セキュアスカイによる安全なWebサイト運営のためのセキュリティ情報

セキュリティのこと
  • shareSNSでシェア
  • Facebookでシェアする
  • Xでシェアする
  • Pocketに投稿する
  • はてなブックマークに投稿する

脆弱性診断の費用の決まり方と見積りのポイント

脆弱性診断の費用の決まり方と見積りのポイント

「うちのシステム、大丈夫かな?」そんな不安を抱えているWebサイト運営者の方も多いのではないでしょうか。サイバー攻撃は常に企業や組織にとって大きな脅威となっています。情報漏えいやシステム停止といった事態を引き起こす可能性があり、企業の評判や収益に深刻な影響を与える恐れがあります。そのようなリスクを低減するため、システムに潜むセキュリティ上の問題点を発見するのが、脆弱性診断の役割です。

本特集では、Webサイトのセキュリティ対策において不可欠な「脆弱性診断」に焦点を当て、実際に脆弱性診断サービスを提供する現場で、診断案件の調整を行う担当やエンジニアへのインタビューを通じて、脆弱性診断サービスを検討されている方の抱える疑問や課題解決に役立つ情報を紹介します。

※本記事は、セキュアスカイが提供する脆弱性診断サービス(Webアプリケーション診断やプラットフォーム診断)を基にしています。世の中にはさまざまな脆弱性診断サービスや手法が存在し、他社製品も含めて多様なアプローチがあります。本記事の内容が全てのケースに適用されるわけではありません。安全なWebサイト運用の参考としてご活用いただければ幸いです。

今回のテーマは、「脆弱性診断の費用の決まり方と見積りのポイント」についてです。脆弱性診断の費用は重要な検討事項ですが、料金体系が不透明になっているケースも少なくありません。セキュアスカイでは脆弱性診断費用の算出方法を明確にするなど、料金体系の透明化にも力を入れています。料金体系や見積りのプロセス、予算調整の可能性などについて、役に立つヒントをお届けします。

脆弱性診断の「料金」にまつわるQ&A

Q:脆弱性診断の料金体系にはどのようなものがあるか?

脆弱性診断を検討している際には、料金体系を理解することは必要不可欠です。限られた予算の中で、見積もりと実際にかかった費用が変わってしまうようなことを避けるためにも、事前に調べておくことが大切です。料金は各サービスによって異なりますが、ここでは代表的な影響要素についてご紹介します。

  • 診断対象の規模や範囲
    • 診断するWebサイトやシステムの規模によって、料金が変動します。診断対象となるWebページの数、リクエスト数、アプリケーションの複雑さが影響する場合があります。また、リクエストに対するパラメータ数が料金に影響することもあります。
  • 診断手法
    • Webアプリケーションの脆弱性診断にはいくつかの手法があり、手法によって料金が異なります。自動ツール診断は、コストを抑えつつ迅速に実施できますが、発見しにくい脆弱性もあります。一方、手動診断は、ツールでは検出が難しい権限周りの脆弱性など、エンジニアがシステムの特性を把握したうえで深掘りして調査するため、より精度の高い診断が可能です。しかし、これらの手法は時間とリソースを多く必要とするため、料金が高くなる傾向があります。特に手動診断は、エンジニアの専門的な時間がかかるため、コストが増加します。
  • 追加オプションやサポート
    • 診断後に追加の改善提案や修正サポートが必要な場合、別途料金がかかることがあります。さらに、診断結果を基にした報告会や、脆弱性の修正を行う改修サポートもオプションとして提供されることがあり、その場合は追加費用が発生することがあります。また、緊急対応や詳細なレポート作成、再診断なども、別途料金が必要となる場合があるため、どのような内容が追加料金の対象となるのかを事前に確認しておくことをお勧めします。

Q:セキュアスカイの脆弱性診断の料金体系は?

