脆弱性診断業者の実績を確認する方法｜本当に信頼できる会社の見分け方

脆弱性診断業者を選ぶ際、Webサイトに掲載された「診断実績1,000件以上」という数字だけで判断していませんか。実は診断実績の数だけでは、本当の技術力や自社システムへの適合性は見極められません。診断漏れによる情報漏洩リスクや、的外れな報告書による無駄なコストを避けるためには、実績の「質」を見抜く目が必要です。本記事では、脆弱性診断業者を選定する際に確認すべき具体的なポイントと、信頼できる会社の見分け方を解説します。

脆弱性診断業者の実績で確認すべき5つのポイント

脆弱性診断業者の実績を評価する際は、件数だけでなく以下の観点から多角的に確認することが重要です。

診断実績件数だけでなく業種・システム種別を確認

「診断実績500件」と聞くと信頼できそうに思えますが、自社の業種やシステム種別での診断経験がなければ、適切な診断が期待できない可能性があります。

たとえば、ECサイトの診断実績が豊富な業者でも、医療機関の電子カルテシステムや製造業の制御システム(OT/IoT)の診断経験がなければ、業界特有の脅威や法令要件を見落とすリスクがあります。IPAの「ウェブシステム/ウェブアプリケーションセキュリティ要件書」でも、業種ごとに求められるセキュリティ要件が異なることが指摘されています。

業者選定時には以下を確認してください：

• 自社と同じ業種での診断実績(EC、金融、医療、製造など)
• 診断対象システムの種類(Webアプリ、モバイルアプリ、API、クラウド環境など)
• 具体的な診断事例の公開(守秘義務の範囲内で)

診断士の保有資格とセキュリティ専門組織への所属

診断を実施する技術者の資格や所属組織は、技術力を客観的に証明する重要な指標です。

国際的に認められているセキュリティ資格には以下があります：

• CEH(認定ホワイトハッカー)：ペネトレーションテストの実践的スキルを証明
• CISSP(情報セキュリティプロフェッショナル認定)：セキュリティ全般の専門知識
• 情報処理安全確保支援士(登録セキスペ)：日本の国家資格
• GIAC認定資格：特定分野の高度な技術力を証明

また、日本セキュリティオペレーション事業者協議会(ISOG-J)や日本ネットワークセキュリティ協会(JNSA)などの専門組織への所属も、業界での信頼性を示す指標となります。業者のWebサイトで診断士の保有資格が明記されているかを確認しましょう。

過去の重大脆弱性検出事例の公開有無

本当に高い技術力を持つ業者は、過去に検出した重大な脆弱性の事例を公開しています(もちろん顧客名は伏せた形で)。

たとえば、「他社の自動診断では見逃されたSQLインジェクションを手動診断で発見」「ビジネスロジックの欠陥により不正送金が可能な状態だった」といった具体例があれば、実際の診断能力の証拠になります。

逆に、実績件数だけを強調して具体的な検出事例がない業者は、自動ツールの結果をそのまま報告しているだけの可能性があります。問い合わせ時に「過去にどのような重大脆弱性を発見した実績がありますか」と質問してみることをおすすめします。

継続契約率と既存顧客の声

継続契約率は、サービス品質を測る重要な指標です。顧客が毎年同じ業者に診断を依頼しているということは、診断結果や対応に満足している証拠と言えます。

可能であれば、既存顧客の声(導入事例)を確認してください。特に以下のポイントに注目します：

• 診断後のフォロー体制(改善策の相談に乗ってくれたか)
• 報告書のわかりやすさ(経営層に説明できる内容だったか)
• 診断時の業務への影響(スケジュール調整や負荷への配慮)
• 再診断時の対応(前回指摘事項の改善確認)

業者によっては顧客インタビュー動画や詳細な導入事例をWebサイトで公開しています。これらの情報から、実際のサービス品質をイメージできます。

信頼できない業者に多い3つの特徴と見分け方

残念ながら、脆弱性診断市場には技術力が不十分な業者も存在します。以下の特徴がある業者は避けた方が無難です。

診断手法や使用ツールの説明が曖昧

「最新のツールで診断します」とだけ説明し、具体的な診断手法やツール名を明かさない業者は要注意です。

信頼できる業者は、自動診断ツール(Burp Suite、OWASP ZAPなど)と手動診断の組み合わせについて明確に説明できます。たとえば、「自動ツールで既知脆弱性を網羅的に検出し、その後セキュリティエンジニアが手動で認証周りやビジネスロジックの脆弱性を確認します」といった具体的な説明ができるはずです。

