Home Service Company News Blog Contact
Knowledge

Blog

2026.03.01 セキュリティ

脆弱性診断とは?
種類・費用・選び方をわかりやすく解説

1分でわかるサマリ

  • 脆弱性診断はWebアプリ・API・サーバー・クラウドの4種類。費用は数十万〜数百万円が相場
  • 自動診断はスピードとコスト、手動診断は精度と網羅性が強み。組み合わせが理想的
  • 選定のポイントは診断手法・準拠規格・報告書の品質・再診断対応の4つ
  • 生成AI搭載システムにはプロンプトインジェクション等の固有リスクがあり、従来の診断だけでは不十分

脆弱性診断とは

脆弱性診断(Vulnerability Assessment)とは、Webアプリケーション、API、サーバー、クラウド環境などのITシステムに存在するセキュリティ上の弱点(脆弱性)を、専門のツールやエンジニアによる手動テストで体系的に発見・評価する検査のことです。

サイバー攻撃は年々高度化しており、情報漏洩やサービス停止といった被害を未然に防ぐため、脆弱性診断は企業のセキュリティ対策において不可欠な取り組みです。

脆弱性診断の主な目的

  • 情報漏洩の防止 — 個人情報や機密データの流出リスクを事前に特定
  • サービス停止の防止 — 攻撃によるシステムダウンを予防
  • コンプライアンス対応 — PCI DSS、ISMS(ISO 27001)等の規制要件を充足
  • 顧客・投資家への信頼性担保 — セキュリティへの取り組みを客観的に証明

脆弱性診断の種類と比較

脆弱性診断は対象となるシステムによって大きく4つに分類されます。

種類 診断対象 主な診断項目 準拠規格
Webアプリ診断 Webサイト全体 XSS、SQLインジェクション、CSRF、認証・セッション管理、IDOR OWASP WSTG / ASVS
API診断 REST / GraphQL API BOLA、BFLA、Mass Assignment、SSRF、レート制御 OWASP API Security Top 10
クラウド診断 AWS / GCP / Azure 設定監査、ストレージ公開設定、認証情報探索、CISベンチマーク CIS Benchmarks
プラットフォーム診断 サーバー・ネットワーク ポートスキャン、DNS設定、メールサーバー、既知脆弱性 OWASP Top 10

自動診断と手動診断の違い

脆弱性診断の手法は大きく「自動診断」と「手動診断」に分けられます。

比較項目 自動診断(ツール診断) 手動診断(エンジニアによる検証)
検出範囲 既知の脆弱性パターン ビジネスロジックの欠陥、複合的な攻撃も検出可能
スピード 高速(数時間〜1日) 数日〜数週間
コスト 比較的低コスト エンジニア工数分のコストが発生
誤検出率 やや高い(過検出あり) 低い(人間が確認)
適したケース 定期チェック、CI/CDパイプライン リリース前の最終確認、重要システムの深い検証

最も効果的なアプローチは、自動診断と手動診断の組み合わせです。まず自動診断で広く網をかけ、次に手動診断で深く掘り下げることで、漏れのない診断が実現できます。

脆弱性診断の費用相場

費用は診断対象の規模・スコープ・手法によって大きく異なりますが、一般的な目安は以下の通りです。

大手セキュリティベンダーに依頼する場合、1,000万円以上の費用がかかるケースも珍しくありません。費用は診断対象の規模・スコープ・手法によって大きく変動します。

診断種別 期間目安 費用の変動要因
Webアプリ診断 2週間〜2ヶ月 画面数・機能の複雑さ・認証パターン
API診断 1〜4週間 エンドポイント数・認証パターン
クラウド診断 2〜6週間 アカウント数・利用サービス数
プラットフォーム診断 1〜3週間 対象IP数・ネットワーク構成

少数精鋭のスタートアップ型セキュリティ企業であれば、管理コストを抑えた分をお客様に還元し、大手と同等の品質をリーズナブルに提供できるケースもあります。まずは無料ヒアリングで見積もりを取ることをおすすめします。

