脆弱性診断を外部委託しようと動き始めたものの、「どの会社を選べばよいのか判断できない」という声は多い。サービス名や価格帯だけで比較しようとすると、後から「思っていた内容と違った」「報告書が使えなかった」という失敗につながりやすい。
本記事では、脆弱性診断会社を選ぶ際に実際に確認すべき5つのポイントを具体的に解説する。あわせて、見積依頼時に必ず確認すべき10の質問と、契約前のチェックリストも紹介する。発注担当者がベンダーを横並びで比較できる実用的な内容を目指した。
1. 脆弱性診断会社選びで失敗するよくあるパターン
脆弱性診断の発注を経験した企業のセキュリティ担当者から聞かれる後悔には、一定のパターンがある。以下に代表的なものをまとめた。
パターン①:価格だけで選んで品質が低かった
「相見積もりで最安値だった会社に依頼したが、報告書に脆弱性の再現手順が記載されておらず、開発チームへの説明に困った」というケースは珍しくない。脆弱性診断の報告書は、その後の修正対応や経営層への説明資料として使われる。品質が低ければ、社内調整のコストが跳ね上がる。
パターン②:スコープの合意が曖昧なまま契約した
「Webアプリの診断を依頼したつもりが、APIエンドポイントは対象外だった」「ログイン後の画面は含まれていなかった」など、スコープ外の問題が後から発覚するケースがある。契約時にスコープを文書で確認していないと、追加費用の交渉が発生したり、重要な箇所が診断されないまま本番稼働するリスクがある。
パターン③:担当者の実力が不明なまま発注した
「診断を担当したのが経験の浅いエンジニアで、主要な脆弱性を見落とされた」という事例も存在する。脆弱性診断の品質は、ツールよりも実施するエンジニアの技術力に大きく依存する。会社の知名度や規模が大きくても、実際の担当者のスキルが保証されるわけではない。
パターン④:報告書を受け取って終わりだった
診断結果を受け取った後、修正方針の確認や再診断のサポートがなく、内部でのフォローアップが滞った企業もある。特に社内にセキュリティ専門人材がいない場合、報告書を渡されるだけでは動けない。
パターン⑤:対応範囲が自社のシステム構成と合っていなかった
クラウドネイティブな構成やマイクロサービスアーキテクチャを持つシステムに対して、従来型のWebアプリ診断ツールを適用した結果、実態と乖離した診断報告が出てきたケースもある。技術スタックへの対応実績を事前に確認することが重要だ。
2. 選定の5つのポイント
ポイント①:資格・認定の有無を確認する
脆弱性診断会社が保有する資格・認定は、技術力と信頼性の客観的な指標となる。確認すべき主な認定・資格は以下のとおりだ。
認定・資格 | 概要 | 確認ポイント |
|---|---|---|
CREST認定 | 英国発の国際的なセキュリティ認定。ペネトレーションテスト分野で権威がある | 会社単位での認定取得状況 |
IPA情報処理安全確保支援士(登録セキスペ) | 国家資格。診断実施者が保有しているか確認 | 担当エンジニアの資格保有率 |
OSCP(Offensive Security Certified Professional) | 実技試験を伴う国際資格。攻撃技術の実力を示す | 担当予定者の個人資格 |
CEH(Certified Ethical Hacker) | EC-Councilが発行する倫理的ハッキング資格 | 担当予定者の個人資格 |
ベンダー公式認定(AWS・Microsoft等) | クラウド環境の診断に関連するプラットフォーム認定 | クラウド診断を依頼する場合に重要 |
資格の有無だけでなく、「診断を担当するエンジニア自身が資格を保有しているか」を確認することが重要だ。会社が認定を持っていても、実際の担当者が未経験に近いというケースがある。
日本では2025年以降、IPA登録セキスペの活用が政府調達要件に盛り込まれる例が増えており、公共系プロジェクトでは特に確認が必要になっている。
ポイント②:実績・事例の深さを確認する
「導入実績〇〇社以上」という表記は、発注先の選定基準にはなりにくい。確認すべきは件数よりも内容だ。
確認すべき実績の観点
- 自社と同業種・同規模の企業への診断実績があるか
- 自社のシステム構成(クラウド・オンプレ・モバイル・API等)に対応した実績があるか
- 金融・医療・インフラなど高セキュリティ要件業種への対応経験があるか
- 診断後に発見された重大脆弱性の修正支援まで対応した実績があるか
NDAの関係でクライアント名を公開できないケースも多いが、「業種・規模・システム構成・発見した脆弱性のカテゴリ」程度は匿名事例として提示できるはずだ。それすら出てこない場合は実績の乏しさを疑った方がよい。
また、リピート率も一つの指標となる。同じ企業から繰り返し受注している会社は、品質と信頼性が継続的に評価されていると見なせる。
ポイント③:報告書のサンプルで品質を見極める
報告書の質は、脆弱性診断の価値を左右する最重要要素の一つだ。発注前に必ずサンプル報告書を取り寄せ、以下の項目を確認する。
良質な報告書に含まれる要素
- 脆弱性の概要:何が問題なのかを非技術者にも理解できる形で説明しているか
- CVSSスコアとリスク評価:業界標準のスコアリングに基づくリスク分類があるか
- 再現手順(PoC):開発者が実際に脆弱性を確認・修正できる詳細な手順が記載されているか
- 影響範囲の説明:脆弱性が悪用された場合のビジネスへの影響が説明されているか
- 修正推奨事項:具体的な修正方法・参考資料・優先度が記載されているか
- エグゼクティブサマリー:経営層・管理職向けの概要ページが含まれているか
「脆弱性を発見してリストアップした」だけの報告書と、「発見・評価・説明・修正指針まで含んだ報告書」では、発注後の社内活用コストが大きく異なる。
報告書サンプルを見せてもらえない会社は、品質に自信がない可能性がある。開示できない理由が守秘義務なら、フォーマットのみのテンプレートを見せてもらう交渉もできる。
ポイント④:対応範囲・スコープ柔軟性を確認する
脆弱性診断の対象範囲(スコープ)は、システム構成や目的によって大きく異なる。対応範囲が固定化されているベンダーより、要件に合わせてスコープを設計できるベンダーの方が実際の診断価値は高くなりやすい。
診断対象の主な種類
診断種別 | 主な対象 | 特記事項 |
|---|---|---|
Webアプリケーション診断 | Webサイト・業務アプリ・ECサイト | OWASP Top 10への対応を確認 |
API診断 | REST API・GraphQL・SOAP | 認証フロー・レート制限・インジェクション系を確認 |
スマートフォンアプリ診断 | iOS・Android | 静的解析・動的解析の両方が含まれるか確認 |
クラウド設定診断 | AWS・Azure・GCP | IAM・ネットワーク・ストレージ設定を対象とするか確認 |
ネットワーク診断 | 内部NW・外部公開IP | 外部・内部それぞれの診断範囲を確認 |
ソースコード診断 | アプリケーションのコードベース | SAST(静的解析)ツールだけでなく手動レビューが含まれるか確認 |
また、スコープ変更への対応柔軟性も重要な判断基準だ。「診断対象のURLが途中で増えた場合」「開発中のAPIを追加で診断したい場合」などに、追加対応が可能かどうか、その費用感を事前に確認しておくことで、プロジェクト途中での混乱を防ぐことができる。
ポイント⑤:アフターサポートの内容を確認する
診断が完了して報告書を受け取った後のサポート体制は、特に社内セキュリティ専任担当者がいない企業にとって重要な選定基準となる。
アフターサポートで確認すべき項目
- 報告会の実施:診断結果を担当エンジニアが口頭で説明してくれるか
- 質疑応答対応:報告書の内容について追加質問できる期間・回数
- 修正確認(再診断):修正後の再診断が追加費用なしで含まれるか
- 修正支援:修正方針の相談や開発チームへの技術説明支援があるか
- 経営層向け報告書:役員・取締役会向けの概要資料を別途作成してくれるか
再診断(修正確認)が契約に含まれていない場合、修正対応後に再び費用が発生する。これは見積もりの比較時に見落としやすい項目なので、初回の見積依頼時に明示的に確認しておく必要がある。
3. 見積依頼時に必ず聞くべき10の質問
ベンダーへの見積依頼メールや商談時に、以下の10項目を確認することで、提案内容の品質と会社の実力を測ることができる。
Q1. 診断を担当するエンジニアの経歴と保有資格を教えてください
担当者の経験年数・資格・過去の担当案件規模を確認する。「弊社のエンジニアが担当します」だけでは不十分だ。
Q2. 同業種・同規模のシステムへの診断実績はありますか
業種・システム規模・技術スタックが近い事例を匿名でよいので提示してもらう。
Q3. 報告書のサンプルを見せてもらえますか
過去の実際の報告書(機密情報を伏せたもの)またはテンプレートフォーマットを確認する。
Q4. 今回の診断スコープに含まれるものと含まれないものを明確にしてください
「Webアプリ診断」の名称でも、ログイン後の画面・管理画面・APIが含まれるかどうかはベンダーによって異なる。
Q5. 診断手法はツール自動診断のみですか、手動診断も含まれますか
ツールのみによる自動診断は見落としが多い。手動診断の割合と実施方法を確認する。
Q6. 診断期間中にサービス影響が出る可能性はありますか
本番環境への診断で、サービス停止・データ破損・パフォーマンス低下が起きるリスクと、その回避策を確認する。
Q7. 修正後の再診断(リテスト)は費用に含まれますか
再診断が含まれない場合の追加費用も確認しておく。
Q8. 報告書の納品後に質問対応の期間・回数の上限はありますか
報告書受取後の質疑応答対応範囲を明確にしておくことで、後からのトラブルを防ぐ。
Q9. 診断で得た情報(システム構成・脆弱性情報)の管理方法を教えてください
診断会社が取得した機密情報の保存期間・廃棄方法・情報漏洩時の対応ポリシーを確認する。
Q10. 今回の見積もりに含まれる作業の範囲を書面で確認できますか
口頭の合意ではなく、スコープ・成果物・スケジュール・費用が明記された提案書・仕様書を必ず書面で取得する。
4. 費用の比較方法:単価だけでなく価値で比較する
脆弱性診断の費用相場は、診断種別・スコープ・診断方法によって大きく異なる。以下に主な種別ごとの目安を示す。
診断種別 | 費用目安(税抜) | 期間目安 | 備考 |
|---|---|---|---|
Webアプリ診断(小規模) | 30万〜80万円 | 2〜5営業日 | 静的ページ・ログイン前後のみ |
Webアプリ診断(中規模) | 80万〜200万円 | 5〜15営業日 | 複数機能・API含む |
API診断 | 50万〜150万円 | 3〜10営業日 | エンドポイント数により変動 |
スマートフォンアプリ診断 | 60万〜200万円 | 5〜15営業日 | iOS・Android別途が多い |
クラウド設定診断 | 30万〜120万円 | 3〜7営業日 | 対象サービス数・アカウント数による |
ネットワーク診断(外部) | 20万〜80万円 | 2〜5営業日 | 公開IPアドレス数による |
ソースコード診断 | 100万〜500万円以上 | 2〜6週間 | コード規模・言語による |
費用の安さだけで選ぶと、以下のような「隠れたコスト」が後から発生するリスクがある。
- 報告書の品質が低く、開発チームへの説明・翻訳作業が社内工数として発生する
- 重要な脆弱性が見落とされ、後のインシデント対応費用が診断費用を大幅に上回る
- 再診断が別途費用になり、当初の想定より総費用が増える
- 修正支援がなく、外部コンサルへの追加依頼が必要になる
価値ベースで比較するための指標
- 発見脆弱性あたりの報告品質:脆弱性1件あたりの説明・修正指針の詳細度
- 修正対応までのサポート範囲:診断完了後にどこまで伴走してもらえるか
- 社内活用のしやすさ:報告書を経営層・開発チーム・監査対応に流用できるか
- 担当エンジニアの専門性:実施者のスキルレベルと診断手法の妥当性
相見積もりを取る際は、「同一のスコープ・成果物定義で比較する」ことが前提となる。定義が異なる状態で価格だけを比較しても意味がない。
5. 契約前チェックリスト
以下のチェックリストを用いて、契約締結前に必要な確認を済ませておく。
会社・担当者の信頼性
- [ ] 担当エンジニアの氏名・経歴・資格を書面で確認した
- [ ] 同業種または同システム規模への診断実績を確認した
- [ ] 報告書サンプルまたはフォーマットを確認した
- [ ] NDA(秘密保持契約)を締結済みである
診断内容・スコープ
- [ ] 診断対象(URL・IP・アプリ・API等)が書面で確定している
- [ ] 診断に含まれる手法(手動・ツール・比率)が明確になっている
- [ ] 本番環境への影響リスクと回避策を確認した
- [ ] 診断実施の日程・時間帯が合意されている
成果物・報告書
- [ ] 報告書に含まれる項目(CVSS・PoC・修正推奨等)を確認した
- [ ] 報告書の納品形式(PDF・Excel等)と言語(日本語)を確認した
- [ ] エグゼクティブサマリーの有無を確認した
- [ ] 報告会(結果説明会)の実施が契約に含まれているか確認した
アフターサポート
- [ ] 再診断(リテスト)の条件・費用を確認した
- [ ] 報告書納品後の質疑応答対応範囲・期間を確認した
- [ ] 診断情報の保管・廃棄ポリシーを確認した
費用・契約
- [ ] 見積書に含まれる作業範囲と除外事項が明記されている
- [ ] 追加スコープが発生した場合の費用算定方法を確認した
- [ ] 支払条件(前払い・後払い・分割)を確認した
- [ ] 契約解除条件・成果物の帰属を確認した
6. AEVUSの脆弱性診断サービス
AEVUSは、日本の企業・官公庁・金融機関を対象とした脆弱性診断・ペネトレーションテストサービスを提供している。
AEVUSが選ばれる理由
経験豊富な専門家による手動診断を中心とした対応 ツール自動診断に依存せず、担当エンジニアによる手動診断を組み合わせることで、ツールが検出できないロジック系・認証系の脆弱性にも対応する。
業種・システム構成に応じたスコープ設計 Webアプリ・API・クラウド・スマートフォンアプリ・ネットワークと幅広い診断対象に対応し、自社システムの構成に合わせたスコープ設計が可能だ。
実用的な報告書と丁寧なアフターフォロー 報告書には脆弱性の概要・CVSS評価・再現手順・修正推奨事項を必ず記載する。報告会の実施と修正後の再確認対応も標準サービスに含まれる。
経営層・監査対応にも活用できるドキュメント エグゼクティブサマリーを標準添付し、取締役会への報告・監査対応・コンプライアンス要件への対応に活用できる形式で成果物を提供する。
脆弱性診断会社の選定でお困りの方、または現状のセキュリティ体制の確認から始めたい方は、AEVUSへの無料相談から始めていただきたい。どのような診断が自社に必要かを整理する段階からサポートする。
詳細はAEVUSのペネトレーションテスト・脆弱性診断サービスページを参照いただきたい。
