なぜ中小企業にセキュリティ診断が必要なのか
「うちは大企業ではないから狙われない」という認識は、もはや通用しない。警察庁のサイバー犯罪レポートによれば、ランサムウェア被害の約6割は中小企業で発生している。攻撃者は企業規模ではなく「侵入しやすさ」で標的を選ぶ。セキュリティ対策が手薄な中小企業は、むしろ格好の標的となっているのが実態だ。
脆弱性診断やペネトレーションテストは、自社のシステムに存在するセキュリティ上の弱点を事前に把握し、対策を講じるための手段である。問題が発生してからの事後対応に比べ、事前の診断にかかるコストは桁違いに安い。情報漏えい1件あたりの平均被害額が約4,000万円(JNSA調べ)であることを考えれば、年に1回の診断費用は合理的な投資といえる。
脆弱性診断とペネトレーションテストの違い
この2つは混同されがちだが、目的もアプローチも異なる。正しく理解したうえで、自社に必要な診断を選ぶことが重要だ。
脆弱性診断(Vulnerability Assessment)
脆弱性診断は、システムやネットワークに存在する既知の脆弱性を網羅的に洗い出すことを目的とする。自動化ツール(スキャナー)を用いて、OSやミドルウェアのバージョン情報、設定の不備、既知のCVE(Common Vulnerabilities and Exposures)に該当する脆弱性を検出する。診断結果はリスクの深刻度(Critical/High/Medium/Low)で分類され、対応の優先順位が明確になる。
対象範囲が広く、比較的短期間で実施できるのが特徴だ。Webアプリケーション診断であれば数日から1週間、ネットワーク診断であれば1日から数日で完了する。費用も後述するペネトレーションテストに比べて抑えられるため、定期的な実施に適している。
ペネトレーションテスト(Penetration Test)
ペネトレーションテスト(ペネトレ)は、実際の攻撃者の視点でシステムへの侵入を試みる実践的なテストだ。脆弱性診断が「弱点の洗い出し」であるのに対し、ペネトレは「その弱点を使って実際にどこまで侵入できるか」を検証する。
高度な技術を持つセキュリティエンジニア(ペンテスター)が手動で攻撃シナリオを組み立て、複数の脆弱性を組み合わせた攻撃チェーンの実現可能性を評価する。たとえば、Webアプリケーションの脆弱性から内部ネットワークに侵入し、Active Directoryの管理者権限を奪取するまでの経路を実証するといった内容だ。
実施期間は1週間から数週間、費用は100万円以上が一般的であり、脆弱性診断に比べて大きな投資となる。ただし、実際の攻撃に対する耐性を検証できるため、リスクの定量的な把握に有効だ。
どちらを選ぶべきか
中小企業が最初に取り組むべきは脆弱性診断だ。まず自社システムの弱点を網羅的に把握し、優先度の高い脆弱性を修正する。その上で、ECサイトや顧客情報を扱うシステムなどリスクの高い資産に対してペネトレーションテストを実施するのが合理的な順序となる。
実施頻度の目安
セキュリティ診断は一度実施すれば終わりではない。システムの変更やソフトウェアの更新、新たな脆弱性の発見により、セキュリティ状態は常に変化する。
脆弱性診断の推奨頻度
定期診断として年に1回以上、加えてシステムの大規模改修やインフラ変更後にも追加で実施することが望ましい。PCI DSS準拠が求められる環境では四半期ごとの外部スキャンが義務付けられている。Webアプリケーションの機能追加やAPIの新規公開時にも追加診断を検討すべきだ。
ペネトレーションテストの推奨頻度
年に1回の実施が一般的な目安だ。ただし、ビジネスの重要度やリスク許容度によって頻度は変わる。金融系や医療系など機密性の高い情報を扱う業種では半年に1回の実施が推奨される場合もある。
主要5社のサービス比較
中小企業が利用しやすいセキュリティ診断サービスを5社取り上げ、特徴と費用感を比較する。
LAC(ラック)
国内セキュリティ業界の老舗であり、脆弱性診断からペネトレーションテスト、SOC運用まで幅広いサービスを提供する。Webアプリケーション診断は50万円台から、ペネトレーションテストは200万円台からが目安。大企業の実績が豊富で、高度な技術力に定評がある。診断レポートの品質が高く、経営層への報告にもそのまま使える内容だ。中小企業向けにはパッケージ化されたプランも用意されている。
NRIセキュアテクノロジーズ
野村総合研究所グループのセキュリティ専門企業。金融機関での実績が特に豊富で、厳格な基準に基づいた診断を提供する。Webアプリケーション診断は機能数に応じた見積もり方式で、60万円台から。ペネトレーションテストは300万円前後からとなる。コンサルティングと一体化したサービスが特徴で、診断後の改善支援まで含めた包括的なサポートを受けられる。
