セキュリティ向上の一環として、脆弱性診断を実施したいと考える企業は増えています。脆弱性診断の実施時には費用相場を確認し、どの程度のコストがかかるのかを事前に明確にし予算を確保しておくことがポイントの1つです。本記事では脆弱性診断における費用相場の目安について、Webアプリケーション診断の費用体系をご紹介するとともに委託時のサービスの選び方・注意点を解説します。
脆弱性診断の費用について
Webアプリケーションに限らず、脆弱性診断の実施時には費用感を確認しておくことが重要です。どの程度のコストがかかるのかが分かっていれば、計画的に脆弱性診断を実施できます。以下では、脆弱性診断の費用について解説します。
脆弱性診断の費用は数十万〜数百万と幅広い
脆弱性診断の費用の幅は広く、診断対象システムの規模や機能数などの要因により数十万〜数百万程度と金額は変わります。そのため、脆弱性診断を実施する際には、事前に見積もりを取って詳細を確認しておく必要があります。
また、「ツール診断」を利用するか、「手動診断」を利用するかでも、脆弱性診断の費用感は大きく異なります。「ツール診断」と「手動診断」の違いや特徴を把握しておくことも、脆弱性診断を選ぶ上で必要な知識と言えるでしょう。
ツール診断の費用相場
脆弱性診断でツール診断を実施する際の費用は、無料から数十万円程度となっています。簡易的なツールを使用する場合には、無料で済むケースもあります。費用がかかっても数十万円程度であるため、手動の診断と比較すると、低コストで利用可能です。そのためコストを重視する際には、ツール診断の活用も検討されます。
手動診断の費用相場
脆弱性診断における手動診断の費用相場は、数十万〜数百万円程度です。実際に診断する対象の規模や、機能の数によって、費用感が大きく異なります。ツール診断と違い、ツールと併用で人の手を使って細かな点まで診断するため、費用は大きくなりやすい傾向にあります。その分、ツール診断と比較して、診断の精度が高いこと、網羅的に診断が可能であること、結果レポートがわかりやすく丁寧であること、などのメリットがあります。
脆弱性診におけるツール診断の特徴
脆弱性診断でツール診断を検討する際には、その特徴を把握しておくことが必要です。以下では、脆弱性診におけるツール診断の特徴について解説します。
ツールを使った診断を行う方法
ツール診断とは、その名のとおり専用のツールを用いた診断方法です。Webアプリケーションを対象とするWeb診断、プラットフォームを対象としたプラットフォーム診断など、診断対象ごとに複数の診断ツールがあります。
脆弱性診断にかかる手間・時間を削減できる
専用ツールを使うことで、脆弱性診断にかかる手間・時間を削減できます。手軽に脆弱性診断ができる点は、ツール利用のメリットの1つです。一方でツールだけでは細かな点まで診断ができない場合があり、検知漏れが発生したり、本来は脆弱性ではないのに脆弱性であるとした誤検知が発生する、などの可能性があります。そのため、より正確な診断を実施目的とする場合には、手動での診断実施を推奨します。
脆弱性診における手動診断の特徴
続いてツール診断にはない手動診断ならではの特徴を、以下で解説します。
専門家のスキルを活用する方法
手動診断とは、専門家の診断スキルを活用する診断方法です。ツール診断と比較して、より精緻な診断が可能である点がメリットです。専門家の知見を活かせるため、診断結果に対してどのような対策を取るべきなのかの結果レポートも、ツールのアウトプットと比較して一般的に丁寧に記載されていることが期待できます。
自社の開発者が診断結果とその対策を参考にすることで、セキュリティレベルの向上につなげられる点も魅力です。
診断結果が出るまである程度の時間が必要
手動診断は、診断結果が出るまである程度の時間が必要になります。診断によって脆弱性が発見された場合には、対策にかける時間も必要になります。製品のリリース日が決まっている場合には、リリース日から診断と対策に必要な期間を逆算して、早めに依頼する必要があるでしょう。また年度末にかけては、どのベンダーも依頼が殺到しがちで、一般的に混み合う傾向があり、希望の時期に稼働の空きがなく断られてしまうようなケースもあります。そこで、診断時期については、ある程度余裕を持って対策ができるよう、計画的なスケジューリングをしておくことが重要です。
脆弱性診断の費用はどのように算出されている?
脆弱性診断の費用相場を確認する上で、脆弱性診断の費用体系も把握しておいた方がよいでしょう。ここでは脆弱性診断の中でも最もよく実施されている、Webアプリケーション脆弱性診断の費用を一般的にどのように算出しているのかご紹介します。
リクエスト数ベースで費用を決めているケースが多い
Webアプリケーション脆弱性診断では、リクエスト数ベースで費用を決めているベンダーが多いです。診断対象のリクエスト数が増えるほど、診断コストも高くなります。そこで脆弱性診断の予算を検討する際には、リクエスト数を参考にするのがよいでしょう。リクエスト数を自社で確認できない場合には、ベンダーに相談するとよいでしょう。見積もりの際におおよそのリクエスト数を確認するベンダーが多いので、見積と一緒に概算リクエスト数も教えてもらえる可能性があります。
「リクエスト数」で全体の価格が決定する
リクエストとは、一般的にページ遷移1回・命令文1回で区切られる単位です。具体的には「ユーザー側の操作により表示内容が変わる動的箇所=リクエスト」と考えられます。「リクエスト数 × 1リクエストの診断単価」で、費用が決まります。
動的箇所が多く含まれるページと、そうでないページがあるため、ページ数とリクエスト数は一概に比例するわけではありません。コーポレートサイトなど、ユーザーが操作できない、いわゆる静的ページが多いサイトの場合、比較的低コストで診断可能です。一方、ユーザが操作できるページの多いサイト、例えば会員登録機能があり、ユーザ側で登録した情報を操作することができるようなサイトは比較的高コストになりやすい傾向があります。
一般的に1リクエストあたりの相場は、数万円程度であることが多いです。
診断の範囲によって費用は変わる
診断の範囲によっても、費用相場は変化します。広い領域を診断する場合には、多額の費用がかかることもあります。診断したい範囲が明確になっていないと、予想以上の費用がかかる可能性もあります。事前に診断対象となる範囲をある程度決めたうえで見積もりを取ることで、診断費用を予測しやすくなります。
見積を取ってはじめて、対象範囲すべてを診断実施することが難しいことが分かるケースもあるかと思います。その場合は、診断ベンダーと調整の上、優先的な箇所に絞って診断を実施するケースもあります。
診断後のアフターフォローの有無も費用に関係する
診断後のアフターフォローによっても、費用が変動するケースがあります。アフターフォローに費用がかかる場合もあるため、標準サービスに含まれる内容を確認したうえで契約・診断を行う必要があります。アフターフォローが充実しているほど安心して利用できますが、費用が高くなるケースもあるため予め確認しましょう。
なお、「Proactive Defense」では、診断後のQA対応を無償で実施しています。診断後にお困りのことがあれば、コストを気にせずお気軽にご相談いただけます。
脆弱性診断は無料でもできる?
脆弱性診断の方法によっては、無料で実施できるケースもあります。以下では、脆弱性診断を無料で行う方法を解説します。
無料ツールを使った診断も可能
脆弱性診断ツールには、無料で使えるものもあります。簡易的に診断するだけなら、まずは無料ツールを試してみるのもよいでしょう。ですが、無料の診断ツールを使っただけでは、セキュリティチェックが充分できたとの判断はできません。より正確かつ安全性の高い診断を実施するには、手動診断を実施いただくのがおすすめです。
無料ツールの内容を分析する専門家が必要
無料ツールを使った場合、その結果を自社で分析する必要があります。自社にセキュリティの専門家などがいない場合、別途費用をかけて外注しなければならないケースもあるでしょう。専門家の依頼時に、あらためて診断が必要になることもあります。無料ツールを使った診断結果が参考にならない可能性も、考慮しておく必要があるでしょう。
脆弱性診断を外部サービスに委託する際のポイント
脆弱性診断を実施する際には、専門の外部サービスに委託するのが一般的です。では、どのような企業に依頼すべきなのかの判断基準はどうすれば良いでしょうか。以下では、脆弱性診断を外部サービスに委託する際の選定ポイントについて解説します。
見積もりをしたうえで利用するサービスを選択する
まずは脆弱性診断サービスを提供する企業に連絡を取り、見積もりを行ってどの程度の費用がかかるのか確認します。複数のサービスを比較し、納得のいく費用感のものを選ぶのが基本的な流れです。複数のサービスから見積もりを取ることで、自社のシステムを診断する際の費用感がみえてきます。ある程度費用の目安を立て予算化しておくことで、計画的な脆弱性診断が可能となるでしょう。
ツール診断と手動診断の両方を利用できるサービスを選ぶ
脆弱性診断サービスによっては、ツール診断のみしか取り扱っていないケースもあります。より正確な診断をしたいのなら、ツールを用いた手動診断を実施しているサービスを選ぶことがおすすめです。手動診断では、より細かい部分まで確認することができ、脆弱性を見逃すリスクを最小限に抑えられます。
診断水準を参考にする
診断水準の高さも、サービスを選ぶ際の参考となります。例えば「Proactive Defense」では、高度認定資格である「GIAC資格」の取得者が在籍する、最高技術レベルのチーム体制で診断を実施しています。提供するWebアプリケーション脆弱性診断サービスはIPAが発表している「安全なWebサイトの作り方」と経済産業省「情報システムモデル取引・契約書<追補版>」をベースとした、「IPA基準:22項目診断」「経済産業省基準:31項目診断」があります。
1機能ごと診断した結果を診断員が実際に検証し、真の脆弱性かどうかを判断するプロセスを採用しています。1,000サイトを超える導入実績もあるため、「Proactive Defense」であれば安心して脆弱性診断をご利用いただけます。
脆弱性診を提供する企業の実績を確認しておく
脆弱性診断を提供する企業の実績を確認し、信頼できるか把握しておくのも重要です。実績が多い企業ほど、診断結果に対する高い成果に期待できます。逆に実績の少ない企業や、具体的な診断方法などが確認できないサービスは、安心して任せられない可能性があります。公式ホームページを確認し、どの程度の実績があるのかを把握したうえで依頼するか判断すると良いでしょう。
脆弱性診断を実施する際の注意点
脆弱性診断を実施する際には、いくつか注意点があります。以下では、脆弱性診断を行う際の注意点について解説します。
脆弱性診断は定期的な実施が必要
脆弱性診断は、1回やればいいというものではありません。安全なセキュリティ環境を維持するのなら、機能改修を行った際には診断を実施することを推奨しております。どのくらいのペース、あるいはどのような改修を実施した際に診断をするべきか、あらかじめ決めてルール化しておくことも必要です。
予算を明確に決めておく
脆弱性診断にかけられる予算を明確にし、その範囲内でできることを確認します。予算が明確になっていれば、具体的にどこまで診断ができるのか把握しやすくなります。脆弱性診断の依頼時に予算を提示し、ベンダーに相談するのもよいでしょう。必要に応じて予算の増額が可能なのかを、社内で話し合っておくのも準備の一環になります。
脆弱性診断の際には「Proactive Defense」にお問い合わせください
「Proactive Defense」では診断対象に応じ各種診断サービスを提供し、環境に合わせた柔軟な脆弱性診断を実施しています。実際にサイトを数多く制作してきた開発ベンダーであるため、過去のノウハウを活かした丁寧な対応が可能です。
Webサイトの現状と問題点を分かりやすく把握できるレポートの提供や、発見した脆弱性への具体的な対策も提案できます。プロの知見を持つセキュリティチームメンバーが記述するため、読みやすく理解しやすいレポートを作成可能です。脆弱性診断を計画する際には、ぜひ「Proactive Defense」にお問い合わせください。
まとめ
脆弱性診断の実施時には、ある程度費用について考えておく必要があります。費用相場を確認し、コスト面を考慮して診断の計画を立てることがポイントです。まずは脆弱性診断における費用相場を確認し、どのくらいのコストをかけるべきなのか把握してみてください。脆弱性診断の実施時には、費用だけでなく信頼できるベンダーに依頼することも重要です。
「Proactive Defense」では、高度な診断スキルを持つセキュリティチームでサービス提供しています。手動による丁寧な検証を実施しているため、高い診断水準を実現しています。まずは「Proactive Defense」の特徴をご覧いただき、お気軽にお見積もりについてご相談ください。
