GMOサイバーセキュリティ byイエラエ株式会社

脆弱性診断の費用はどのくらい?価格相場や比較ポイントを解説

更新日:2025.04.15
脆弱性診断・ペネトレーションテスト
脆弱性診断の費用はどのくらい?価格相場や比較ポイントを解説

脆弱性診断は、診断方法や診断範囲、診断基準によって必要となる費用が異なります。そのため、自社の実施目的やリスク管理基準や予算に合わせて、適切な内容の脆弱性診断を選択することが必要になります。
本記事では、脆弱性診断を検討中の方へ向けて、価格相場や、自社にとって必要な脆弱性診断サービスを見極めるポイントを解説します。

お見積りもこちらから!
脆弱性診断 資料ダウンロード

目次

  1. 診断方法によって費用は数万~数百万円と幅がある
  2. ツール診断と手動診断
  3. ツール診断の費用相場
    1. 月額4万円から!脆弱性診断ツール ネットde診断
  4. 手動診断の費用相場
    1. 専門家による手動診断サービス
  5. 脆弱性診断の見積もりに必要な情報
    1. 診断対象の範囲・規模(リクエスト数・画面数・FQDN数)
    2. 診断の深さ
    3. 診断結果に対するサポートの有無
  6. 脆弱性診断の選定ポイント
    1. 診断の精度・深さ
    2. ガイドラインの適合
    3. 実績の確認
    4. 継続的に診断するか、単発で診断するか
  7. おすすめの診断プラン
    1. できるだけ短い納期で安価に始めたい
    2. 自社の状況に合わせて診断する範囲や深さを決めたい
    3. 攻撃者視点でリスク評価してほしい

診断方法によって費用は数万~数百万円と幅がある

脆弱性診断の費用は、診断方法や診断範囲・規模、診断結果に応じたサポートの提供など、実施する内容によって大きく異なります。
例えばWebサイトに対する脆弱性診断の場合、小規模なウェブサイトであれば数万円で済むこともありますが、大規模なWebサイトを対象にすると数百万円になることもあり、幅広い価格帯が存在します。
脆弱性診断の費用が変わるポイントをご紹介します。

ツール診断と手動診断

脆弱性診断には、大きく分けて「ツール診断」と「手動診断」があります。ツール診断は自動化されたスキャンツールを用いる方法で比較的簡単に実施できるため比較的安価となります。

手動診断はセキュリティエンジニアがシステムの用途や実装、ビジネスロジックを理解した上で行うため、ツール診断との組み合わせが有効であり、より柔軟な診断が可能で、詳細なレポートが提供されますが、比較的高額となります。

「ツール診断」の脆弱性診断は、「手動診断」と比較すると安価でできる一方、正しくスキャンできているか判定する必要があります。特にモダンな実装をしているWebサイトでは、ツール診断をしづらい機能が存在していることもあります。また、「ツール診断の」調査結果ではサイト用途や特性などは考慮されず、汎用的な調査結果が報告されます。一方で、「手動診断」はセキュリティエンジニアに、脆弱性診断をまるっと任せられて、診断結果に対する対策方法のアドバイスなどをもらえるというメリットがあります。

関連記事:脆弱性診断ツールの種類や選び方のポイント

ツール診断の費用相場

無料~数十万円

ツール診断は、実に様々なセキュリティベンダーから提供されています。脆弱性診断の内容は、診断ツールによって大きく異なりますが、費用だけに焦点を当てると、数万円の月額課金で使える診断ツールや、無料で実施できる簡易的な診断ツールなどもあります。
指定した範囲の脆弱性診断を、迅速に行いたい場合には非常に有用なため、初期診断として活用することに適しています。
ただし、ツール診断だけでは検知できない脆弱性が存在する可能性があることは忘れてはいけません。また、診断結果の詳細をサイバー攻撃対策(サイバーセキュリティ)の専門以外の担当者が理解することや、診断結果に応じて適切な対策を実施することが難しい場合もあります。