診断会社の選び方チェックリスト

脆弱性診断を依頼する会社を選ぶ際に確認すべきポイントをまとめました。

  1. 診断手法 — 自動のみか、手動診断も含むか
  2. 準拠規格 — OWASP、CIS等の国際標準に準拠しているか
  3. 診断員の実績 — バグバウンティやレッドチーム経験があるか
  4. 報告書の品質 — 再現手順・影響範囲・修正方針が明記されるか
  5. 再診断の対応 — 修正後の再確認が含まれるか(無償か有償か)
  6. コミュニケーション — 重大な脆弱性は即時報告されるか
  7. AI・最新技術への対応 — 生成AIシステムやAPI固有の診断に対応しているか

脆弱性診断の実施タイミング

以下のタイミングでの実施が推奨されます。

  • 定期診断 — 年1回以上(PCI DSS準拠の場合は必須)
  • リリース前 — 新機能・大規模改修のリリース前
  • インフラ変更時 — クラウド移行、サーバー構成変更後
  • インシデント後 — セキュリティ事故が発生した後の再発防止
  • 資金調達・M&A時 — デューデリジェンスの一環として

生成AI時代の新たな脆弱性

LLM(大規模言語モデル)を組み込んだシステムには、従来の脆弱性診断だけでは対応できない固有のリスクが存在します。

脅威 概要 対応規格
プロンプトインジェクション 悪意ある入力でAIの動作を操作し、システムプロンプト漏洩やガードレール回避を引き起こす OWASP LLM Top 10 (LLM01)
エージェント逸脱 AIエージェントが外部ツールを通じて意図しない操作を実行する OWASP LLM Top 10 (LLM08)
RAGデータ汚染 検索拡張生成(RAG)のナレッジベースに悪意あるデータを混入させる OWASP LLM Top 10 (LLM03)
機密情報漏洩 AIが学習データやシステム情報を意図せず出力する OWASP LLM Top 10 (LLM06)

よくある質問(FAQ)

脆弱性診断とペネトレーションテストの違いは?
脆弱性診断はシステムの弱点を網羅的に洗い出す作業で、ペネトレーションテスト(侵入テスト)は実際の攻撃者の視点で特定のゴール(情報窃取、権限昇格など)を達成できるかを検証するテストです。一般的に、まず脆弱性診断で全体像を把握し、必要に応じてペネトレーションテストで深掘りする流れが推奨されます。
脆弱性診断の費用相場はどのくらい?
大手セキュリティベンダーに依頼する場合、1,000万円以上かかるケースも珍しくありません。費用は診断対象の規模・スコープ・手法によって大きく変動します。少数精鋭のスタートアップ型企業であれば管理コストを抑えた分リーズナブルに提供できるケースもあります。Balconyでは初回ヒアリング・見積は無料で対応しています。
脆弱性診断はどのくらいの頻度で実施すべき?
年1回以上の定期的な実施が推奨されています。特に、大規模なリリースやインフラ変更の前後、セキュリティインシデント発生後には臨時で実施することが望ましいです。PCI DSSなどの規制が適用される場合は、最低年1回の実施が義務付けられています。
自動診断と手動診断の違いは?
自動診断はスキャナーツールが既知の脆弱性パターンを網羅的にチェックする方法で、高速・低コストが特徴です。手動診断はセキュリティエンジニアが実際に操作しながらビジネスロジックの欠陥や複合的な攻撃パターンを検証する方法で、自動診断では発見できない脆弱性を特定できます。両方を組み合わせるのが最も効果的です。
生成AIを使ったシステムにも脆弱性診断は必要?
はい、必要です。LLMを組み込んだシステムには、プロンプトインジェクション、システムプロンプト漏洩、エージェント逸脱など、従来のWebアプリ診断では検出できないAI固有の脆弱性が存在します。OWASP LLM Top 10に準拠した専門的な診断が推奨されます。

Balcony合同会社は、OpenAI・Grokのレッドチーム経験者による
手動脆弱性診断を提供しています。
生成AIシステムを含む最新の攻撃手法に対応。初回ヒアリング・見積は無料です。

脆弱性診断サービスの詳細
記事一覧に戻る
Contact

お問い合わせはこちら

ご相談・ご質問はお気軽にお問い合わせください。

お問い合わせフォーム 脆弱性診断を見る
お問い合わせ