多くの企業が脆弱性診断サービスを提供しています。しかし、価格を明示している企業は少なく、ユーザーが脆弱性診断の利用を検討するときに調べる手間がかかります。事前にある程度の金額感を知っておけば、問い合わせをした企業の金額が相場と比べて高いのか安いのか、サービスはどうなっているのかを判断しやすいです。本記事では脆弱性診断の価格の目安やその価格が決まる仕組みを説明します。この記事を読むことで自社に適切な価格で、過不足ないサービスを提供する脆弱性診断を選べるようになります。
目次
1.Webアプリケーション脆弱性診断(セキュリティ診断)のやり方を紹介
脆弱性診断のやり方としては大きく分けて二つありますのでそちらをご紹介致します。
外部に脆弱性診断を依頼
メリット:外部の専門家を活用することで、深い知識と豊富な経験を活かして診断が実施でき、第三者の視点での検証は問題を明確にすることができます。また、内部スタッフが診断作業に関わることはほぼありませんので社内のリソースを使うことはありません。
デメリット:外部に依存することで、社内のリスク管理能力が育たないことや未来のリスクを管理したりする能力を磨く機会が失われる可能性があります。
費用感:通常、外部に診断を依頼すると費用がかかります。自社で該当スキルを有するスタッフを雇用・教育・維持するコストと比較すると悩まれる企業も多いことは間違いありません。
自社で脆弱性診断を実施
メリット:自社で診断すれば、診断結果のフィードバックや修正を素早く行えます。
また、診断プロセスを自社で行なうことで、完全なコントロールが可能になります。不必要なインターフェースを避け、権限管理が容易となります。
デメリット:スキルの高いエンジニアが必要となり、その育成や維持には時間とコストがかかります。また制作者がテストを行うことで、意図せずとも見落としが発生する可能性や第三者の目線での評価が難しいため、評価結果の客観性が欠ける可能性があります。
費用感:自社で診断を実施する場合、直接的な費用は少ないかもしれませんが、診断を行うスタッフの給与や教育投資、診断ツールのライセンス料などを考えると、間接的な費用は決して小さくはありません。また、内部リソースを他の重要な業務から割くことの費用がかかります。
文章の内容をまとめると下記表のようになります。
まずは、脆弱性診断を自社でやるのか外部に依頼するのかをメリット・デメリットを見ながら決めましょう。
2.Webアプリケーション脆弱性診断(セキュリティ診断)の種類を紹介
どこが脆弱性診断をやるのかが決まったら次はどの様に実施するのかを決める必要があります。脆弱性診断の実施方法も大きく分けて「手動診断」「自動診断ツール」の二つの方法があります。双方ともメリット・デメリットがありどちらのほうが良いとは断定が難しいのが本音です。
二つの診断の特徴、メリット・デメリット、費用感を見てどちらが今の自分たちにあっているかを考える参考にしてください。
手動診断
手動診断は、専門のテスターやエンジニアが手作業でWebアプリケーションのセキュリティを検査する方法です。
概要:手動診断では、ソフトウェアを使用せずに、人間が実際にシステムを試験します。アプリケーションの脆弱性を特定し、それがどのように攻撃者に悪用される可能性があるかを理解することを目指します。
特徴:手動診断は、自動化では見逃しがちな複雑なロジックの問題やデザインの欠陥を検出できる点が特徴です。これらのエラーは通常、人間の理解と介入なしには検出できません。
メリット:手動診断の大きなメリットは、その柔軟性と精度です。テスターは特定の状況に即座に対応し、未知の脆弱性を発見できます。また、間違った警告(false positives)が少ないのも魅力の一つです。
デメリット:しかし、手動診断のデメリットとしては、手間と時間がかかることが挙げられます。また、自社でやる場合はテスターの技術力や経験により診断結果にバラつきが出る可能性もあります。
コスト:手動診断は、専門知識と経験が必要なため、自動診断よりもコストがかかります。テスターの資質や経験によって費用は異なりますが、通常は比較的高額な費用がかかることが一般的です。
自動診断ツール
概要:自動診断ツールは、脆弱性スキャンの実行や、セキュリティホールの発見、報告を行います。一般的にはOWASP Top 10など、既知の脆弱性セットに対するチェックを行います。
特徴:自動診断ツールは大量のデータを短時間で処理し、標準的なセキュリティ要件を検証できることが特徴です。エンジニアが手作業で行わなければならない冗長な作業を代行します。
メリット:自動診断ツールの最大のメリットは、大規模なアプリケーションでも高速にスキャンできる点です。また、繰り返し同じチェックを行う必要がある場合、コードを一貫して検証できる信頼性があります。
デメリット:しかし、複雑な脆弱性や新たな脆弱性を見つける能力には限りがあります。また、しばしば間違った警告(false positives)を出すこともあるため、手動で結果を確認する必要が出てきます。
コスト:多くの自動診断ツールは有料で、価格は製品やライセンス形態によりますが、低コストから高コストまで幅広い選択肢があります。一部のツールは無料で提供されている場合もありますが、これらは通常は機能が限定されているので適切な自動診断ツールの導入を検討する必要があります。
手動診断と自動診断の特徴、メリットデメリットはご理解頂けましたでしょうか?簡単にまとめると下記の票のようになります。
セキュリティ予算を確保できるようであれば細かな調査を行うことの出来る手動診断もお薦めです。しかし、社内でも「セキュリティの予算」となるとなかなか費用対効果の判断が難しく予算が取れない場合が多いと聞きます。
そんな方はまず、「無料診断」で自社のサイトに潜むリスクの件数を把握することからお薦め致します。
3.Webアプリケーション脆弱性診断の価格が決まる仕組み
今まで記載した内容の通り、やり方と種類で合計4つあることがわかりました。では実際価格がどの様に決まっているかを書いていきますが内部コストは見えにくいので「外部に依頼する手動診断若しくは自動診断ツール」に限定して記載します。
手動診断の価格の決まり方
脆弱性の手動診断を提供する企業は従量課金システムを採用することが多いです。
通常は1回のリクエストや1ページに対し単価が設定され、その単価で何回分もしくは何ページ分を診断するかで価格が決まります。今後の説明に必要なので、リクエスト数について最初に説明します。
リクエスト数とは命令文1回(ページ遷移1回)の調査回数のこと
リクエスト数とは、ユーザーがアプリケーション上でなんらかの操作を行い、アプリ内でget(情報の取得)やpost(情報の送信)などのリクエストが行われた回数をいいます。
このリクエストはページ遷移を伴うことが多く、ユーザーの操作によって表示されるページが変わる操作1回をリクエスト数の目安と考えておくといいでしょう。
ページ単位の課金ではないので同一ページで複数リクエストが存在した場合、それぞれについて1リクエストあたりの単価がかかります。
このリクエスト数を元に脆弱性診断の全体の価格がどのように決まるのかも確認します。
全体の価格=リクエスト数 × 1リクエストの価格 + アフターサービス(アプリケーションの場合)
脆弱性診断は通常リクエスト数に対して1リクエスト当たりの単価をかけて決まります。そこにアフターサービスの料金が上乗せされます。例えば、100リクエスト分(ページ遷移を100回分)の脆弱性診断を実施する場合を見ていきましょう。
この金額内にアフターサービスの金額が盛り込まれていることが多く、同項目は無料で再検査を実施する企業や、検査内容についてメールサポートをする企業もあります。
自動診断ツールの価格の決まり方
自動診断ツールの脆弱性診断についてです。これちらは企業によって大きく価格がことなったり使用範囲が異なりますので具体例を上げて比較していきます。
基本的にはツールの利用料金となっており提供する会社の考え方やツールの開発コストによって大きく金額が変わります。
他にも、事前にツールで脆弱性診断を行えば脆弱性のあるページを把握できるため、社内に専門のエンジニアがいれば脆弱性の修正を自社で行いやすいこともメリットの一つです。
さらに企業にあらためて診断を依頼する場合にも、脆弱性の数がどのくらいあるのか把握できているため価格感もわかります。
無料の脆弱性診断ツールの活用と注意点
脆弱性診断ツールは完全無料で使える脆弱性診断ツールがあります。代表的なサービスとしては「OWASP ZAP」が挙げられます。
OWASP ZAP
ZAPは世界中の脆弱性の情報を集めている研究機関が提供しているツールとなっているため、診断項目には信頼は高くWebサイトに潜むリスクを発見してくれます。
しかし注意点としては設定や診断結果が専門のエンジニアでなければ難しいという点です。仮にセキュリティ専門のエンジニアを採用し脆弱性診断に関する対応を依頼すると、月間50万円~100万円程度コストがかかります。もちろん自社でエンジニアを採用して運用することは迅速に対応出来たり社内にセキュリティに対するノウハウも蓄積出来るため、非常にメリットがあります。
無料ツールを利用してもセキュリティエンジニアの人件費によってコストがかかるため、人件費も考慮した金額で本当に無料ツールを利用すべきか検討しましょう。
まずは無料で脆弱性診断を始めましょう!
企業が扱う情報は自社内開発データから顧客や取引先から預かった情報まで多岐にわたります。これらの情報は非常に価値があり、悪意ある攻撃者はいつでも企業の持つ情報を狙っています。
とりわけ、企業システム内に脆弱性を持っている企業が狙われてサイバー攻撃の餌食になっていることは当社記事「SQLインジェクションの被害事例5選!具体的な手口や対策を紹介」を見ていただくとわかります。
しかし、自社内のシステムやサービスにどのくらいの数の脆弱性があるか把握している企業は多くありません。どこに脆弱性があるかわからない状態で企業に依頼した場合、費用がいくらになるのか予測しにくく、その状態ではなかなか予算を取ることが難しいでしょう。
そのため、まずは自社の抱える脆弱性の数を把握するためにも、当社のツール「secuas」を利用してみてください。「secuas」は必要な情報を1分程度入力するだけで、貴社サイトやサービスのどこに脆弱性が存在しているかすぐに把握できます。
あらかじめ脆弱性が存在する場所と数がわかれば、あらためて企業に脆弱性診断を依頼する場合や、脆弱性の改善を依頼する場合でも余計な部分の検査を省いて検査費用を抑えられるので、この機会にぜひ「secuas」をご利用ください。