逆に、診断手法の詳細を聞いても「企業秘密です」と濁すような業者は、実際には自動ツールの結果をそのまま報告しているだけの可能性が高いです。

報告書サンプルの提示を拒む

報告書のサンプル提示を拒む業者は、報告書の品質に自信がない可能性があります。

優良な業者は、守秘義務に配慮した形でサンプル報告書を提示できます。報告書の良し悪しは以下のポイントで判断できます：

• 経営層向けのエグゼクティブサマリー(経営リスクの視点)
• 技術者向けの詳細情報(再現手順・CVSS評価・改善策)
• 脆弱性の深刻度が明確(Critical、High、Medium、Lowなど)
• 改善策が具体的(「セキュリティを強化してください」ではなく、コード例や設定変更方法)

報告書サンプルを見せてもらえない場合、契約後に不満足な報告書を受け取るリスクが高いため、他の業者も検討すべきです。

診断後のフォロー体制が不明確

診断実施後のフォロー体制が曖昧な業者は避けましょう。脆弱性診断は報告書を提出して終わりではなく、その後の改善支援が重要です。

信頼できる業者は以下のフォローを提供します：

• 報告書に関する質問対応(開発チームからの技術的な質問)
• 改善策の実装相談(セキュアコーディングのアドバイス)
• 再診断の実施(脆弱性修正後の確認)
• 定期診断の提案(年1回または半年に1回)

契約前に「診断後のサポート期間」「質問対応の回数制限」「再診断の費用」を明確に確認しておくことが重要です。

極端に安い見積もりを提示

市場相場と比べて極端に安い見積もりを提示する業者は、診断範囲が制限されているか、自動ツールのみの診断である可能性があります。

たとえば、一般的なWebアプリケーション診断の相場は50万円～150万円程度ですが、20万円以下の見積もりの場合は以下を確認してください：

• 診断対象ページ数の制限(トップページと数ページのみ等)
• 手動診断の有無(自動ツールのみの可能性)
• 診断項目の制限(OWASP Top 10の一部のみ)
• 報告書の簡易化(詳細な改善策なし)

「安かろう悪かろう」で診断漏れが発生すれば、後で重大なインシデントにつながる可能性があります。価格だけでなく診断内容を総合的に評価しましょう。

業者選定時の具体的な確認方法と質問リスト

実際に業者を選定する際は、以下の方法で技術力と体制を確認してください。

初回相談時に必ず聞くべき7つの質問

初回の打ち合わせで以下の質問をすることで、業者の技術力とサービス品質を見極められます。

1. 診断を担当するエンジニアの経験年数と保有資格は何ですか：実務経験5年以上、CEH・CISSP等の資格保有が望ましい
2. 自動診断と手動診断の比率はどのくらいですか：手動診断の割合が30%以上あることが理想
3. 当社と同じ業種・システムの診断実績はありますか：具体例を聞き、類似案件の経験を確認
4. どのような診断ツールを使用しますか：ツール名を明言できることが重要(Burp Suite Pro、OWASP ZAP等)
5. 報告書にはどのような情報が含まれますか：サンプルを見せてもらい、詳細度を確認
6. 診断後のフォロー体制を教えてください：質問対応期間・再診断の有無を確認
7. 過去に発見した重大な脆弱性の事例を教えてください：具体的な事例を説明できるかがポイント

これらの質問に即答できず曖昧な回答が多い業者は、技術力や実績に不安があると判断できます。

提案書・見積書で確認すべき項目

提案書や見積書では、以下の項目が明確に記載されているかチェックしてください。

• 診断対象範囲：URL・ページ数・機能(ログイン、決済、ファイルアップロードなど)
• 診断項目：OWASP Top 10準拠か、何項目をチェックするか
• 診断手法：自動診断と手動診断の内訳
• 診断期間とスケジュール：診断実施日・報告書提出日
• 成果物：報告書の形式(PDF、Excel等)・ページ数の目安
• フォロー内容：質問対応期間・再診断の有無・追加費用

これらが曖昧な見積書は、後でトラブルになる可能性が高いため、契約前に詳細を確認しましょう。

契約前に要求すべき資料

契約前に以下の資料を要求することで、業者の信頼性をさらに確認できます。

• 会社案内・実績資料：設立年数・診断実績件数・主要顧客
• 診断士の経歴書：保有資格・実務経験年数・専門分野
• 報告書サンプル：実際の報告書イメージ(顧客名等は伏せた形)
• セキュリティポリシー：診断時の情報管理体制・秘密保持契約
• 顧客事例・導入実績：業種別の診断事例

これらの資料提供を渋る業者は、実績や体制に不安がある可能性があるため注意が必要です。

トライアル診断や一部診断の活用

初めて取引する業者の場合、トライアル診断や一部診断を依頼して品質を事前確認する方法もあります。

たとえば、本格的な診断を依頼する前に「ログイン機能のみ」や「公開ページのみ」といった限定的な範囲で診断を依頼し、以下を評価します：

• 診断の精度(誤検知が多くないか)
• 報告書の品質(わかりやすさ・具体性)
• コミュニケーション(質問対応の速さ・丁寧さ)
• スケジュール遵守(納期を守るか)

トライアル診断の結果に満足できれば、本格的な診断を依頼する流れにすることで、失敗リスクを減らせます。

【業種別】脆弱性診断で重視すべき実績の違い

業種によって求められるセキュリティ要件が異なるため、自社の業種での診断実績を重視しましょう。

EC・金融系システムの診断実績

ECサイトやオンラインバンキングなどの決済機能を持つシステムでは、PCI DSS(クレジットカード業界のセキュリティ基準)への対応経験が重要です。

確認すべきポイント：

• PCI DSS準拠診断の実績
• 決済システム特有の脆弱性(カード情報漏洩、不正決済)への理解
• 三者間通信(決済代行会社との連携)のセキュリティ診断経験
• PCI DSS認定セキュリティ評価機関(QSA)の資格保有

EC・金融系では、一般的なWebアプリ診断よりも厳格な基準が求められるため、PCI DSS対応実績のある業者を選ぶことが重要です。

医療・個人情報取扱システムの診断実績

医療機関の電子カルテや人事システムなど、個人情報を多く扱うシステムでは、法令遵守への対応力が重視されます。

確認すべきポイント：

• 個人情報保護法・医療情報システムの安全管理ガイドラインへの理解
• プライバシーマーク・ISMSの取得有無
• アクセス制御・ログ管理に関する診断経験
• 医療機関や自治体での診断実績

医療・個人情報取扱システムでは、技術的脆弱性だけでなく、法令要件への適合も診断対象となるため、専門知識を持つ業者を選びましょう。

製造業の制御システム診断実績

工場の制御システム(SCADA、PLCなど)やIoTデバイスを使用する製造業のシステムでは、OT(運用技術)セキュリティの知識が必要です。

確認すべきポイント：

• OT/IoTセキュリティ診断の実績
• 産業用プロトコル(Modbus、OPC UA等)への理解
• 製造ライン停止リスクを考慮した診断手法(非侵入型診断)
• IEC 62443(産業用制御システムのセキュリティ基準)への対応

製造業の制御システムは、一般的なIT系システムとは異なる特性があるため、OT専門の診断実績がある業者を選ぶことが重要です。

クラウドサービスの診断実績

AWS・Azure・GCPなどのクラウド環境で稼働するシステムでは、クラウド特有のセキュリティリスク(設定ミス、権限管理等)への対応が必要です。

確認すべきポイント：

• クラウド環境(AWS・Azure・GCP)の診断実績
• クラウド設定診断(IAM権限、S3バケット公開設定等)の経験
• コンテナ(Docker、Kubernetes)・サーバーレス(Lambda等)の診断対応
• CSA STAR認証やISO 27017(クラウドセキュリティ認証)の知識

クラウド環境では、アプリケーション層だけでなくインフラ層のセキュリティも重要なため、クラウドセキュリティに精通した業者を選びましょう。

まとめ

脆弱性診断業者選びでは、診断実績の件数だけでなく、以下のポイントを総合的に評価することが重要です。

• 業種・システム種別での診断実績：自社と類似の案件経験があるか
• 診断士の資格と技術力：CEH・CISSP等の国際資格や実務経験年数
• 診断手法の透明性：自動診断と手動診断の組み合わせを明確に説明できるか
• 報告書の品質：サンプル提示があり、経営層・技術者双方にわかりやすいか
• 診断後のフォロー体制：改善支援・再診断の対応があるか

初めて取引する業者の場合は、トライアル診断を活用して事前に品質を確認することもおすすめです。本記事で紹介した確認ポイントと質問リストを活用し、自社に最適な信頼できる脆弱性診断業者を選定してください。セキュリティは一度の診断で終わりではなく、継続的な改善が重要です。長期的なパートナーとして信頼できる業者を見つけることが、企業の情報資産を守る第一歩となります。