脆弱性情報

Webアプリ脆弱性診断の費用相場と会社の選び方【2026年版】

Webアプリ脆弱性診断の費用相場と会社の選び方【2026年版】

結論から言います――脆弱性診断の費用相場

「脆弱性診断を導入したいが、費用の目安がまったくわからない」という声は非常によく聞きます。ベンダーへ見積もりを依頼する前に、まず相場感を把握しておくことが重要です。

2026年時点におけるWebアプリ脆弱性診断の費用相場は以下のとおりです。

診断種別

費用の目安

ツール診断(自動スキャン中心)

30万〜100万円前後

マニュアル診断(専門家による手動)

100万〜500万円以上

ハイブリッド診断(ツール+マニュアル)

80万〜300万円前後

ただしこれはあくまで目安であり、実際の費用はアプリケーションの規模・複雑さ・診断の深さなどによって大きく変動します。「思ったより高い」と感じた方も、「意外と安い」と感じた方も、その理由を理解することがベンダー選定の第一歩です。

本記事では費用相場の解説に加え、「安いだけで選ぶ」ことのリスクと、信頼できるベンダーを見極めるためのチェックポイントを詳しく解説します。

脆弱性診断とは何か――費用を考える前に押さえておくこと

脆弱性診断とは、WebアプリケーションやAPIなどのシステムに潜むセキュリティ上の欠陥(脆弱性)を発見するための評価サービスです。SQLインジェクション、クロスサイトスクリプティング(XSS)、認証の不備、不適切なアクセス制御など、攻撃者が悪用しうる「穴」を洗い出します。

IPAが公表する「情報セキュリティ10大脅威2026(組織編)」では、ウェブアプリケーションへの不正アクセスが依然として上位に位置しており、脆弱性診断はセキュリティ対策の基礎として多くの企業で採用されています。

診断の目的は大きく2つです。

  1. 攻撃者に悪用される前に脆弱性を発見し、修正する
  2. セキュリティ基準への適合・コンプライアンス対応を証明する(PCI DSS、個人情報保護法対応など)

ペネトレーションテストとの違いについては ペネトレーションテストと脆弱性診断の違い――どちらを選ぶべきか で詳しく解説していますので、あわせてご覧ください。

費用が変わる4つの要因

脆弱性診断の費用が幅広いのには、明確な理由があります。以下の4つの要因が費用を大きく左右します。

要因1:診断の範囲(ページ数・機能数・API数)

最もシンプルな費用決定要因は「診断するページ・機能の数」です。多くのベンダーは診断ページ数や入力フォーム数をベースに費用を算出します。

  • 小規模サイト(20〜30ページ程度):30〜80万円前後
  • 中規模Webアプリ(100ページ以上・ログイン機能・会員機能あり):100〜250万円前後
  • 大規模ECサイト・基幹システム連携あり:300万円以上も珍しくない

ただし「ページ数が少ない=安い」とは限りません。ログイン後の機能が多い、複雑なAPIが多い、管理画面が別途存在するなどの場合は、ページ数が少なくても診断の深さが増すため費用は上がります。

要因2:ツール診断かマニュアル診断(ハイブリッド)か

診断のアプローチによって費用と品質は大きく変わります。詳細は後述しますが、概括すると以下のとおりです。

  • ツール診断:自動スキャナーを使用。低コストだが見落としが多い
  • マニュアル診断:専門家が手動で検証。高コストだが精度が高い
  • ハイブリッド:ツールで大まかに洗い出し、専門家が追加検証。現在の主流

要因3:ベンダーの規模と専門性

「同じ診断なのになぜこんなに価格が違うのか」という疑問は多くの発注担当者が抱きます。その主な理由は次のとおりです。

  • エンジニアの稼働費(シニアセキュリティエンジニアvs.新人担当者)
  • 診断ツールのライセンスコスト
  • 報告書の品質・詳細さ(修正方法の具体性)
  • アフターフォロー(再診断・質問対応の有無)