月額4万円から!脆弱性診断ツール ネットde診断

ネットde診断

ネットde診断は、ドメインを入力するだけで手軽に脆弱性診断を内製化できるツールです。月額4万円~とリーズナブルにご利用いただけます。

資料ダウンロード

手動診断の費用相場

数十万円~数百万円

手動診断は、サイバー攻撃対策(サイバーセキュリティ)の専門家がシステムやアプリケーションに対して実際に手を動かしながら、脆弱性の有無を確認していく脆弱性診断の方法です。費用はツール診断より高くなりますが、ツールでは検出が難しい脆弱性やシステム固有の問題を検知することに非常に有用です。
システムやアプリケーションをエンジニアの手で確認していくため、ツール診断では検知できない該当システム固有の脆弱性や問題を検知することに適しています。また、検知した脆弱性の詳細な説明や、適切な対策を講じるなど後続対応へのスムーズな連携ができる点も利点です。
しかし、手動診断は診断を実施するセキュリティエンジニアの経験にも依存することもあります。そのため、脆弱性の知見がある企業や専門家のサービスを見極めることが重要になります。また、診断結果のレポート作成や診断後の対応は何を提供してくれるのかを確認することが重要です。

専門家による手動診断サービス

セキュリティ診断/対策サービス資料

当社では手動による脆弱性診断をはじめ、各種セキュリティ対策サービスをご提供しております。ぜひご相談ください。

資料ダウンロード

脆弱性診断の見積もりに必要な情報

これまでで、脆弱性診断方法をざっくりと解説しました。手動診断による脆弱性診断の費用は、診断範囲やその他の要因によって大きく異なります。

脆弱性診断の費用にかかる見積もりを正確に出すためには、診断範囲の設定や対象となるシステムの数、診断後のサポート内容など、複数の要素を考慮することが必要です。

診断対象の範囲・規模(リクエスト数・画面数・FQDN数)

脆弱性診断の見積もりは、提供サービスによって変化はあるものの、診断対象の範囲・規模で算出されることが一般的です。例えば、リクエスト数・画面数・FQDN数(完全修飾ドメインの数)・IPアドレス数などの要素に基づいています。一般的に診断対象の規模に応じて費用が高くなる傾向があります。

脆弱性診断の見積もりで重要な要素のひとつが「診断範囲」です。診断範囲をどこまで広げるかで、診断の難易度や時間、料金が大きく変動します。

例えば、脆弱性診断を行う対象が、Webアプリケーションだけでなくネットワーク機器やサーバーも含む場合、対象範囲となるレイヤーが広がることで、異なる診断手法が必要になります。また、WebブラウザからアクセスしないAPIを診断範囲に含める場合、Webサイトより見積もり金額は高くなる傾向があります。APIは異なるシステムが相互に通信するための機能を提供しており、APIに脆弱性があれば、不正アクセスやデータ漏洩のリスクが高まります。

診断の深さ

個人情報やクレジットカード情報など、取り扱いに注意すべき情報を扱っているかによっても、求められる脆弱性診断の深さは異なります。脆弱性診断を行うWebアプリケーションにある既知の脆弱性を探すだけでなく、手動診断で実施するような、システム固有の問題も特定するかによって費用は変更されます。

診断結果に対するサポートの有無

脆弱性診断の結果に応じて、どのようなサポートが提供されるかによって見積もり金額は変わってきます。どのようなサポートが自社にとって必要か考えておくことが重要です。サポートの内容の例としては、診断結果に対する質問受付や対策後の再診断などがあげられます。

脆弱性診断を実施した際には、脆弱性診断の結果に基づいて是正対応が必要となる場合があります。その際に、質問を受け付けるサポートがあると是正対応をスムーズに進めることができます。また、脆弱性を修正後の確認で再診断が必要です。再診断の料金は別費用となる場合もあります。

関連記事:脆弱性診断(セキュリティ診断)とは?必要性など基礎から解説

脆弱性診断の選定ポイント

複数のサイバー攻撃対策(サイバーセキュリティ)企業や専門家から見積もりが出揃った後、最終的にどの脆弱性診断にするか、選定のポイントを紹介します。

大前提として、脆弱性診断を行う実施目的を明確にすることが、脆弱性診断を選定するためには重要な要素となります。なぜ脆弱性診断を行おうとしているのかを明確にしたうえで、以下の選定のポイントを参考に、自社に必要な脆弱性診断を選定しましょう。

診断の精度・深さ

診断の精度や深さを求める場合には、脆弱性診断の中で、どの程度深掘りしてシステム固有の調査をしてくれるかを確認します。例えば、診断対象のシステム用途を考慮して、どのような観点で診断をしてくれるのか、確認しましょう。