セキュアスカイのWebアプリケーション診断では、「パラメータが付与された動的なHTTPSリクエスト数」に単価を掛けて診断費用を算出しています。特徴的なのは、1つのリクエストに含まれるパラメータ数の多寡は料金に影響しないという点です。

一方、プラットフォーム診断の場合は、Webアプリケーション診断とは異なり、「グローバルIPアドレスもしくはFQDNの数」で診断費用が決まります。例えば、ロードバランサーで冗長化されているケースではFQDNを基準とするなど、システム構成に応じた料金体系となっています。

どちらについても、シンプルで明確な算定ルールにより、顧客企業に分かりやすい診断料金で提供しています。

Q:セキュアスカイの場合の、見積りプロセスは?

お客様から提供いただいた画面数などの情報や、過去の診断実績をもとに概算見積りを算出します。概算見積りでは、実際の診断で発見される可能性のあるリクエスト数を見込み、画面数の1.5倍程度のバッファを設けています。この計算方法は社内でルール化されており、担当者による差異を最小限に抑えています。

また、正式見積りを算出する際は、必ず事前調査を実施します。この過程では画面遷移図を作成し、お客様との認識の擦り合わせを綿密に行います。セキュアスカイの事前調査と確認プロセスは非常に丁寧と評価されることが多いです。事前調査が完了し、画面遷移図で対象を確認いただけると、診断の金額が確定します。

Q:費用や見積りプロセスでの、他社との違いを教えてください。

他社の詳細な料金体系は把握できていませんが、セキュアスカイと他社との大きな違いは、料金算出の基準と見積りプロセスが明確なことです。セキュアスカイでは先ほど紹介した料金体系を公式サイトで公開しています。一般的には、具体的な料金の算出方法を知るためには問い合わせが必要で、Webサイトでは明示されていないことが多いです。

また、事前調査や事前調査結果のアウトプットとなる画面遷移図の作成も、お客様と認識を合わせながら行っています。そのようなプロセスに対して、お客様から評価の声をいただいております。

単純に費用だけで比較すると、セキュアスカイよりも安価に診断を行うサービスはたくさんあります。診断の依頼内容によっては、セキュアスカイのほうが低額になる場合も、高額になる場合もあります。サービス説明資料から読み取れる情報だけで判断すると、安価には見えないかもしれませんが、実際に脆弱性診断を利用していただいたお客様には「費用の割にはお得」と思ってもらえているのかなと、感じています。

Q:診断費用の最適化はどうすればよい?

診断費用を最適化するためには、まず診断の目的を明確にすることが重要です。ツール診断のみで十分なのか、手動診断を組み合わせるべきかによって費用は変わるケースがあります。ただし、診断手法の選択だけでなく、「どこを診断対象(スコープ)にするか」を明確にすることも必要です。

例えば、

  • 外部公開システム:インターネットに公開されているシステムに対して外部から攻撃される脅威を確認したい
  • 管理画面や社内システム:限られた利用者しかアクセスしない環境でも、悪意のある利用者を想定したリスクを確認したい

外部公開システムは優先度が高くなりますが、管理画面や社内システムのほうがクリティカルな情報を扱うケースも多く、どこに重点を置くかで必要な診断内容や費用は変わります。

また、複数社から相見積りを取る場合は、同一条件で依頼することをお勧めします。1社の基準を軸に他社にも見積りを依頼し、各社の算出根拠を必ず確認しましょう。

さらに、長期的な運用視点も有効です。全体診断を一度実施し、その後は追加開発箇所のみを診断する方法をとれば、予算管理がしやすくなります。加えて、ベンダー選定では、見積りへの対応の柔軟さやコミュニケーションの質も重要な判断材料になります。

※セキュアスカイでは、精度の高い診断を実現するため、ツール診断と手動診断を組み合わせたハイブリッド方式のみで提供しています。

Q:予算調整のリクエストにセキュアスカイはどう対応するか?