大手ベンダーや専門特化型のセキュリティ会社は高コストになる傾向がありますが、それに見合った品質・サポートが伴います。

要因4:実施タイミング(緊急対応かどうか)

脆弱性が発見された直後や、サービスリリース直前の緊急依頼は、通常の2〜3倍の費用になることがあります。セキュリティ診断は「余裕を持ったスケジュール」で計画することが費用対効果を高める鉄則です。

ツール診断とマニュアル診断(ハイブリッド)の違いと向き不向き

ツール診断とは

ツール診断は、BurpSuite、OWASP ZAP、Nessusなどの自動スキャナーを使ってWebアプリをスキャンし、既知の脆弱性パターンを検出する方法です。

メリット

  • 短時間・低コストで実施できる
  • 網羅的なスキャンが可能
  • 定期実施に向いている

デメリット

  • ロジック系の脆弱性(認証の不備・権限昇格・ビジネスロジックの欠陥)を検出できない
  • 誤検知(False Positive)が多く、結果の読み解きに専門知識が必要
  • OWASP Top 10の全カテゴリを適切にカバーできない

ツール診断のみで「問題なし」という報告書をもらっても、実際には重大な脆弱性が残っている可能性があります。

マニュアル診断(ハイブリッド)とは

マニュアル診断は、セキュリティ専門家がアプリケーションの仕様・フローを理解した上で、手動でテストを実施する方法です。現在は「ツールで洗い出してから専門家が深掘り検証するハイブリッド型」が標準的なアプローチになっています。

メリット

  • ツールでは検出不可能なビジネスロジックの脆弱性を発見できる
  • 認可の不備(水平・垂直権限昇格)、APIの認証バイパスなども検証
  • 報告書の精度が高く、開発チームがすぐに修正に着手できる

デメリット

  • 費用が高い
  • 診断期間が長くなる(通常1〜3週間程度)

どちらを選ぶべきか

状況

推奨

社内ツールや低リスクのシステム

ツール診断

個人情報・決済情報を扱うWebアプリ

マニュアル診断(ハイブリッド)

PCI DSS・金融庁ガイドライン対応

マニュアル診断(ハイブリッド)

定期的なセキュリティ監視

ツール診断+年1回のマニュアル診断

APIを多用するSaaS・モバイルバックエンド

マニュアル診断(ハイブリッド)+API専門診断

API診断の詳細については API脆弱性診断とは?Webアプリ診断との違いと実施すべき理由 を参照してください。

「安い業者」を選ぶ3つのリスク

脆弱性診断において、費用だけでベンダーを選ぶことは非常に危険です。特に以下の3つのリスクを理解しておく必要があります。

リスク1:重大な脆弱性の見落とし

低価格帯の診断サービスの多くは、自動スキャンツールのみの実施です。OWASPが2021年に更新したOWASP Top 10では、「アクセス制御の不備(Broken Access Control)」が1位に位置付けられています。しかしこのカテゴリの脆弱性は、自動スキャナーではほとんど検出できません。

「診断済み」というステータスを得ながら、実際には最も危険な脆弱性が残存している――これが安い業者を選ぶ最大のリスクです。

実際、ある国内ECサービスでは、ツール診断のみで「問題なし」の報告を受けた後、3か月以内に不正アクセスによる顧客情報漏洩が発生した事例があります。事後調査でマニュアル診断を実施したところ、認可の不備が複数発見されました。

リスク2:報告書の品質が低く修正が進まない

脆弱性診断の最終成果物は「報告書」です。報告書の品質が低い場合、開発チームは「何をどう修正すればいいかわからない」という状況になります。

低品質な報告書の特徴:

  • 脆弱性の名称と重大度しか記載されていない
  • 具体的な修正方法が書かれていない
  • 再発防止のための推奨事項がない
  • 技術的な補足説明が不足している

高品質な報告書には、脆弱性の詳細な説明、再現手順、修正コードの例、優先度付けなどが含まれます。これが「安い」と「高い」の実質的な差であることが多いです。

リスク3:アフターフォローがない

診断後に発見された脆弱性を修正したら、その修正が正しく機能しているかを確認する「再診断(検証)」が必要です。また、報告書を読んで疑問点が生じた場合の質問対応も重要です。

低価格帯のサービスでは、診断報告書の納品で業務終了というケースが多く、修正後の確認や追加質問への対応が有償になるケースも少なくありません。

ベンダー選定チェックポイント5選

信頼できる脆弱性診断ベンダーを見極めるために、以下の5つのポイントを確認してください。

チェック1:診断エンジニアの資格・実績

担当エンジニアがOSCP(Offensive Security Certified Professional)、CEH(Certified Ethical Hacker)などの国際資格を保有しているか、または同等の実績を持つ専門家が対応するかを確認してください。「専任のセキュリティエンジニアが担当します」という表現は曖昧なため、具体的な資格・経験を問い合わせることをおすすめします。

チェック2:診断手法とOWASP準拠

OWASPのテスティングガイド(OWASP Testing Guide)やOWASP Top 10に準拠した診断を実施しているかを確認してください。国際標準に準拠した手法での診断は、品質の担保につながります。

また「ブラックボックス診断のみ」か「グレーボックス・ホワイトボックスにも対応しているか」も重要な確認事項です。ソースコードにアクセスできるホワイトボックス診断は、より深い脆弱性の発見が可能です。

チェック3:報告書のサンプルを確認する

実績ある診断ベンダーはサンプル報告書(機密情報を除いたもの)を提供できます。サンプルを見て、以下を確認してください。

  • 脆弱性の詳細説明が十分か
  • 修正方法が具体的に記載されているか
  • 技術的な根拠(CVEやOWASP参照)が示されているか
  • エグゼクティブサマリーが含まれているか(経営層への報告に使えるか)

チェック4:再診断・アフターフォロー対応

修正後の再診断が無償または明確な費用で提供されているか、質問対応の期間・窓口が明示されているかを確認してください。

診断はあくまでスタートであり、「発見→修正→確認」のサイクルを完結させることが真の目的です。この点をサポートしてくれるベンダーが信頼できるパートナーです。

チェック5:守秘義務・情報管理体制

診断対象のシステムには、機密性の高い情報が含まれます。NDA(秘密保持契約)の締結はもちろん、診断データの取り扱い方針、エンジニアのセキュリティ教育体制、クラウド上での情報保管ポリシーなどを確認してください。

診断後の対応支援の重要性

脆弱性診断は「報告書をもらって終わり」ではありません。報告書に記載された脆弱性を修正し、その修正が正しく機能していることを確認するまでが一連のプロセスです。

多くの企業が直面する課題は、「報告書に書かれていることはわかるが、どこから手をつければいいかわからない」という優先順位の問題です。

脆弱性の優先順位付け

発見された脆弱性をすべて即座に修正することは現実的ではありません。CVSS(Common Vulnerability Scoring System)スコアや、ビジネスへの影響度を考慮した優先順位付けが必要です。優れた診断ベンダーは、優先順位付けのサポートと修正計画の策定支援も提供しています。

開発チームへの技術サポート

修正方法が不明な場合の技術的な質問対応、コードレビューの支援、フレームワーク固有の対処方法のアドバイスなど、開発チームへの支援が充実しているベンダーを選ぶことで、修正までの期間を大幅に短縮できます。

再診断の実施

修正が完了したら、必ず再診断(検証)を実施してください。修正が不完全であったり、修正に伴って新たな脆弱性が生じるケースがあるためです。再診断は通常、初回診断の30〜50%程度の費用で実施できます。

AEVUS のWebアプリ脆弱性診断について

AEVUSは、Yahoo! JAPAN、Nikon、三井住友カード、森トラスト、双日など、国内大手企業への豊富な導入実績を持つセキュリティ専門ブランドです。

Webアプリ脆弱性診断サービス では、OWASP Testing Guideに準拠したマニュアル診断(ハイブリッド)を提供しており、経験豊富なセキュリティエンジニアが担当します。報告書は開発チームがすぐに修正に着手できる詳細度で作成し、修正後の再診断・質問対応も標準サポートとして提供しています。

Webアプリ脆弱性診断の費用見積もり・ご相談は サービスページ からお気軽にお問い合わせください。

よくある質問(FAQ)

Q1. 脆弱性診断は年に何回実施すべきですか?

一般的には年に1回以上の実施が推奨されています。ただし、以下のタイミングでも実施を検討してください。

  • 新機能のリリース前
  • 大規模なシステム改修後
  • 個人情報保護法・PCI DSSなどのコンプライアンス対応時
  • セキュリティインシデントの発生後

高頻度での実施が難しい場合は、年1回のマニュアル診断に加えて、定期的なツールスキャンを組み合わせる方法が効果的です。

Q2. 小規模なWebサイトでも脆弱性診断は必要ですか?

サイトの規模に関わらず、個人情報や決済情報を扱う場合は診断が必要です。特にECサイト、会員サービス、問い合わせフォームを持つサイトは攻撃者の標的になりやすいため、規模に関わらず診断の実施をおすすめします。個人情報漏洩による被害は、診断費用を大きく上回ります。

Q3. 自社で脆弱性診断ツールを購入して実施することはできますか?

OWASP ZAPなどの無償ツールを使った自社診断は可能ですが、専門知識のないまま実施すると見落としが多くなります。また、誤検知の多さに対処するのも難しいため、重要なシステムについては外部の専門家による診断を推奨します。自社ツールは「補助手段」として活用するのが現実的です。

Q4. 脆弱性診断の費用は損金処理できますか?

脆弱性診断費用は、一般的にセキュリティ対策費用として経費(損金)に計上できます。ただし、会計・税務の取り扱いは会社の状況によって異なるため、詳細は顧問税理士にご確認ください。

Q5. 診断中にシステムが停止するリスクはありますか?

適切な手順で実施する場合、本番環境への重大な影響は通常ありません。ただし、DoS(サービス妨害)系のテストは本番環境では実施しないのが一般的です。本番環境への影響を最小化するためのスケジュール調整(夜間・休日の実施など)も可能ですので、ベンダーと事前に確認することをおすすめします。

Q6. 診断結果をどのように経営層に報告すればよいですか?

報告書に含まれるエグゼクティブサマリーを活用してください。技術的な詳細ではなく、「発見された脆弱性の数と深刻度」「ビジネスリスクへの影響」「修正の優先順位と対応コスト」を中心に報告することが効果的です。経営層への報告支援が必要な場合は、診断ベンダーに相談してみてください。

Q7. ペネトレーションテストと脆弱性診断のどちらが必要ですか?

両者の違いは、脆弱性診断が「穴を探す」のに対し、ペネトレーションテストは「その穴から本当に侵入できるか証明する」点にあります。まず脆弱性診断を実施し、重要なシステムや経営判断が必要な場合にペネトレーションテストを追加するというステップが一般的です。詳しくは ペネトレーションテストと脆弱性診断の違い をご覧ください。

まとめ

Webアプリ脆弱性診断の費用と選び方について、重要なポイントをまとめます。

  • 費用相場:ツール診断30〜100万円、マニュアル診断100〜500万円以上
  • 費用を左右する4要因:診断範囲・ツールvsマニュアル・ベンダー規模・実施タイミング
  • 安い業者のリスク:見落とし・報告書品質の低さ・アフターフォローなし
  • ベンダー選定の鍵:エンジニアの専門性・OWASP準拠・報告書品質・再診断対応・情報管理体制
  • 診断後のプロセス:優先順位付け→修正→再診断でサイクルを完結させる

費用の安さだけを基準にベンダーを選ぶことは、セキュリティ投資の効果を大きく損なうリスクがあります。「報告書の品質」「アフターフォロー」「エンジニアの専門性」を軸に、信頼できるパートナーを見つけることが重要です。

← ブログ一覧に戻る

関連記事

「脆弱性情報」の記事をもっと見る →

脆弱性診断のご相談

記事の内容についてのご質問・診断の実施をご検討の方はお気軽にどうぞ。

サービス詳細を見る 無料相談・お問い合わせ