ガイドラインの適合

選定に際しては、経済産業省が定めた情報セキュリティサービス基準に適合しているサービスか、業界団体が出しているガイドラインの基準を満たしているか、などの確認も行いましょう。審査登録機関により、経済産業省が定めた情報セキュリティサービス基準に適合することが確認されたサービスは、IPAから「情報セキュリティサービス基準適合サービスリスト」として公開されています。

業界標準であるIPA「安全なWebサイトの作り方」やOWASP(Open Web Application Security Project)やASVS(Application Security Verification Standard)を基準にした脆弱性診断を行っているかなど、診断の基準を確認することも重要です。脆弱性診断の信頼性の担保につながります。

実績の確認

手動診断の場合は、脆弱性診断を行ってくれるセキュリティ専門家の脆弱性を検出する能力を測るため、CTF(Capture The Flag)等のセキュリティコンテストにおける上位入賞実績、国内外の脆弱性届出数などの実績を確認することも、診断の精度を図る際に有効です。

継続的に診断するか、単発で診断するか

脆弱性診断は一度きりではなく、継続的に行うことが重要です。脆弱性は日々発見され、1日で数百見つかる新たな脆弱性が放置されてしまい、サイバー攻撃の被害にあう可能性を生み出してしまいます。

理想的なセキュリティ対策は、定期的なツール診断と、単発での手動診断を組み合わせることです。どのタイミングで脆弱性診断を行うべきか計画を立て、自社の実施目的やリスク管理基準に応じた脆弱性診断を選択しましょう。

おすすめの診断プラン

本記事では、脆弱性診断の価格相場や、自社にとって必要な脆弱性診断サービスを選定するポイントを解説しました。脆弱性診断にかかる見積もりを正確に算出するためには、診断範囲の設定や対象となるシステムの数、診断後のサポート内容など、複数の要素を考慮することが必要です。
そうは言っても、サイバー攻撃対策に日々従事している専門家でないと、自社にあった脆弱性診断を選定することは一筋縄ではいきません。GMOサイバーセキュリティ byイエラエでは、サイバー攻撃対策に関する知識の有無にかかわらず、お客様が自社にとって最適な脆弱性診断を選べるように複数の脆弱性診断サービスを提供しています。
解決したいポイントごとに、当社のおすすめの脆弱性診断サービスをご紹介しますので、ご参考ください。

脆弱性診断の診断範囲の図
実施目的別おすすめの GMOサイバーセキュリティ byイエラエ 脆弱性診断

できるだけ短い納期で安価に始めたい

GMOサイバー攻撃 ネットde診断

診断ツールとサイバー攻撃対策(サイバーセキュリティ)の専門家によるコンサルティングで、専門知識がなくても、ドメインを入力するだけで誰でも簡単に脆弱性管理を実現できる脆弱性診断サービスです。自社内で、すぐに脆弱性診断を実施できることや継続的に脆弱性診断を行えることがポイントです。
診断範囲となるアプリケーションやサーバー、ネットワーク機器の脆弱性、設定不備などセキュリティ上の問題点を、直感的なUIで脆弱性を洗い出すことができます。自社のWeb資産(ドメイン・VPNなど)がどれだけあるのか把握できていないといった場合にも、診断ツールを活用することで棚卸から始めることが可能です。

GMOサイバー攻撃 ネットde診断の詳細

Webアプリケーション診断 おまかせプラン

サイバー攻撃対策(サイバーセキュリティ)の専門家がツールと手動でお客様のWebアプリケーションを診断します。申し込み時のヒアリングシートを提出後、5営業日以内のスピーディな診断を実施します。
手動診断することにより仮想攻撃者の視点で脆弱性を診断でき、ファイルアップロード、ログイン権限周りなどツール診断で識別できない脆弱性を検知します。また、アプリケーションの特徴に合わせて、ホワイトハッカー視点でリスクポイントを中心に診断範囲や対象を選定します。診断範囲や対象の確定をホワイトハッカーに委ねることで、診断範囲全体にアクセスするためのデータセットのご準備などお客様の手を煩わせることなく、脆弱性診断の実施を可能にするプランです。

