WEBアプリケーション診断の費用
こちらでは、WEBアプリケーション脆弱性診断の費用について紹介しています。脆弱性診断について気になっている人は、ぜひ参考にしてみてください。
WEBアプリケーション診断の費用相場
セキュリティ診断サービスを利用して脆弱性対策を行う場合、一回あたりの費用の目安は、「無料/30万円未満/100万円未満/100万円以上」などとなっています。システムの規模や診断内容、オプションなどによっても価格は大きく違ってきますので、詳しくは見積りをとってみるといいでしょう。また、診断を実施するのが平日・休日、昼間・夜間、リモート・訪問かによっても費用は変わります。
HOW TO CHOOSE
WEBアプリケーション
脆弱性診断会社の選び方
WEBアプリケーションの脆弱性診断を行う会社の選び方について、単発で依頼するのか、継続して依頼するのかなど、自社の状況や課題に応じた依頼方法を考えましょう。
「ごひいきにしてくれているクライアントからの要望で高いセキュリティ性を求められている」、「開発が多くリリース前には必ず診断を行いたい」や「油断していたら既に攻撃を受けてしまった!」など、まずは自社が置かれている状況や課題を把握しましょう。
継 続
例えばこんな会社は、
- アップデートの多いサービスや、
複数のサービスを展開している
- 取引先からの依頼で
診断を行わなくてはならない
長くお付き合いのできる
継続向きの会社を選びましょう
単 発
例えばこんな会社は、
- 攻撃や被害に遭い、とにかく急いでいる
- 継続的に診断してもらう予定はない
迅速診断を得意とする
単発向きの会社を選びましょう
WEBアプリケーション診断の費用の違い
技術力
どのセキュリティ診断サービスでも、診断項目に関しては大きな差はありませんが、資格取得者などの技術者の手動診断では、その技術者の経験や知見に基づいた細かな診断など、力量が関係してきます。
診断の深さ
ツールを利用する際は、診断シナリオの設定などの手間もかかりますし、検知内容が妥当なのかを判断するための知識も必要です。技術者による手動診断では、ツールでは気づけないようなシステムの脆弱性をも探ります。
手法の違い
技術者による手動診断がメインで、ツール診断はサブ的に行う場合や、ツールによる自動診断と技術者による手動診断を組み合わせて行う場合は、技術者の手動診断にかかる稼働量が増えれば増えるほど費用がかかります。
診断項目の違い
どのセキュリティ診断サービスでも、診断項目自体に大きな違いはないといっていいでしょう。費用によって診断項目数が増えたり減ったりするとわけではありません。
費用設定の単位の違い(画面、リクエスト)
HTTPリクエストのリクエスト数をもとに、「リクエスト数 × 1リクエストあたりの価格」で計算されるのがほとんど。1リクエストあたりの相場は数万円の場合が多いです。画面数から費用を算出することもありますが、正確ではない場合があります。
診断レポートの充実度
セキュリティ診断サービスの価格に応じて、レポートの充実度や、どのような対策をすればいいのか、また、その後のサポートなどの診断後の対応内容も変わってきます。有料サービスでは、診断後にレポートが提出されるのはもちろん、直接報告や、修正箇所の再診断、対策方法のアドバイスなどの手厚いサポートサービスがあるでしょう。
以上のような違いがあるため、費用にも差が発生します。診断の際に何を重視するかによって、どの会社のどのプランを選べばよいかが見えてきますので、参考にしてみてください。
本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。
専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。
[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる
