セキュリティ診断の費用相場――まず全体像を把握する
「セキュリティ診断を導入したいが、何から始めればよいかわからない」「複数の会社に見積もりを依頼したら金額がバラバラで困惑している」――こうした声は、セキュリティ担当者や情報システム部門の方から日常的に聞かれます。
その混乱の根本的な原因は、「セキュリティ診断」という言葉が複数のサービスを包含する総称であり、何を指しているかによって費用・内容・適したタイミングがまったく異なるためです。
2026年時点における代表的なセキュリティ診断サービスの費用相場は以下のとおりです。
診断の種類 | 対象 | 費用の目安 |
|---|---|---|
Webアプリ脆弱性診断 | Webシステム・API | 50万〜300万円 |
ネットワーク脆弱性診断 | 社内NW・サーバー群 | 30万〜200万円 |
クラウドセキュリティ診断 | AWS・Azure・GCP | 80万〜400万円 |
スマートフォンアプリ診断 | iOS・Androidアプリ | 50万〜300万円 |
ペネトレーションテスト | 上記いずれかの対象 | 150万〜1,000万円以上 |
レッドチーム演習 | 組織全体(複合攻撃) | 500万〜2,000万円以上 |
この相場はあくまで目安です。実際の費用は対象の規模・複雑さ・診断の深さ・ベンダーの専門性によって大きく変動します。本記事では、種類ごとの特徴・費用の内訳・会社選びの基準を体系的に整理します。
1. セキュリティ診断とは?脆弱性診断・ペネトレーションテストの違い
「セキュリティ診断」は複数のサービスを指す総称であり、代表的なものは脆弱性診断とペネトレーションテスト(ペンテスト)の2種類です。この2つは目的・アプローチ・費用が根本的に異なります。
脆弱性診断とは
脆弱性診断は、システムに存在するセキュリティ上の欠陥(脆弱性)を網羅的に洗い出すサービスです。自動スキャンツールと専門家による手動検証を組み合わせ、SQLインジェクション・XSS・認証不備・設定ミスなどを一覧化します。
- 目的:脆弱性の「存在」を発見・一覧化する
- アプローチ:広く浅く(網羅性重視)
- 成果物:重大度評価付きの脆弱性リスト+修正推奨
脆弱性診断はいわば「建物全体を点検して、ひび割れや施錠漏れを全部リストアップする作業」です。
ペネトレーションテストとは
ペネトレーションテストは、発見された脆弱性や攻撃者の視点から実際に侵入を試みることで、「どの経路でどこまで侵入できるか」を実証するサービスです。単に脆弱性を列挙するのではなく、攻撃シナリオに沿って侵入の可否を確認します。
- 目的:脆弱性を「実際に悪用」して侵入可能性を実証する
- アプローチ:狭く深く(侵入可能性の実証重視)
- 成果物:攻撃シナリオ・侵入ルート実証レポート
ペネトレーションテストは「建物の弱点を実際に突いて、どこまで不法侵入できるかを試す作業」に相当します。
2つの違いを整理する
比較軸 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
目的 | 脆弱性の存在を発見・一覧化 | 侵入可能性を実際に実証 |
深度 | 広く浅く(網羅性重視) | 狭く深く(実証重視) |
成果物 | 脆弱性リスト+対策推奨 | 攻撃シナリオ+侵入実証レポート |
費用 | 低〜中(数十万〜数百万円) | 高(数百万〜数千万円) |
実施頻度 | 年1〜2回 | 年1回または重大変更時 |
適したタイミング | 定期的な棚卸し・リリース前 | 重要システムの確認・高度なコンプライアンス対応 |
初めてセキュリティ診断を実施する場合は、脆弱性診断で全体の穴を把握してから、重要なシステムに対してペネトレーションテストで深掘りするというステップが費用対効果の観点から合理的です。
2. 診断の種類と費用相場
セキュリティ診断は診断対象によって種類が分かれます。各種類の内容・費用相場・適した対象を整理します。
Webアプリケーション脆弱性診断
