中に重大な脆弱性が見つかった場合の連絡体制

特に初めて脆弱性診断を実施する場合、診断後のサポートが手厚い業者を選ぶことで、確実に改善につなげることができます。一部の業者では、修正後の再診断（1回）が標準サービスに含まれている場合もあります。

⑥情報管理体制（秘密保持）

脆弱性診断では、システムの内部構造や機密情報にアクセスする可能性があります。情報管理体制が整っているかは必須確認事項です。

• **ISMS認証（ISO/IEC 27001）**の取得有無
• プライバシーマークの取得有無
• **秘密保持契約（NDA）**の締結
• 診断データの保管期間・削除方法
• 診断員の教育体制

診断報告書には自社システムの脆弱性が記載されるため、報告書自体が攻撃者にとって価値ある情報になります。業者がどのように報告書を管理・保護しているかを確認しましょう。

⑦実績・業界対応実績

自社の業種や規模に近い診断実績があるかは重要な判断材料です。業種によって注意すべき脆弱性や規制要件が異なるためです。

例えば：

• 金融業：金融庁のガイドライン、FISC安全対策基準への対応
• 医療業：個人情報保護法、医療情報システムの安全管理ガイドライン
• EC業：PCI DSS（カード情報セキュリティ基準）への対応
• 製造業：制御系システム（ICS/SCADA）の診断経験

商談時には「当社と同じ業種での診断実績はありますか？」「その際にどのような脆弱性が多く見つかりましたか？」と質問し、業界特有のリスクへの理解度を確認しましょう。

⑧費用の内訳と相場感

脆弱性診断の費用は、診断対象の規模や範囲によって大きく変動します。費用の内訳を明示してもらい、相場と比較することが重要です。

一般的な費用相場（2024年時点）：

確認すべき費用項目：

• 診断工数（人日計算）
• 使用するツールのライセンス費用
• 報告書作成費用
• 再診断費用（含まれるか別料金か）
• 交通費・出張費等の実費

極端に安い見積には必ず理由があります。「なぜこの価格なのか」を納得できるまで説明してもらいましょう。

業者タイプ別の特徴と向き不向き

脆弱性診断業者は大きく4つのタイプに分類できます。それぞれの特徴を理解し、自社に合ったタイプを選びましょう。

大手セキュリティベンダー系

特徴：

• 豊富な実績とブランド力
• 高度な技術力と多様な診断メニュー
• 手厚いフォロー体制
• 費用は比較的高額（100万円以上が多い）

向いている企業：

• 大規模システムや複雑な構成を持つ企業
• 金融・医療など高度なセキュリティが求められる業種
• コンプライアンス対応で監査証跡が必要な企業

注意点：費用対効果を慎重に検討する必要があります。小規模システムでは過剰投資になる可能性もあります。

診断専門会社

特徴：

• 脆弱性診断に特化した技術力
• 柔軟な対応とカスタマイズ性
• 費用は中程度（50万円〜200万円程度）
• 中小企業向けプランが充実

向いている企業：

• 中堅・中小企業
• 初めて脆弱性診断を実施する企業
• 特定の診断項目に絞った診断を希望する企業

注意点：業者によって技術力にばらつきがあるため、実績や資格保有状況をしっかり確認する必要があります。

クラウド型自動診断サービス

特徴：

• 低価格（月額数万円〜）
• 継続的な診断が可能
• 自動ツール中心のため手軽
• 手動検査は限定的または別料金

向いている企業：

• 定期的な診断を低コストで実施したい企業
• 開発段階での簡易チェックとして活用したい企業
• まずは自動診断で概要を把握したい企業

注意点：自動ツールのみでは検出できない脆弱性が多数存在します。重要システムの場合は、定期的に手動診断を併用することを推奨します。

総合ITベンダー系

特徴：

• システム開発から運用まで一貫対応
• 既存の取引関係を活かせる
• 診断後の改修対応もスムーズ
• 脆弱性診断が専門ではない場合もある

向いている企業：

• システム開発を委託しているベンダーがある企業
• 診断後の改修まで一括で依頼したい企業

判断ポイント：開発元に診断を依頼する場合、「お手盛り診断」になるリスクがあります。客観性を担保するため、診断は別の専門業者に依頼し、改修のみ開発元に依頼する方法も検討しましょう。

見積依頼時に確認すべき5つの質問

実際に見積を依頼する際、以下の質問をすることで業者の対応力と誠実さを見極めることができます。

診断範囲と工数の根拠

質問例：「この見積の工数はどのように算出されましたか？診断範囲を増やした場合、どのくらい費用が変わりますか？」

工数の算出根拠を明確に説明できる業者は信頼できます。「一式○○万円」のような不明瞭な見積は要注意です。診断対象の画面数、機能数、サーバ台数などから具体的に工数を説明してもらいましょう。

また、後から診断範囲を追加したい場合の追加費用の目安を聞いておくことで、柔軟性を確認できます。

診断ツールと手動検査の割合

質問例：「自動ツールと手動検査の比率はどのくらいですか？使用するツールの名称を教えてください」

この質問への回答で、業者の技術的な透明性がわかります。具体的なツール名（例：Burp Suite、OWASP ZAP、Nessus等）を挙げられる業者は信頼性が高いと言えます。

また、「100%自動ツールです」という回答は要注意です。前述の通り、自動ツールだけでは検出できない脆弱性が多数存在します。

報告後のサポート内容

質問例：「報告書について質問できる期間はどのくらいですか？修正後の再診断は含まれていますか？」

診断後のサポート範囲は業者によって大きく異なります：

• 無償サポート：報告後1ヶ月間の質問対応、再診断1回無料など
• 有償サポート：質問対応は別料金、再診断も追加費用など

初めて診断を実施する場合、サポートが手厚い業者を選ぶことで、確実に改善につなげられます。見積書にサポート内容が明記されているか確認しましょう。

緊急時の連絡体制

質問例：「診断中に重大な脆弱性が見つかった場合、どのように連絡してもらえますか？」

優れた業者は、診断中に緊急度の高い脆弱性（CVSSスコア9.0以上等）を発見した場合、報告書提出前に速報で連絡してくれます。

また、連絡手段（電話、メール、チャット等）や対応可能時間帯も確認しましょう。24時間対応が必要かは自社の運用体制によります。

過去の誤検知率・見逃し率

質問例：「過去の診断で、誤検知や見逃しが発生したことはありますか？その際どう対応しましたか？」

これは少し難易度の高い質問ですが、誠実な業者であれば正直に答えてくれます。「誤検知ゼロ」「見逃しゼロ」という業者は逆に信頼できません。

重要なのは、問題が発生した際の対応姿勢です。「誤検知が判明した場合は速やかに訂正報告書を提出します」「見逃しが発覚した場合は無償で再診断します」といった具体的な対応方針を持っている業者を選びましょう。

IPAの調査によれば、自動ツールのみの診断では**誤検知率が30-40%、見逃し率が20-30%**に達するケースもあります。手動検査を組み合わせることで、これらを大幅に低減できます。

まとめ

この記事では、失敗しない脆弱性診断業者の選び方として、8つのチェックポイントと具体的な確認方法を解説しました。重要なポイントは以下の3つです。

• 価格だけで判断しない：診断品質（手動検査の割合、診断員の資格・経験）を重視し、適正価格を見極める
• 診断範囲を明確にする：見積段階でシステム構成図を共有し、診断対象と除外項目を文書化する
• 報告書とサポートを確認：サンプル報告書で読みやすさを確認し、診断後のフォロー体制を明確にする

業者選定では、複数社から見積を取り比較検討することをおすすめします。最低でも3社に見積依頼し、提案内容・費用・対応力を総合的に判断しましょう。また、初めて脆弱性診断を実施する場合は、小規模な範囲から始めて業者との相性を確認し、満足できれば本格的な診断を依頼する段階的アプローチも有効です。

「完璧な診断」は存在しませんが、適切な業者選定によって重大なリスクを大幅に低減できます。この記事で紹介した8つのチェックポイントを活用し、自社に最適なパートナーを見つけてください。