多くの企業が脆弱性診断サービスを提供しています。しかし、価格を明示している企業は少なく、ユーザーが脆弱性診断の利用を検討するときに調べる手間がかかります。
事前にある程度の金額感を知っておけば、問い合わせをした企業の金額が相場と比べて高いのか安いのか、サービスはどうなっているのかを判断しやすいです。
本記事では脆弱性診断の価格の目安やその価格が決まる仕組みを説明します。この記事を読むことで自社に適切な価格で、過不足ないサービスを提供する脆弱性診断を選べるようになります。
目次
1.脆弱性診断(セキュリティ診断)の価格は無料から数百万円!
脆弱性診断は無料でできるものから数百万円かかるものまで幅広く提供されています。
なぜ脆弱性診断にはこれほど大きな価格差が生じるのか、下表の価格感とあわせて確認します。
※アプリケーションは99ページ(99リクエスト想定)当たり、プラットフォームは99IP当たりの価格目安
2.脆弱性診断の価格が決まる仕組み
脆弱性診断を提供する企業は従量課金システムを採用することが多いです。
通常は1回のリクエストや1ページに対し単価が設定され、その単価で何回分もしくは何ページ分を診断するかで価格が決まります。
今後の説明に必要なので、リクエスト数について最初に説明します。
リクエスト数とは命令文1回(ページ遷移1回)の調査回数のこと
リクエスト数とは、ユーザーがアプリケーション上でなんらかの操作を行い、アプリ内でget(情報の取得)やpost(情報の送信)などのリクエストが行われた回数をいいます。
このリクエストはページ遷移を伴うことが多く、ユーザーの操作によって表示されるページが変わる操作1回をリクエスト数の目安と考えておくといいでしょう。
ページ単位の課金ではないので同一ページで複数リクエストが存在した場合、それぞれについて1リクエストあたりの単価がかかります。
脆弱性診断をページ単位で行う企業もあるので、見積もり時に「100ページなので単価の100倍が料金だ」と考えていると、実際の数と異なる可能性があるので注意してください。
では、このリクエスト数を元に脆弱性診断の全体の価格がどのように決まるのかも確認します。
全体の価格=リクエスト数 × 1リクエストの価格 + アフターサービス(アプリケーションの場合)
脆弱性診断は通常リクエスト数に対して1リクエスト当たりの単価をかけて決まります。そこにアフターサービスの料金が上乗せされます。例えば、100リクエスト分(ページ遷移を100回分)の脆弱性診断を実施する場合を見ていきましょう。
企業が実施する脆弱性診断は1リクエスト当たりの価格が35,000円~60,000円なので、100リクエストを依頼すると3,500,000円~6,000,000円が調査費用の目安です。
この金額内にアフターサービスの金額が盛り込まれていることが多く、同項目は無料で再検査を実施する企業や、検査内容についてメールサポートをする企業もあります。
一方で、個人に依頼したときの価格は1リクエスト当たり数千円~と非常に安価です。同じ100リクエストを依頼した場合、個人では数十万円で済みます。
ただし、企業と比べるとアフターサービスが弱いのも特徴です。同項目の再検査を行うために別途費用がかかる場合や、そもそもアフターサービスが存在しない場合もあるため、依頼前に診断後のサービス内容も確認しましょう。
最後にツールのみの脆弱性診断についてです。これは企業が開発したツールを無料で利用できます。
自社に脆弱性があるのか、どのページを調査してもらえばいいのか分からない場合に便利です。
他にも、事前にツールで脆弱性診断を行えば脆弱性のあるページを把握できるため、社内に専門のエンジニアがいれば脆弱性の修正を自社で行いやすいこともメリットの一つです。
さらに企業にあらためて診断を依頼する場合にも、脆弱性の数がどのくらいあるのか把握できているため価格感もわかります。
仮にツールを利用しないで企業に診断を依頼した場合、思っているより多くの検査が必要になり、脆弱性のない検査不要な箇所を検査してしまう可能性が高いです。
検査1リクエストに対して費用がかかるので、本来検査する必要のなかった項目を検査することで無駄な費用がかかります。
無料ツールの落とし穴
ただし、完全無料で使える脆弱性診断ツールは、診断内容が専門のエンジニアでなければ理解できない点に大きな落とし穴があります。
仮にセキュリティ専門のエンジニアを採用し脆弱性診断に関する対応を依頼すると、月間50万円~100万円程度コストがかかります。
無料ツールを利用してもセキュリティエンジニアの人件費によってコストが大幅にかかるため、人件費も考慮した金額で本当に無料ツールを利用すべきか検討しましょう。
1リクエストの単価は工数と診断対象で決まる
企業の脆弱性診断は1リクエスト当たり数万円、個人では数千円、ツールにいたっては無料で利用可能と説明しました。このように価格差が生じる理由は、それぞれかかる工数と診断対象が異なるからです。
企業の場合、検査項目が多岐にわたりツールで検査をかけた後に人が手作業でその脆弱性を検査する工程があります。人が手作業でひとつひとつ脆弱性を確認するので、人件費がかかり調査費用が高額になります。
また、アフターサービスが充実している点も企業の脆弱性診断が高額な理由のひとつです。
脆弱性診断後、無償で修正箇所の再診断をする企業や、報告内容に対する質問をメールでサポートする企業などがあります。
詳細な報告書の作成や報告会を開催する企業も多く、自社内のメンバーだけでは診断内容を共有することが難しい場合には便利です。
これに対して個人が安い理由は、検査項目が企業の実施内容より少ないことやアフターサービスが付帯していないためです。追加調査には再度費用がかかる場合や、報告書もPDFファイルが送付されるだけのサービスもあります。
アフターサービスが付帯しなくても、費用を抑えて取り急ぎ最低限の検査を行いたい場合には個人に依頼することも選択肢の一つです。
今回はわかりやすいようにアプリケーションのみの脆弱性診断を解説しましたが、プラットフォームを診断してくれるサービスもあります。
また、プラットフォームを診断するサービスは1リクエストではなく1IPアドレス単位での調査となり、費用も1IP当たり数万円~十数万円とアプリの脆弱性診断よりは比較的高額になりがちです。
価格だけではなく検査の内容や診断対象、その後のサービス内容も確認した上で脆弱性診断を実施することが望ましいです。
まずは無料で脆弱性診断を始めましょう!
企業が扱う情報は自社内開発データから顧客や取引先から預かった情報まで多岐にわたります。これらの情報は非常に価値があり、悪意ある攻撃者はいつでも企業の持つ情報を狙っています。
とりわけ、企業システム内に脆弱性を持っている企業が狙われてサイバー攻撃の餌食になっていることは当社記事「SQLインジェクションの被害事例5選!具体的な手口や対策を紹介」を見ていただくとわかります。
しかし、自社内のシステムやサービスにどのくらいの数の脆弱性があるか把握している企業は多くありません。
どこに脆弱性があるかわからない状態で企業に依頼した場合、費用がいくらになるのか予測しにくく、その状態ではなかなか予算を取ることが難しいでしょう。
そのため、まずは自社の抱える脆弱性の数を把握するためにも、当社のツール「secuas」を利用してみてください。
「secuas」は必要な情報を1分程度入力するだけで、貴社サイトやサービスのどこに脆弱性が存在しているかすぐに把握できます。
ちなみに、他社脆弱性診断サービスを利用した際の料金比較は以下の通りです。
※1リクエスト当たりの価格目安
【ツール、secuas、企業対応の99リクエストあたりのコスト比較】
※価格は~99リクエスト調査当たりの目安
上記の通り、月額のコストで見るとsecuasが他社と比べて低価格であり、脆弱性の対策方法までご提案可能です。
あらかじめ脆弱性が存在する場所と数がわかれば、あらためて企業に脆弱性診断を依頼する場合や、脆弱性の改善を依頼する場合でも余計な部分の検査を省いて検査費用を抑えられるので、この機会にぜひ「secuas」をご利用ください。