GMOサイバーセキュリティ byイエラエ
旧イエラエセキュリティがGMOグループ入りした企業。バグバウンティ(脆弱性報奨金制度)出身の優秀なエンジニアが多数在籍しており、攻撃者目線での診断力が強みだ。Webアプリケーション診断は30万円台から、ペネトレーションテストは150万円台から。比較的リーズナブルな価格設定と高い技術力のバランスが中小企業にとって魅力的だ。
セキュアスカイ・テクノロジー
クラウドWAF「Scutum」の提供元でもあるセキュリティ企業。Webアプリケーション診断に特化しており、診断とWAF運用を一体で提供できる点が強みだ。診断費用は40万円台からで、中小企業向けのパッケージプランも用意されている。WAFの導入を併せて検討している企業にとっては、診断結果をそのままWAFの設定に反映できるメリットがある。
Vex(ユービーセキュア)
自動診断ツール「Vex」を提供する企業で、ツール利用と手動診断の組み合わせによるハイブリッド型サービスが特徴。自動診断ツールのライセンス提供は年額100万円台からで、内製化を目指す企業に適している。手動診断サービスも別途提供しており、30万円台から利用可能だ。診断の頻度を上げたい企業にとっては、ツール導入による内製化がコスト面で有利になるケースがある。
費用相場の全体像
中小企業がセキュリティ診断を外注する場合の費用相場を整理する。
Webアプリケーション脆弱性診断は、対象となる画面数や機能数によって変動するが、30万円から100万円が一般的な範囲だ。簡易的な自動スキャンのみであれば10万円台からのサービスもあるが、手動診断を含まないため検出精度に限界がある。
ネットワーク脆弱性診断は、対象となるIPアドレス数やサーバー台数に応じて20万円から80万円程度。クラウド環境の設定診断(AWS、Azure等の設定不備の検出)は30万円から60万円が相場となっている。
ペネトレーションテストは、対象範囲とシナリオの複雑さによって100万円から300万円の幅がある。Active Directoryへの侵入テストや物理的なソーシャルエンジニアリングを含む場合は、さらに高額になることもある。
内製か外注か――判断基準を整理する
セキュリティ診断を自社で行うか、外部の専門企業に委託するかは、コストと技術力のバランスで判断する。
内製が向いているケース
自社にセキュリティエンジニアが在籍しており、診断ツールの運用経験がある場合は内製化のメリットが大きい。OWASP ZAP(無料)やBurp Suite(年額約6万円から)などのツールを用いて、開発サイクルの中に診断プロセスを組み込むことができる。DevSecOpsの考え方に基づき、CI/CDパイプラインに自動スキャンを統合すれば、リリース前に脆弱性を検出する仕組みを構築できる。
外注が向いているケース
セキュリティの専門人材がいない場合、あるいは客観的な第三者評価が必要な場合は外注が適している。取引先や顧客からセキュリティ診断の証明を求められるケースでは、第三者による診断報告書が必須となることも多い。また、ペネトレーションテストは高度な技術と経験が求められるため、基本的に外注が前提となる。
ハイブリッドアプローチ
最もバランスの良い方法は、日常的な脆弱性スキャンは自動ツールで内製化し、年に1回の包括的な診断は外部専門企業に委託するハイブリッドアプローチだ。これにより、コストを抑えつつ一定の診断品質を維持できる。
診断の種類と対象範囲を正しく理解する
一口に「セキュリティ診断」といっても、対象範囲によって複数の種類がある。自社に必要な診断を見極めるために、代表的な診断タイプを整理する。
Webアプリケーション診断
ECサイト、会員制サービス、業務用Webシステムなど、Webアプリケーションを対象とした診断だ。SQLインジェクション、XSS、CSRF、認証・認可の不備、セッション管理の問題などを検出する。OWASP Top 10に列挙された脆弱性を網羅的にチェックするのが標準的なスコープとなる。対象となる画面数や入力フォームの数によって費用と期間が変動する。
プラットフォーム診断(ネットワーク診断)
サーバーやネットワーク機器のOS、ミドルウェア、サービスを対象とした診断だ。パッチ未適用の脆弱性、不要なポートの開放、暗号化設定の不備、デフォルトパスワードの残存などを検出する。外部からの診断(External Scan)と内部ネットワークからの診断(Internal Scan)があり、それぞれ検出できるリスクが異なる。
クラウド設定診断
AWS、Azure、Google Cloudなどのクラウド環境における設定不備を検出する診断だ。IAMポリシーの過剰な権限付与、S3バケットの公開設定、セキュリティグループの不適切なルール、暗号化の未設定など、クラウド特有のリスクを対象とする。CIS Benchmarks(Center for Internet Security)やクラウドベンダーのベストプラクティスに基づいて評価される。
API診断
REST APIやGraphQL APIを対象とした診断だ。認証・認可の不備、レート制限の欠如、過剰なデータ露出、インジェクション脆弱性などを検出する。APIの利用が増加する現代のシステムにおいて、API固有のセキュリティリスクを評価することの重要性は高まっている。
診断サービスを選ぶ際のチェックリスト
セキュリティ診断サービスの選定で失敗しないために、確認すべきポイントを整理する。
診断員の資格と実績
診断を担当するエンジニアがCEH(Certified Ethical Hacker)、OSCP(Offensive Security Certified Professional)、GIAC系の資格を保有しているかを確認する。資格は技術力の絶対的な保証ではないが、一定の水準を担保する指標にはなる。また、診断会社の業界別の実績(製造業、金融、医療など)も確認し、自社の業種に近い診断経験があるかを把握する。
レポートのサンプル確認
診断レポートの品質は、診断会社によって大きく異なる。契約前にレポートのサンプルを請求し、脆弱性の説明がわかりやすいか、再現手順が明確か、対策方法が具体的かを確認する。経営層に提出するエグゼクティブサマリーと、技術者が対応するための詳細レポートの両方が含まれていることが望ましい。
再診断の条件
多くの診断サービスでは、修正後の再診断が料金に含まれている場合と、別料金となる場合がある。再診断の回数制限、有効期間(納品後1か月以内など)、対象範囲(修正箇所のみか全体か)を事前に確認しておくことで、追加費用の発生を避けられる。
緊急時の対応体制
診断中にCriticalレベルの脆弱性が発見された場合に、即座に報告してもらえる体制があるかを確認する。通常のレポート提出を待たずに緊急報告を受けられれば、攻撃者に悪用される前に対処できる可能性が高まる。
診断結果を活かすための実践ポイント
診断を実施しても、その結果を適切に活用しなければ意味がない。診断後のアクションとして重要なポイントを整理する。
優先順位の明確化
診断結果に含まれる脆弱性すべてを同時に修正するのは現実的ではない。CVSS(Common Vulnerability Scoring System)スコアを基準に、Critical(9.0以上)とHigh(7.0以上)の脆弱性から優先的に対処する。特にインターネットに面したシステムの重大な脆弱性は、発見から72時間以内の対応を目標とすべきだ。
修正後の再診断
脆弱性を修正した後は、必ず再診断を実施して修正が正しく行われたことを確認する。修正の際に新たな脆弱性が生まれることもあるため、修正箇所だけでなく周辺の機能も含めて再チェックする。
経営層への報告
診断結果は技術部門だけでなく経営層にも共有する。技術的な詳細よりも、ビジネスリスクとしてのインパクト(情報漏えい時の想定被害額、事業停止期間など)を中心に報告することで、セキュリティ投資への理解を得やすくなる。
診断記録の保管
過去の診断結果を蓄積することで、セキュリティ対策の改善状況を時系列で把握できる。前回の診断で検出された脆弱性が今回も残っていないか、新たな種類の脆弱性が増えていないかを比較分析することで、対策の実効性を評価できる。また、ISMSやPマーク取得の際にも診断記録は重要な証跡となる。
まとめ
脆弱性診断とペネトレーションテストは、中小企業がサイバー攻撃から自社を守るための基本的な取り組みだ。まずは脆弱性診断で弱点を網羅的に把握し、リスクの高い領域にはペネトレーションテストで実践的な検証を行う。費用は30万円から300万円の幅があるが、情報漏えい時の被害額と比較すれば合理的な投資である。内製と外注を組み合わせたハイブリッドアプローチで、コストと品質のバランスを取りながら継続的に実施することが重要だ。
自社システムの脆弱性、把握できていますか?
GXOでは、Webアプリケーションやネットワークの脆弱性診断を中小企業向けにご提供しています。診断の範囲や費用について、まずはお気軽にご相談ください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK