「取引先から『脆弱性診断の結果を提出してほしい』と言われたが、そもそも何を、いくらで、どこに頼めばいいのか分からない」——中小企業の経営者やIT担当者から、この相談が明らかに増えています。背景には、サプライチェーン経由の攻撃が一般化し、大手が取引先の中小企業にもセキュリティの証明を求め始めたことがあります。
脆弱性診断は、いまや「大企業だけのもの」ではありません。とはいえ、専門用語が多く、価格の幅も広く、頼み先も玉石混交で、最初の一歩で迷いやすい領域でもあります。本記事では、情シス専任がいない中小企業が、過剰投資も対策漏れも避けながら判断できるよう、脆弱性診断の全体像を整理します。
脆弱性診断とは — 「攻撃者の視点」で穴を探す検査
脆弱性診断とは、Webサイト・アプリ・サーバー・ネットワークなどに、攻撃者が悪用できる欠陥(=脆弱性)が無いかを、実際に攻撃者と同じ手法で洗い出す検査です。健康診断がまだ症状の出ていない病気を見つけるように、脆弱性診断は事故が起きる前に「入られる隙間」を可視化します。
なぜいま中小企業に必要なのか。理由は主に3つです。第一に、攻撃者は規模で標的を選びません。むしろ守りの薄い中小企業は「大手に侵入するための踏み台」として狙われます。第二に、取引先・親会社からセキュリティ体制の証明を求められる場面が増えました。第三に、クラウドやSaaSの普及で、社外に露出する資産(Webアプリ・API・管理画面)が誰の会社にも存在するようになったからです。
脆弱性診断とペネトレーションテストの違い
混同されやすいのが、脆弱性診断とペネトレーションテスト(ペネトレ)です。目的が違います。
| 脆弱性診断 | ペネトレーションテスト | |
|---|---|---|
| 目的 | 穴を網羅的に洗い出す | 特定の穴からどこまで侵入できるか試す |
| 例え | 家中の鍵・窓を一つずつ点検 | 泥棒役が実際に侵入して金庫まで到達を試す |
| 向く場面 | 定期的な棚卸し・取引先への証明 | 重要システムの実戦的な耐性確認 |
| 費用感 | 比較的抑えられる | 高くなりやすい |
中小企業がまず取り組むべきは、多くの場合脆弱性診断です。網羅的に穴を把握し、優先度をつけて塞ぐ。そのうえで、決済や個人情報を扱う中核システムだけをペネトレで深掘りする、という順序が現実的です。
脆弱性診断の種類 — 何を診断するのか
「脆弱性診断」とひと口に言っても、対象によって手法が異なります。自社に必要なのがどれかを見極めることが、過剰投資を避ける第一歩です。
- Webアプリケーション診断: 会員サイト・予約フォーム・ECなど、自社で作り込んだWeb画面が対象。SQLインジェクションやクロスサイトスクリプティングなど、作り込みに起因する穴を探す。中小企業で最も需要が高い
- プラットフォーム(ネットワーク)診断: サーバー・OS・ミドルウェアの設定不備や既知の脆弱性が対象。古いバージョンの放置は典型的なリスクで、nginxの18年放置された脆弱性の事例のように、基盤の穴は影響範囲が大きい
- クラウド設定診断: AWS・Google Cloud などの権限設計・公開範囲の誤りが対象。「S3が全公開だった」型の事故はこの診断で防ぐ
- ソースコード診断(SAST): コードそのものを解析して穴を探す。GitHub CodeQL のような宣言型セキュリティや、ソースコードへのシークレット混入の棚卸しは、開発と一体で回すと効果が高い
主な脆弱性診断ツール — 自動と手動の使い分け
診断は「ツールによる自動診断」と「専門家による手動診断」に大別されます。
自動診断ツールは、OWASP ZAP(無償)、Burp Suite、Nessus、Snyk などが代表的です。広く浅く・繰り返し回せるのが強みで、CI に組み込めば毎リリースで穴を早期発見できます。一方、ビジネスロジックの欠陥(例:他人の注文が見えてしまう権限設計の不備)はツールでは検出しにくく、ここは手動診断の領域です。
現実解は「ツールで日常的に広く回し、節目に手動で深く見る」の二段構えです。GitHub のシークレットスキャンを SecOps に統合する取り組みや、AWS でのAIを活用したペネトレーション相当の運用のように、AI・自動化で日常のコストを下げつつ、人手を要所に集中させるのが2026年の潮流です。
脆弱性診断の費用相場
最も知りたいのが費用でしょう。あくまで市場の相場観として、規模と手法で大きく変わります(下記は業界一般の目安であり、実際の金額は対象範囲で変動します)。
| 診断の種類 | 市場の費用相場(目安) |
|---|---|
| ツール型(SaaS)の自動診断 | 月額 数万円〜 |
| Webアプリ手動診断(小規模) | 数十万円〜 |
| Webアプリ手動診断(中〜大規模) | 100万円超 |
| プラットフォーム診断 | 数十万円〜 |
「安いツール診断で十分か、手動診断まで要るか」は、扱う情報の機微さ(決済・個人情報の有無)と、取引先が求める証明レベルで決まります。フォームが1本の会社と、会員基盤を持つ会社では、必要な投資はまったく違います。相場の全体像は中小企業のWebセキュリティ基礎や、SCS評価制度への対応とあわせて考えると、自社に必要な水準を見極めやすくなります。
依頼先の選び方 — 中小企業がつまずかないための3点
診断を外部に頼む場合、次の3点を確認すると失敗が減ります。
第一に、報告書が「経営が読める」形か。脆弱性を羅列するだけの報告書は、直せません。「どのリスクを、どの順で、なぜ直すべきか」が優先度付きで書かれているかを、サンプルで確認してください。
第二に、再診断(直したあとの確認)が含まれるか。診断は「見つけて終わり」では意味がなく、修正後に本当に塞がったかの確認までが一続きです。ここが別料金で青天井になる契約は要注意です。
第三に、自社の作りを理解したうえで診断できるか。汎用のツールを流すだけでなく、そのシステムがどう作られているかを踏まえて診断できる相手かどうかで、ビジネスロジックの穴の検出精度が変わります。
まとめ — まず「対象の棚卸し」から始める
脆弱性診断は、いきなり高額な手動診断を全面発注する必要はありません。順番はシンプルです。まず社外に露出している資産(Webサイト・フォーム・管理画面・API)を棚卸しし、そのうち機微な情報を扱うものから優先的に診断する。ツールで広く回せる部分は自動化し、決済や個人情報を扱う中核だけ手動で深掘りする。この段階設計ができれば、過剰投資も対策漏れも避けられます。
グリームハブは、システム開発・クラウド構築の受託を通じてセキュリティ実務に取り組んできました。「取引先から診断結果を求められたが何から手を付ければいいか分からない」「自社のどこを診断すべきか棚卸しから相談したい」——そうしたお悩みがあれば、開発・AI・セキュリティのご相談窓口からお気軽にどうぞ。診断対象の棚卸しから、必要な診断範囲の見極め、報告書の読み解きまで、御社の状況にあわせてご一緒します。