ペネトレーションテストの費用が「わかりにくい」理由
「ペネトレーションテストの見積もりを3社に依頼したら、50万円・200万円・800万円という3つの全く異なる金額が返ってきた」──こういった声は珍しくありません。この大きな価格差は、各ベンダーが「何をどこまでやるか」を全く異なる前提で見積もっているためです。
ペネトレーションテスト(ペンテスト)の費用は、対象システムの種別・範囲・テスト手法・報告書の深さなど複数の変数に依存します。一般的な「相場」を知るためには、まずこれらの変数を整理することが必要です。
本記事では2026年時点の国内ペネトレーションテスト費用を種別・規模別に整理し、費用を左右する要因と見積もり依頼時に確認すべきポイントを解説します。
ペネトレーションテストと脆弱性診断の違い(費用理解の前提)
費用を比較する前に、ペネトレーションテストと脆弱性診断の違いを整理します。混同して発注するとミスマッチが生じ、費用の無駄遣いになります。
比較軸 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
目的 | 脆弱性の「存在」を発見・一覧化 | 脆弱性を「実際に悪用」して侵入経路を実証 |
深度 | 広く浅く(網羅性重視) | 狭く深く(侵入可能性の実証重視) |
成果物 | 脆弱性リスト+対策推奨 | 攻撃シナリオ+侵入ルート実証レポート |
費用 | 低〜中(数十万〜数百万円) | 高(数百万〜数千万円) |
適したタイミング | 定期的な棚卸し・開発後リリース前 | 重要システムの事前確認・コンプライアンス対応 |
どちらを選ぶべきか: 多くの企業では「まず脆弱性診断で全体の穴を把握し、重要なシステムや特定の侵入シナリオについてペネトレーションテストで深掘りする」という組み合わせが最も費用対効果が高いです。
ペネトレーションテストの費用相場【2026年版・種別別】
Webアプリケーション ペネトレーションテスト
最も一般的なペンテストの対象です。ECサイト・SaaS・社内Webシステムなど、ブラウザ経由でアクセスするシステムが対象になります。
規模 | 対象ページ数の目安 | 費用目安 | 期間目安 |
|---|---|---|---|
小規模 | 〜30ページ | 30万〜80万円 | 3〜5営業日 |
中規模 | 30〜100ページ | 80万〜250万円 | 1〜2週間 |
大規模 | 100ページ以上 | 250万〜800万円以上 | 2〜4週間 |
ネットワーク ペネトレーションテスト
社内ネットワーク・DMZ・クラウド環境のネットワーク構成を対象にしたペンテストです。攻撃者が社内に侵入した後の横展開(ラテラルムーブメント)シミュレーションも含みます。
対象範囲 | 費用目安 | 特徴 |
|---|---|---|
外部からの侵入テスト(外部ネットワーク) | 50万〜200万円 | インターネット側から見た侵入可能性を検証 |
内部ネットワーク侵入テスト | 100万〜500万円 | 内部侵入後の横展開・権限昇格を検証 |
外部+内部(フル) | 200万〜800万円 | 侵入から権限昇格・機密情報取得まで全フロー実証 |
クラウド環境 ペネトレーションテスト
AWS・Azure・GCPを対象にした設定ミス・権限過剰・IAMの弱点を突くペンテストです。クラウド特有の攻撃手法(SSRF・メタデータAPI悪用・IAMロール乗っ取りなど)を検証します。
対象 | 費用目安 |
|---|---|
単一クラウドアカウント(設定・IAM中心) | 80万〜300万円 |
マルチクラウド(AWS+Azure等) | 200万〜600万円 |
Kubernetes・コンテナ環境 | 150万〜400万円 |
スマートフォンアプリ ペネトレーションテスト
iOS・Androidアプリのバイナリ解析・通信傍受・ローカルデータ保護の検証を行います。金融・医療・フィンテック系アプリで特に需要が高い分野です。
対象 | 費用目安 |
|---|---|
iOS または Android(単体) | 50万〜200万円 |
iOS+Android(両プラットフォーム) | 120万〜400万円 |
APIバックエンド込み | 200万〜600万円 |
ソーシャルエンジニアリング・フィッシングシミュレーション
技術的な脆弱性ではなく、人的な弱点を突く手法です。標的型メール・電話・物理侵入シミュレーションなどが含まれます。
手法 | 費用目安 |
|---|---|
フィッシングメール訓練(〜100名) | 10万〜30万円 |
標的型攻撃メールシミュレーション(本格型) | 50万〜200万円 |
フル Red Team演習(物理+デジタル) | 300万〜1,000万円以上 |
ペネトレーションテストの費用を左右する5つの要因
1. テストの対象範囲と明確さ
「Webサービス全体をテストしてほしい」という依頼では、ベンダーによって対象の解釈が変わります。認証前の公開ページのみか、管理画面・API・モバイルアプリも含むかで工数は倍以上変わります。スコープを明確に定義してからRFPを作成することで、見積もりの精度が上がります。
2. テスト手法(ブラックボックス / グレーボックス / ホワイトボックス)
手法 | 事前情報の提供 | 費用 | 適したケース |
|---|---|---|---|
ブラックボックス | なし(外部攻撃者視点) | 低め | 実際の攻撃者視点での検証 |
グレーボックス | 一部提供(ユーザー権限等) | 中程度 | 内部者・契約者視点での検証 |
ホワイトボックス | 全提供(設計書・コード等) | 高め | 最大網羅性・SAST連携 |
推奨: コストと効果のバランスが取れたグレーボックスが最も多く選ばれています。
3. エンジニアのスキルレベルと実績
単価の高いベンダーには、OSCP・CISSP・CEHなどの資格保持者や、特定業界(金融・医療)での実績が豊富なエンジニアがアサインされます。「安い=質が低い」とは限りませんが、報告書の品質と再現性の高さは費用に相関することが多いです。
4. 報告書の品質と再現性
「スキャンツールの自動出力をそのまま納品」するベンダーと、「エンジニアが攻撃シナリオを整理し、経営層向けサマリーから技術者向け詳細レポートまで作成」するベンダーとでは、費用も大きく異なります。監査・コンプライアンス目的での利用では、報告書の様式や内容が重要になります。
5. テスト実施環境(本番 / ステージング)
本番環境でテストする場合は、サービス停止リスクを最小化するための配慮が必要で、工数・費用が増加します。ステージング環境があれば費用を抑えられますが、本番との差異がある場合は検証の精度が下がるトレードオフがあります。
脆弱性診断とペネトレーションテストの費用比較
項目 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
中規模Webシステムの標準費用 | 50万〜200万円 | 150万〜500万円 |
実施頻度(推奨) | 年1〜2回 | 年1回または重大変更時 |
主なアウトプット | CVSS評価付き脆弱性リスト | 攻撃シナリオ・侵入実証レポート |
コンプライアンス要件対応 | PCI DSS・ISMS等の基礎要件 | 金融庁TLPT・高度なコンプライアンス要件 |
費用対効果 | 広範囲の脆弱性把握に有利 | 重要シナリオの深い検証に有利 |
見積もり依頼時に確認すべき7つのポイント
費用の比較を正確に行うために、見積もり依頼時に以下を確認・提示してください。
- テスト対象の明確化(URL・IPレンジ・ページ数・機能数)
- テスト手法の指定(ブラックボックス / グレーボックス / ホワイトボックス)
- 認証の有無とロール数(未認証・一般ユーザー・管理者など)
- 実施環境(本番 / ステージング)と希望実施期間
- 報告書の様式要件(役員向けサマリー・技術者向け詳細・英語対応等)
- 再テスト(リテスト)の費用が含まれるか
- 過去の同規模・同業種の実績・参考事例の提示依頼
これらを事前に整理してRFPに盛り込むことで、複数ベンダーの見積もりを同条件で比較できるようになります。
まとめ:ペネトレーションテストは「スコープ定義」が費用最適化の鍵
ペネトレーションテストの費用は、テスト種別・規模・手法・報告書品質によって数十万円から数千万円まで大きく変わります。「安いから良い」でも「高いから安心」でもなく、自社のリスクと目的に合った範囲で発注することが最も重要です。
初めてペンテストを発注する場合は、まず脆弱性診断で全体の穴を把握し、重要なシステムや特定の侵入シナリオに対してペネトレーションテストを実施するというステップアップが費用対効果の観点から推奨されます。
AEVUSでは、Webアプリ・API・ネットワーク・クラウドを対象としたペネトレーションテストを提供しています。「自社に合ったスコープでの見積もりが欲しい」という方はお気軽にご相談ください。