予算調整に関する相談は、案件の特性や状況に応じて柔軟に対応しています。大規模な診断のご依頼や、継続的な診断の場合、また、4月から7月の閑散期における依頼は、ご相談の余地は比較的大きくなります。ご相談時のセキュアスカイ側の要望としては、具体的な予算額のご提示があったほうが調整はスムーズに進みます。

予算の制約がある場合は、診断範囲に優先順位をつけて調整することも提案しています。場合によっては複数のプラン案を提示し、予算に応じた選択肢を提供することでニーズに対応できるよう心がけています。

Q:追加費用が発生するケースはどのような場合か?

通常の診断料金とは別に、いくつかのケースで追加費用が発生することがあります。まず、診断の形態によるものとして、オンサイトでの診断やVPN接続での診断、夜間診断、実機を利用した診断などが該当します。また、特別な環境構築が必要な場合、例えば社内ネットワークに対してVPNを使用してアクセスする場合や、踏み台サーバー経由でのアクセスが必要な場合なども、環境構築費用が発生します。

さらに、標準的な報告内容を超える特別な報告対応や、特殊な通信形態への対応が必要な場合も、追加費用の対象となります。これらの追加費用は、事前に顧客と相談の上で決定し、透明性のある形で提示しています。

押さえておきたい!チェックポイント

脆弱性診断見積り時のポイント

  • 診断の目的と必要な手法を明確にする
    • まずは自社のセキュリティ課題を整理し、ツール診断だけで十分か、手動診断との組み合わせが必要か、目的に応じて選択しましょう。
  • 可能な限り詳細な事前情報を提供する
    • 画面数やURL一覧など、診断対象に関する情報を事前に整理して提供すると、より正確な概算見積りを得ることができます。
  • 複数社から見積りを取る場合は同条件での比較を心がける
    • 1社の見積り基準を軸にして他社にも同じ条件で依頼することで、各社の特徴を適切に比較検討できます。

コスト最適化のポイント

  • 全体診断後の追加開発箇所のみの診断で効率化
    • 初回は全体を診断し、その後は新規開発や改修箇所に絞って診断することで、効率的な運用が可能になります。
  • 定期的な診断計画による予算管理の容易さ
    • 年間単位で診断実施計画を立てることで、前年実績を基に予算が立てやすくなり、経営層への説明もスムーズになります。
  • 予算調整交渉は予算の提示から
    • 具体的な予算額を受けてから調整するため、早い段階で最大予算を提示することをお勧めします。

価格以外の評価ポイント

  • コミュニケーションの質
    • 質問への回答の早さや分かりやすさ、担当者の知識レベルなど、コミュニケーションの質も重要な判断材料です。
  • 柔軟な提案力
    • 予算や要望に応じて複数の提案ができるか、代替案を示せるかなど、提案の柔軟性も評価のポイントとしましょう。

 

 

取材協力メンバー

  • 高橋(プロジェクト推進チーム リーダー)
  • 大田(プロジェクト推進チーム)
  • 豊島(プロジェクト推進チーム)

※セキュアスカイのプロジェクト推進チームは、お客様のニーズに合わせた脆弱性診断の計画から診断の実施、報告書の提出、その後のアフターフォローまで一貫してサポートします。

  • shareSNSでシェア
  • Facebookでシェアする
  • Xでシェアする
  • Pocketに投稿する
  • はてなブックマークに投稿する

この記事の筆者

筆者:大倉千代子

大倉千代子

セキュアスカイの広報責任者。美術大学を卒業後、脆弱性診断アシスタントを経て、広報業務に携わり10年以上経ちました。企業のセキュリティ担当向けのコミュニティやリアルイベントの企画運営で熱量が上がります!動物が大好きで、特に犬なしでは生きていけないタイプです。

筆者の記事一覧はこちら

Webサイトの運用・開発に関わる方向け

セキュリティ解説
重要情報を持たないサイトでもセキュリティ対策は必要か

セキュアスカイプラス

人気のタグ

セキュアスカイのこと

エンジニアブログ

セキュリティのこと

キーワード検索

人気のタグ

セキュアスカイのこと

エンジニアブログ

セキュリティのこと