IPA「情報セキュリティ10大脅威 2025(組織編)」では、ランサムウェアによる被害が9年連続で1位にランクインしている(IPA、2025年1月)。JNSA「インシデント損害額調査レポート 第2版」では、情報漏えい1件あたりの平均損害額は約6億3,767万円と報告されている(JNSA、2024年2月)。
「自社のセキュリティ対策が十分かどうか分からない」「脆弱性診断を受けたいが、どの会社に依頼すればよいか分からない」という声は多い。セキュリティ監査は専門性が高く、診断の種類や報告書の読み方も分かりにくい。本記事では、セキュリティ監査会社の選び方を診断の種類・費用・報告書の読み方の3軸で解説する。
目次
- セキュリティ監査の種類と特徴
- 費用相場と料金体系
- 監査会社を選ぶ6つの比較ポイント
- 報告書の読み方ガイド
- 診断後のアクションプラン
- よくある失敗パターンと対策
- まとめ
- FAQ
1. セキュリティ監査の種類と特徴
診断タイプの一覧
| 診断タイプ | 内容 | 対象 | 費用目安 | 頻度の目安 |
|---|
| Webアプリケーション診断 | SQLインジェクション、XSS等の脆弱性を検出 | Webサイト、Webアプリ | 30〜200万円 | 年1〜2回 |
| プラットフォーム診断 | OS、ミドルウェア、ネットワーク機器の脆弱性を検出 | サーバー、NW機器 | 30〜150万円 | 年1〜2回 |
| ペネトレーションテスト | 攻撃者視点で実際に侵入を試行 | システム全体 | 100〜500万円 | 年1回 |
| クラウド設定監査 | AWS/Azure/GCPのセキュリティ設定を検査 | クラウド環境 | 50〜200万円 | 年1〜2回 |
| ソースコード診断 | ソースコードレベルで脆弱性を検出 | アプリケーション | 50〜300万円 | リリース前 |
| ISMS/Pマーク認証支援 | 規格準拠のための体制構築支援 | 組織全体 | 100〜500万円 | 初回+年次更新 |
各診断の深さとカバー範囲
| 項目 | 自動ツール診断 | 手動診断 | ペネトレーションテスト |
|---|
| 検出精度 | 中(誤検知あり) | 高 | 最高 |
| ビジネスロジックの検証 | 不可 | 可能 | 可能 |
| 費用 | 低 | 中 | 高 |
| 実施期間 | 数時間〜1日 | 数日〜2週間 | 1〜4週間 |
| 推奨する場面 | 定期チェック | 新規開発・改修時 | 重要システムの年次監査 |
セクションまとめ:セキュリティ診断は6種類。Webアプリケーション診断とプラットフォーム診断を定期的に実施し、重要システムには年1回のペネトレーションテストを推奨する。
2. 費用相場と料金体系
診断規模別の費用目安
| 診断対象 | 小規模 | 中規模 | 大規模 |
|---|
| Webアプリ診断 | 30〜80万円(画面数10以下) | 80〜150万円(画面数10〜50) | 150〜300万円(画面数50以上) |
| プラットフォーム診断 | 20〜50万円(IP数5以下) | 50〜100万円(IP数5〜20) | 100〜200万円(IP数20以上) |
| ペネトレーションテスト | 100〜200万円(限定スコープ) | 200〜350万円(標準スコープ) | 350〜500万円以上(広範囲) |
| クラウド設定監査 | 30〜80万円(1アカウント) | 80〜150万円(2〜5アカウント) | 150〜300万円(5アカウント以上) |
料金体系のパターン
| 料金体系 | 特徴 | 向いているケース |
|---|
| 固定価格制 | 診断対象・範囲を確定し定額 | 対象が明確な単発診断 |
| 従量課金制 | 画面数やIP数に応じて課金 | 規模の変動がある場合 |
| 年間契約制 | 年間で複数回の診断を定額で契約 | 定期的に診断を実施する企業 |
| サブスク型 | 月額固定で継続的に診断を実施 | セキュリティを継続的に強化したい企業 |
隠れコストに注意
| 項目 | 内容 | 追加費用の目安 |
|---|
| 再診断 | 修正後の確認テスト | 初回費用の20〜30% |
| 報告会 | 経営層向けの説明会実施 | 10〜30万円 |
| 緊急対応 | 重大脆弱性発見時の即日レポート | 20〜50万円 |
| 英語レポート | グローバル企業向け英文報告書 | 初回費用の15〜25% |
セクションまとめ:Webアプリ診断は30〜300万円、ペネトレーションテストは100〜500万円が相場。再診断や報告会の追加費用も事前に確認すべきだ。
3. 監査会社を選ぶ6つの比較ポイント
| # | 評価ポイント | 確認方法 | 重要度 |
|---|
| 1 | 診断員の資格・経験 | OSCP、GPEN、CEH等の資格保有者数、実務経験年数 | ★★★ |
| 2 | 診断方法の透明性 | 使用ツール、手動診断の範囲、テスト項目一覧の開示 | ★★★ |
| 3 | 報告書の品質 | サンプル報告書の確認、再現手順・修正提案の記載有無 | ★★★ |
| 4 | 業界実績 | 同業種・同規模での診断実績 | ★★☆ |
| 5 | アフターサポート | 再診断の対応、修正に関する技術相談 | ★★☆ |
| 6 | 情報管理体制 | 診断データの取り扱い、NDA、ISMS認証の有無 | ★★★ |
診断員の主要資格一覧
| 資格 | 発行機関 | 特徴 |
|---|
| OSCP(Offensive Security Certified Professional) | Offensive Security | 実技試験で侵入テスト能力を証明。業界で最も評価が高い |
| GPEN(GIAC Penetration Tester) | SANS/GIAC | ペネトレーションテストの体系的知識を証明 |
| CEH(Certified Ethical Hacker) | EC-Council | ホワイトハッカーの基礎資格 |
| 情報処理安全確保支援士 | IPA | 日本国内の国家資格、セキュリティ全般の知識 |
セクションまとめ:診断員の資格・報告書の品質・情報管理体制の3つが最重要。特にOSCP保有者の在籍はペネトレーションテストの品質を担保する指標となる。
4. 報告書の読み方ガイド
報告書の一般的な構成
| セクション | 内容 | 読むべき人 |
|---|
| エグゼクティブサマリー | リスク概要、全体評価、推奨アクション | 経営層 |
| 診断概要 | 対象範囲、実施期間、使用ツール、テスト項目 | IT管理者 |
| 発見事項一覧 | 脆弱性の一覧、重大度別の分類 | IT管理者・開発チーム |
| 個別の脆弱性詳細 | 再現手順、影響範囲、修正提案 | 開発チーム |
| リスク評価マトリクス | 発生可能性×影響度で優先度を可視化 | IT管理者 |
重大度(Severity)の読み方
| 重大度 | CVSS目安 | 意味 | 対応期限の目安 |
|---|
| Critical(致命的) | 9.0〜10.0 | 即座に悪用可能、データ漏えいや系統的被害のリスク | 24〜72時間以内 |
| High(高) | 7.0〜8.9 | 条件次第で重大な被害が発生 | 1〜2週間以内 |
| Medium(中) | 4.0〜6.9 | 限定的な影響だが対応が必要 | 1ヶ月以内 |
| Low(低) | 0.1〜3.9 | リスクは低いが改善が望ましい | 次回メンテナンス時 |
| Informational(情報) | — | 直接的なリスクはないが改善推奨 | 任意 |
報告書で確認すべきチェックポイント
- 再現手順が記載されているか:開発チームが修正するために必須
- 修正提案が具体的か:「修正してください」だけでは不十分。具体的なコード例や設定変更手順があるか
- 誤検知(False Positive)の区別:自動ツールの結果をそのまま載せていないか
セクションまとめ:報告書はエグゼクティブサマリーを経営層に、個別脆弱性詳細を開発チームに共有する。重大度Critical/Highは即座に対応を開始すべきだ。
5. 診断後のアクションプラン
優先度に基づく対応フロー
| ステップ | 内容 | 期限目安 |
|---|
| 1. 緊急対応 | Critical/Highの脆弱性を修正 | 1〜2週間 |
| 2. 再診断依頼 | 修正箇所の確認テスト | 修正完了後1週間 |
| 3. 中期対応 | Medium脆弱性の修正、セキュリティ設定の見直し | 1〜3ヶ月 |
| 4. 長期対応 | セキュリティポリシーの改定、研修の実施 | 3〜6ヶ月 |
| 5. 定期診断の計画 | 次回診断のスケジュール策定 | 年次計画に組み込み |
6. よくある失敗パターンと対策
| 失敗パターン | 原因 | 対策 |
|---|
| 診断を受けたが修正しない | 予算・人員不足で放置 | 診断前に修正予算も確保 |
| 安さだけで選んで品質が低い | 自動ツール結果をそのまま納品 | サンプル報告書で手動診断の質を確認 |
| 対象範囲が狭すぎる | 重要システムが診断対象外 | RFPで対象範囲を網羅的に定義 |
| 診断結果を共有しない | セキュリティ担当だけが把握 | 経営層への報告会を契約に含める |
| 1回だけで終わる | 継続的な診断の必要性を認識していない | 年間契約で定期診断を組み込む |
7. まとめ
セキュリティ監査会社を選ぶ際の最重要ポイントは以下の3つだ。
- 診断員の資格と手動診断の比率:自動ツールだけでは検出できない脆弱性がある
- 報告書の品質:再現手順と具体的な修正提案があること
- 診断後のサポート体制:修正の技術相談、再診断への対応
セキュリティ監査のご相談・見積もりはお問い合わせフォームよりお気軽にどうぞ。
8. FAQ
Q1. 初めてセキュリティ診断を受ける場合、どの種類から始めるべきですか?
まずはWebアプリケーション診断とプラットフォーム診断の2つから始めるのが一般的だ。外部公開しているWebサイトやWebアプリケーションが最も攻撃リスクが高いため、ここから対策を始めるのが費用対効果が高い。
Q2. セキュリティ診断はどのくらいの頻度で実施すべきですか?
年1〜2回の定期診断が推奨される。加えて、大規模なシステム改修やリリース前にも実施すべきだ。PCI DSS等のセキュリティ基準に準拠する場合は、基準で定められた頻度に従う必要がある。
Q3. 診断中にシステムが停止するリスクはありますか?
通常の脆弱性診断ではシステムに大きな影響を与えることはないが、ペネトレーションテストでは負荷がかかる可能性がある。診断実施前に影響範囲を確認し、可能であればステージング環境で実施することを推奨する。
Q4. 診断結果の脆弱性を自社で修正できない場合はどうすればよいですか?
診断会社によっては修正支援サービスを提供している場合がある。また、開発会社に報告書を共有して修正を依頼することも一般的だ。報告書に具体的な修正手順が記載されていれば、開発会社への指示がスムーズになる。
Q5. 無料のセキュリティ診断ツールでは不十分ですか?
OWASP ZAPやNessus(Community版)などの無料ツールは自動スキャンとして一定の価値があるが、ビジネスロジックの脆弱性や複合的な攻撃シナリオは検出できない。重要なシステムに対しては、手動診断を含む専門会社の診断を受けることを推奨する。