最も需要が高いセキュリティ診断の種類です。ECサイト・社内Webシステム・SaaS・APIなどのブラウザ経由でアクセスするシステムが対象になります。OWASP Top 10をベースに、SQLインジェクション・XSS・認証バイパス・アクセス制御の不備などを検証します。
規模 | 対象ページ数の目安 | 費用目安 | 診断期間 |
|---|---|---|---|
小規模 | 〜30ページ・機能少 | 50万〜120万円 | 3〜5営業日 |
中規模 | 30〜100ページ・ログイン機能あり | 120万〜300万円 | 1〜3週間 |
大規模 | 100ページ以上・複雑なAPI群 | 300万〜800万円以上 | 3〜6週間 |
ページ数が少なくても、ログイン後の機能が複雑・APIが多い・管理画面が別途存在するなどの場合は費用が増加します。
ネットワーク脆弱性診断
社内ネットワーク・サーバー群・ネットワーク機器(ルーター・スイッチ・ファイアウォール)を対象にした診断です。外部から見えるサービスの穴(外部診断)と、内部ネットワークの設定・権限の問題(内部診断)の2種類があります。
対象 | 費用目安 | 特徴 |
|---|---|---|
外部ネットワーク診断(インターネット公開サービス) | 30万〜120万円 | 外部攻撃者視点で公開ポート・サービスを検証 |
内部ネットワーク診断(社内NW) | 80万〜200万円 | 社内侵入後の横展開・権限昇格リスクを検証 |
外部+内部(フルスコープ) | 150万〜400万円 | 侵入から機密データ到達まで一気通貫で検証 |
ホスト数・サブネット数・対象IPレンジによって費用は変動します。数十台程度の場合は低価格帯、数百台以上になると大幅に増加します。
クラウドセキュリティ診断
AWS・Azure・GCPなどのクラウド環境を対象に、設定ミス・権限過剰・IAMの弱点・ストレージの公開設定などを診断します。クラウド特有の攻撃手法(SSRF・メタデータAPI悪用・IAMロール乗っ取り)の検証も行います。
対象 | 費用目安 |
|---|---|
単一クラウドアカウント(設定・IAM中心) | 80万〜250万円 |
マルチクラウド(AWS+Azureなど) | 200万〜500万円 |
Kubernetes・コンテナ環境 | 150万〜400万円 |
クラウド+Webアプリ複合診断 | 200万〜600万円 |
クラウド診断はアカウント数・リソース数・サービス構成によって工数が変わります。マルチリージョン・マルチアカウント構成は特に工数が増加する傾向があります。
スマートフォンアプリ診断
iOS・Androidアプリのバイナリ解析・通信傍受・ローカルデータ保護・バックエンドAPIとの通信を検証します。金融・医療・フィンテック・決済系アプリで特に需要が高く、Apple・Googleのガイドラインへの準拠確認も対象になります。
対象 | 費用目安 |
|---|---|
iOS または Android(単体) | 50万〜200万円 |
iOS+Android(両プラットフォーム) | 120万〜350万円 |
APIバックエンド込みの複合診断 | 200万〜500万円 |
ペネトレーションテストの費用相場
対象種別 | 費用目安 | 特徴 |
|---|---|---|
Webアプリ ペンテスト(中規模) | 150万〜500万円 | 攻撃シナリオに基づく実証型テスト |
ネットワーク ペンテスト(外部+内部) | 200万〜800万円 | 侵入から横展開まで一気通貫 |
クラウド ペンテスト | 200万〜600万円 | IAM乗っ取り・権限昇格の実証 |
レッドチーム演習 | 500万〜2,000万円以上 | 組織全体を標的にした複合攻撃シミュレーション |
金融庁TLPT対応 | 1,000万〜3,000万円以上 | 金融機関向け高度ペネトレーションテスト |
3. 実施の流れ(見積もりから報告まで)
セキュリティ診断は単にツールを動かして終わりではなく、計画・合意・実施・報告という一連のプロセスで成立します。全体の流れを把握しておくことで、発注後のトラブルを防げます。
ステップ1:要件整理・RFP作成(発注側で実施)
診断会社への依頼前に、以下を整理します。
- 診断対象の明確化(URL・IPレンジ・ページ数・機能数・API数)
- テスト手法の方針(ブラックボックス / グレーボックス / ホワイトボックス)
- 実施環境(本番 / ステージング)
- 希望納期・報告書の要件
- 予算の上限感
スコープが曖昧なまま見積もりを依頼すると、複数社の見積もりが全く異なる前提で作成され、比較できません。
ステップ2:見積もり依頼・提案受領(1〜2週間)
RFPを複数の診断会社に送付し、費用見積もり・提案書・実績資料を受け取ります。この段階で、エンジニアの実績・資格・報告書サンプルの提示を求めることが重要です。
ステップ3:契約・事前準備(1〜2週間)
契約締結後、診断実施のための準備を進めます。
- 守秘義務契約(NDA)の締結
- テスト用アカウントの発行(認証ありの場合)
- ステージング環境の整備
- 緊急連絡先・エスカレーション手順の確認
本番環境でテストを実施する場合は、サービス停止リスクを最小化するために実施時間帯の調整も行います。
ステップ4:診断実施(1〜4週間)
診断会社のエンジニアが実際に診断を実施します。期間中、発注側の担当者への確認事項・追加情報の提供依頼が発生することがあります。原則として、診断実施中はエンジニアとの迅速な連携体制を維持してください。
ステップ5:報告書の受領・説明会(納品後1週間以内)
診断完了後、報告書が納品されます。高品質な報告書には以下が含まれます。
- エグゼクティブサマリー(経営層向け)
- 発見された脆弱性の一覧(重大度・CVSS評価付き)
- 各脆弱性の詳細説明・再現手順
- 修正方法の具体的な推奨(コード例を含む場合も)
- 修正優先度のロードマップ
報告書の説明会(デブリーフィング)では、技術的な疑問点を開発チームが直接エンジニアに確認できる機会を設けることが重要です。
ステップ6:修正対応・再診断(修正完了後)
発見された脆弱性を修正した後、修正が正しく機能しているかを確認する再診断(リテスト)を実施します。再診断が費用に含まれているかどうかは、見積もり段階で必ず確認してください。含まれていない場合、追加費用が発生します。
フェーズ | 目安期間 |
|---|---|
要件整理〜見積もり受領 | 2〜4週間 |
契約・事前準備 | 1〜2週間 |
診断実施 | 1〜4週間 |
報告書受領・説明会 | 1週間以内 |
修正対応 | 1〜4週間(修正規模による) |
再診断(リテスト) | 3〜5営業日 |
全体の目安 | 2〜3か月程度 |
サービスのリリース日や監査期日がある場合は、少なくとも3か月前から診断会社への相談を開始することが推奨されます。
4. 診断会社の選び方5つのポイント
セキュリティ診断において、費用だけでベンダーを選ぶことは非常にリスクが高い判断です。「診断済み」というステータスを得ながら実際には重大な脆弱性が残存している――という事態を防ぐために、以下の5つのポイントで評価してください。
ポイント1:診断エンジニアの資格・実績を確認する
セキュリティ診断の品質は、担当エンジニアのスキルに直結します。特に以下の資格保持者がアサインされるかどうかを確認します。
- OSCP(Offensive Security Certified Professional):ペネトレーションテストの実践的資格。世界的に信頼性が高い
- CEH(Certified Ethical Hacker):倫理的ハッキングの国際資格
- CISSP(Certified Information Systems Security Professional):情報セキュリティの包括的資格
- IPA 情報処理安全確保支援士:国内の公的資格
また、自社と同規模・同業種での診断実績を提示できるかどうかも重要な判断材料です。「金融機関への診断実績あり」と「一般企業数十社」では、担当エンジニアのスキルセットが異なります。
ポイント2:診断手法とOWASP準拠を確認する
信頼できる診断会社は、OWASP Testing Guide・OWASP Top 10・PTES(Penetration Testing Execution Standard)などの国際的な標準に準拠した手法を採用しています。
「どのような手法で診断を実施しますか?」という質問に対して、具体的な手法・使用ツール・カバーするカテゴリを説明できない会社は要注意です。
また、ツール診断のみで実施するか、マニュアル診断(専門家による手動検証)を組み合わせるかも確認します。OWASP Top 10の1位「アクセス制御の不備」は自動スキャナーではほぼ検出できないため、マニュアル診断が含まれているかどうかは品質を左右する重要な要素です。
ポイント3:報告書のサンプルを事前に確認する
診断の最終成果物は「報告書」です。サンプルの提示を求め、以下の観点で評価します。
高品質な報告書の特徴:
- 経営層向けサマリーと技術者向け詳細の両方が含まれる
- 各脆弱性の重大度評価(CVSSスコアなど)が明記されている
- 再現手順・スクリーンショット・パケットキャプチャなど証拠が添付されている
- 具体的な修正方法・修正コードの例が記載されている
- 修正優先度のロードマップが示されている
低品質な報告書の特徴:
- 脆弱性の名称と重大度しか記載されていない
- 自動スキャンツールの出力をそのまま貼り付けている
- 修正方法が「最新のパッチを適用してください」程度の記述にとどまっている
報告書の品質が低い場合、開発チームは「何をどう修正すればいいか」を把握できず、結果として脆弱性が放置されます。
ポイント4:アフターフォロー対応の範囲を確認する
診断後のサポート体制が費用に含まれているかどうかは、見積もり段階で必ず明確にします。
- 修正後の再診断(リテスト)が費用に含まれているか
- 報告書に関する技術的な質問対応の期間・窓口
- 開発チームへの技術サポート(修正方法の詳細説明)の有無
診断報告書の納品で業務終了という会社では、修正作業中に生じる疑問点への対応が有償になるケースが多く、結果的に費用が膨らみます。
ポイント5:情報管理体制・守秘義務を確認する
セキュリティ診断では、対象システムの詳細な情報・脆弱性の内容・ソースコードや設計書などの機密情報を取り扱います。以下を確認します。
- NDА(守秘義務契約)の締結が診断開始前に実施されるか
- 診断データの保管・廃棄方針が明文化されているか
- 診断を担当するエンジニアのバックグラウンドチェック体制
- クラウド上での情報共有が発生する場合の暗号化・アクセス制限
5. 実施タイミングと頻度
セキュリティ診断は「いつ実施するか」も費用対効果に大きく影響します。適切なタイミングを逃すと、診断後すぐに新たな脆弱性が混入するという状況になりかねません。
必須の実施タイミング
リリース前(新規サービス・大規模改修後) Webサービスや社内システムのリリース前は、最もセキュリティ診断の効果が高いタイミングです。リリース後に脆弱性を発見・修正するよりも、リリース前に対処する方がコストが低く、ダメージを未然に防げます。
大規模な機能追加・アーキテクチャ変更後 認証機能の変更・決済機能の追加・クラウドへの移行など、セキュリティ上の影響が大きい変更後は再診断が必要です。過去に「診断済み」であっても、アーキテクチャが変わった部分は再評価が必要になります。
コンプライアンス要件への対応時 PCI DSS・ISO 27001・金融庁のサイバーセキュリティガイドライン・業界固有の規制対応で診断が義務付けられている場合は、要件に定められたスケジュールで実施します。
インシデント後の確認 不正アクセス・情報漏洩・マルウェア感染などのインシデント後は、侵入経路の特定と残存する脆弱性の確認のために診断が必要です。この場合はフォレンジック調査と組み合わせることも多いです。
推奨される実施頻度
対象システム | 推奨頻度 |
|---|---|
外部公開のWebアプリ(個人情報・決済情報あり) | 年1〜2回 |
社内向けWebシステム(機密情報なし) | 年1回 |
クラウド環境(AWS・Azure等) | 年1回+大規模変更後 |
ネットワーク全体 | 年1回 |
スマートフォンアプリ | メジャーアップデート毎 |
重要インフラ・金融系システム | 半年〜四半期ごと |