Webアプリケーション診断 おまかせプランの詳細

Webアプリケーション診断 ライトプラン(ASVS)

国際的なセキュリティ基準であるOWASP ASVSに準拠した脆弱性診断を提供します。脆弱性診断ツールのスキャンのみでは検出困難な認可制御の不備などの脆弱性がないかをサイバー攻撃対策(サイバーセキュリティ)の専門家も手動で実施することが特徴です。
ASVSが定めるおよそ130項目に沿ったセキュリティ対策を適切に行えているかの確認に特化し、プロセスを仕組化した脆弱性診断プランです。ASVSに特化することで、他の脆弱性診断に比べて低価格でご提供しています。

Webアプリケーション診断 ライトプラン(ASVS)の詳細

自社の状況に合わせて診断する範囲や深さを決めたい

クラウド診断

ご利用中のクラウドプラットフォームに、設定不備などのセキュリティ上の問題がないか診断します。クラウドプラットフォームは、企業のビジネスを促進するため非常に有用です。しかしながら、設定ミスにより、情報漏洩を引き起こしてしまうというセキュリティ事故のニュースは定期的に報道されているのが実情です。利用中のクラウドプラットフォームの設定やクラウドプラットフォームを活用して構築されたシステムが安全な状態と言えるか確認し、対策をすることの重要性が高まっています。
IaaS/PaaSからサーバレス(FaaS)、コンテナ(CaaS)まで利用形態に合わせてセキュリティ上の問題がないか総合的に診断を行うプランをご用意しています。

対応プラットフォーム

AWS、Microsoft Azure、Google Cloud、Salesforce、Google Workspace、Microsoft 365 など

クラウド診断の詳細

Webアプリケーション診断 スタンダード

自社のWebアプリケーション(Webサイトなど)を、サイバー攻撃対策(サイバーセキュリティ)の専門家と診断内容を相談しながら、固有の状況に合わせて診断内容を決めていける脆弱性診断サービスです。
Webアプリケーション診断 スタンダード」では、診断ツールを活用したツール診断と、診断員の手動診断を組み合わせて網羅性のある診断をします。診断ツールの効率性を活かしながらも、誤った検知や識別できない脆弱性を診断員に目によってチェックし漏れがないように丁寧に脆弱性を洗い出していきます。

Webアプリケーション診断 スタンダードの詳細

攻撃者視点でリスク評価してほしい

Webぺネトレーションテスト

WebアプリケーションやWebAPIのセキュリティ対策状況を攻撃者視点で調査します。対象システムの特性や想定される脅威から攻撃シナリオ(攻撃の起点とテストのゴール)を設定し、疑似的なサイバー攻撃を行うことで、現在のセキュリティ対策の有効性やリスクを評価します。
GMOサイバーセキュリティ byイエラエでは、脆弱性を検知するためのプログラム(バグバウンティ)やセキュリティコンテスト、セキュリティトレーニング講師等で活躍する世界トップレベルのサイバー攻撃対策(サイバーセキュリティ)の専門家が調査することによって、標準的なWebアプリケーション診断では検出ができないような脆弱性も検出します。

Webペネトレーションテストの詳細

社内ネットワークペネトレーションテスト

予め攻撃シナリオを定義し、攻撃者の目的が達成されるかどうかを検証します。システムやサーバー単体の脆弱性評価に留まらず、環境全体を通してテストを実施するため、実際の攻撃者に近い視点でセキュリティの問題点を検知します。
GMOサイバーセキュリティ byイエラエでは、特定の個人や組織をターゲットに、機密情報を盗み出すサイバー攻撃である「標的型攻撃対策」を想定したテストの実施や、共用スペースなど「物理環境」への侵入に対するセキュリティ対策評価も実施します。攻撃者の目線を理解しているからこそ実施できる、サイバー攻撃に繋がる侵入経路や問題点を特定します。

社内ネットワークペネトレーションテストの詳細

脆弱性診断のお見積りはこちら

監修:GMOサイバーセキュリティ byイエラエ 編集部

企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。

シェア
X FaceBook

関連記事

脆弱性診断ツールの種類や選び方のポイント
脆弱性診断(セキュリティ診断)とは?必要性など基礎から解説
ペネトレーションテスト(侵入テスト)とは?脆弱性診断との違いから有効手法まで解説
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説