年1回の定期診断を基本とし、大規模な変更があったタイミングで追加診断を実施する体制が、費用と品質のバランスとして現実的です。
6. 費用対効果の考え方
セキュリティ診断の費用が「高い」と感じる場合、比較対象を「診断しなかった場合のリスク」に置いてみることが重要です。
情報漏洩が発生した場合のコスト
IPAおよび国内外の調査によると、情報漏洩インシデントが発生した場合の企業の対応コストは以下のとおりです。
費用項目 | 目安 |
|---|---|
インシデント対応・フォレンジック調査 | 500万〜3,000万円 |
影響を受けた顧客への通知・対応 | 500万〜5,000万円 |
サービス停止・機会損失 | 数千万〜数億円(規模による) |
行政対応・課徴金(個人情報保護法) | 数百万〜数千万円 |
ブランドダメージ・顧客離れ | 長期的なビジネスへの影響 |
年間100〜300万円のセキュリティ診断費用は、数千万円以上のインシデント対応コストと比較すれば、保険として合理的な投資です。
修正コストの観点
セキュリティ上の問題は、発見が遅れるほど修正コストが増加します。開発フェーズで発見された脆弱性の修正コストを「1」とすると、本番リリース後の修正コストは6〜100倍になるという研究結果(NISTほか)があります。開発工程への組み込みが最も費用対効果が高いアプローチです。
診断費用を最適化するアプローチ
- スコープを明確に絞る:「全システムを一度に診断する」よりも、リスクの高い部分から優先順位をつけて診断する方が費用対効果が高い
- 定期契約で単価を下げる:同一ベンダーへの継続発注・年間契約で単価を交渉できるケースがある
- 開発プロセスへの組み込み:セキュリティレビューを開発の一部として位置付け、大規模な事後診断の頻度を下げる
- ツール診断と専門家診断の使い分け:リスクの低いシステムにはツール診断、重要システムには専門家によるマニュアル診断という組み合わせで全体コストを抑制する
7. AEVUSのセキュリティ診断サービス
AEVUSは、Webアプリケーション・API・ネットワーク・クラウド・スマートフォンアプリを対象とした包括的なセキュリティ診断サービスを提供しています。
AEVUSが選ばれる理由
OSCP・CEH保持エンジニアによる診断 自動スキャンに依存せず、セキュリティ専門資格を持つエンジニアが手動検証を組み合わせた高精度な診断を実施します。ツールが検出できないビジネスロジックの欠陥・認可の不備・横断的権限昇格まで検証対象です。
OWASP準拠の体系的な診断手法 OWASP Testing Guide・OWASP Top 10・PETSに準拠した標準化された手法で診断を実施します。診断の網羅性と再現性を担保し、監査・コンプライアンス対応でも活用できる報告書を提供します。
開発チームが動ける報告書 経営層向けエグゼクティブサマリーから技術者向け詳細レポートまでを一つの報告書にまとめます。修正方法・コード例・再現手順を含む実用的な内容で、報告書を受け取った翌日から修正に着手できる品質を目指しています。
リテスト・アフターサポート込み 発見された脆弱性の修正後に実施するリテスト(再診断)を標準で提供します。修正方針の相談・技術的な質問対応も含めたサポート体制で、診断後の「やりっぱなし」を防ぎます。
対応している診断サービス
サービス | 対象 |
|---|---|
Webアプリケーション脆弱性診断 | Webシステム・REST API・GraphQL等 |
ネットワーク脆弱性診断 | 社内NW・公開サーバー・ネットワーク機器 |
クラウドセキュリティ診断 | AWS・Azure・GCP・マルチクラウド |
スマートフォンアプリ診断 | iOS・Androidアプリ+バックエンドAPI |
ペネトレーションテスト | Webアプリ・ネットワーク・クラウド |
レッドチーム演習 | 組織全体を標的にした複合攻撃シミュレーション |
詳しいサービス内容・事例・お見積もりは、AEVUSのセキュリティ診断サービスページをご覧いただくか、お問い合わせフォームよりご連絡ください。
よくある質問(FAQ)
Q1. セキュリティ診断と脆弱性診断は同じですか?
セキュリティ診断は複数のサービスを包含する総称です。脆弱性診断・ペネトレーションテスト・クラウドセキュリティ診断・スマートフォンアプリ診断などが含まれます。文脈によって指す内容が異なるため、ベンダーへの依頼時は「具体的に何を実施するか」を明確にすることが重要です。
Q2. 予算が限られています。何から優先すべきですか?
外部公開されているWebアプリケーション(特に個人情報・決済情報を扱うもの)の脆弱性診断を最優先にしてください。外部から攻撃者がアクセスできるシステムが最もリスクが高く、診断の費用対効果も高いです。社内限定システムや低リスクの情報のみを扱うシステムは後回しにして構いません。
Q3. セキュリティ診断はどのくらい前から準備すべきですか?
見積もり依頼から診断実施まで通常4〜8週間かかります。リリース日や監査期日がある場合は、少なくとも3か月前から準備を開始することが推奨されます。また、年度末はセキュリティ診断の需要が集中し、希望の日程が取れないケースもあります。
Q4. 診断中にシステムが停止するリスクはありますか?
適切に設計された診断は、サービス停止が発生しないよう配慮されています。ただし、DoS(サービス妨害)を意図しない診断でも、リクエスト数の増加によってシステムに負荷がかかる可能性はゼロではありません。本番環境での実施を検討する場合は、ベンダーと十分に調整した上で、負荷の低い時間帯(深夜・休日)を選択することが一般的です。ステージング環境が用意できる場合は、ステージングでの実施が安全です。
Q5. 自社のセキュリティ担当者がいない場合でも依頼できますか?
依頼できます。むしろ、社内にセキュリティの専門知識がない企業ほど、外部の専門家によるセキュリティ診断の価値が高いです。ただし、発見された脆弱性の修正作業は発注側の開発チームが実施するため、修正方針の策定を支援してもらえるベンダーを選ぶことが重要です。AEVUSでは、開発チームが即座に修正に着手できる実用的な報告書の提供とアフターサポートを提供しています。
Q6. 診断費用は税務上どのように扱われますか?
税務上の扱いについては専門の税理士・会計士にご確認ください。一般的には、セキュリティ診断サービスへの支払いは業務委託費として損金算入できるケースが多いですが、契約の性質・自社の会計方針によって異なります。
まとめ
セキュリティ診断は、種類・対象・規模によって費用・内容・適したタイミングが大きく異なります。本記事のポイントを整理します。
- セキュリティ診断とは、脆弱性診断・ペネトレーションテスト・クラウド診断などを包含する総称。まず目的を明確にすることが出発点
- 費用相場は、Webアプリ診断50万〜300万円・ネットワーク診断30万〜200万円・クラウド診断80万〜400万円・ペンテスト150万〜1,000万円以上が2026年時点の目安
- 診断の流れは、要件整理→見積もり→契約・事前準備→診断実施→報告書受領→修正・再診断の順で、全体で2〜3か月程度を想定する
- 会社選びの5ポイントは、エンジニアの資格・実績、OWASP準拠の診断手法、報告書サンプルの確認、アフターフォローの範囲、情報管理体制
- 費用対効果の観点では、診断費用を「インシデント発生時の損失」と比較して判断する。年間100〜300万円の診断費用は、数千万円以上のインシデント対応コストに対する合理的な投資
セキュリティ診断は「一度やれば終わり」ではなく、システムの変化・脅威の進化に合わせて継続的に実施するものです。自社のリスクに見合ったスコープ・頻度・手法で計画的に取り組むことが、長期的なセキュリティレベルの維持につながります。
