知らなきゃ損する!
費用が10倍以上も変わる可能性があります。
テキトーに脆弱性診断の見積を取ると、想像より遥かに高額で「ボッタクリか!?」とブッたまげることになりかねません。 特に中小企業や個人事業主の場合ですと、「よく分からないから全部お任せします。」という感じで業者に丸投げし、それが原因で費用が膨らむおそれがあります。
このページでは脆弱性診断の費用や見積に関する説明と、コストを抑えるためのコツなどを詳しく書いております。ぜひ一度お読み頂き、無駄・過剰を防いでコスパ良く脆弱性診断サービスをご利用ください。
コンピュータの話だと一般の方はイメージしにくい部分が多いかと思いますので、ここでは「自動車の検査」を例に説明します。
検査と一口に言っても、その大変さや費用は内容ごとに全然違うことが上の例からお分かり頂けるかと思います。
脆弱性診断もこの例と同じで、診断内容によって大変さや費用が大きく変わります。シンプルな診断内容の場合は費用がかなり安いですが、逆に、複雑で難易度の高い精密検査だと費用がドッカーンと大きく膨らみます。
脆弱性診断の費用は、対象物の種類やボリュームなどに基づいて算出されます。
作業量が増えれば増えるほど費用は高くなりますし、同様に難易度が高ければ高いほど費用は高くなります。逆に診断内容がシンプルならば費用は低いです。
また、手動診断/自動診断によっても費用は大きく変わります。
自動診断とは、専用ツールを使用して作業を半自動化する診断手法です。雑多な作業を半自動化することで調査員の作業負担を削減し、脆弱性診断の費用を抑えられるので、今日では様々な場面で自動診断が活用されています。
ただしメリットばかりでなく、看過できない大きなデメリット(危険な一面)もあります。そのため自動診断が適切か否かは見積の際に診断会社の担当者とよく打ち合わせをして決めるべきです。
「安いから自動診断だけでいいや。」というように出鱈目に決めてしまうと、後で泣きを見ることになりそうです。
とても安価な脆弱性診断サービスがあります。それは機械的かつ限定的な内容の自動診断となりますので、当然のごとく誤検知や検出漏れがそこそこ発生します。また、自動診断では全く調べられない項目も結構あります。そのため激安版だけを実施して安心するのは間違いです。とは言え「何もしないよりマシ」ですし、とても安いので気軽に利用できますし、日常的な簡易点検のつもりで利用するのは大いに「有り」だと思います。
ただし、ずーっといつまでも激安版だけで大丈夫というわけではありません。どんな業種でも少なくとも「年イチ」でより精密な診断が必要になります。とくに通販事業者、医療、金融などといった多くの個人情報や機微情報を扱う業種の場合ですと、定期診断/臨時診断が義務付けられている、または義務化される予定ですので、安易に激安版だけで済ませていると後々に責任問題になりかねませんので注意が必要です。
当社では中小企業や個人事業主に向けて、ミニマムな簡易版の脆弱性診断サービスを5万円からご用意しております。
シンプルな仕様のシステムの場合は発生し得るインシデントも割と限定的ですので、それに合わせて脆弱性診断の内容を絞り込んで費用を抑えるのが簡易版サービスです。
『どんなシステムも簡易版でバッチリOK!』というわけではありませんが、お客様とのヒアリングを通して簡易版で済みそうだという場合や、ご予算による制限が厳しい場合などにお勧めしております。
システム全体を網羅的に診断する場合は当然に作業量が膨らむため、システムの規模に比例して費用は青天井です。網羅的な脆弱性診断はセキュリティの観点から見れば理想的ですが、しかし現実的には予算の問題がありますので、一部の例外を除いて通常のケースでは網羅性まで求められず、下記例のように診断対象を絞り込んで費用を抑えることになります。
【例】
どれだけ絞り込むかは、お客様の目的、リスク評価、環境構成などが絡み合うことのため千差万別であり、費用もケースごとにバラバラで一概に幾らと言えません。そのため費用感を申し上げるのはなかなか難しいのですが、当社のメインターゲットである中小企業のお客様に対しては、ざっくり大雑把に次のような金額になることが多いとご案内しております。
一般的感覚からすると「100万円は高い!」と感じる人が多いかと思います。しかし実は、脆弱性診断で100万円以上かかるのって結構普通です。セキュリティ業界の人たちの感覚では、100万円を下回れば「安い」と感じ、100万円を超えるのは「普通」と感じるようです。
でも、それって小さな会社や個人事業主にとってはかなり重い負担ですよね?
そのため当社のような中小企業をメインターゲットとする企業では、診断内容を絞り込んで低価格したサービスをメニューに加えている次第です。
理想を言えば100万円以上かけてしっかりと調べた方が良いのですが、しかし現実的にそれは難しいという場合は、低価格版のサービスをご検討ください。
脆弱性診断サービスをご検討されている方は以下のサイトも参考になります。
SaaS・ITサービスの比較サイトならkyozon
リンク先サイトで「脆弱性診断」をキーワード検索すると、色々なセキュリティサービスの情報を閲覧できます。
AIによる診断サービスや、モバイルアプリやWebアプリケーションなどの診断サービスのほか、ペネトレーションテスト(実際に侵入&情報窃取を試みる検査方法)のサービスなども紹介されています。
『安いものは安いなりで、高いものには理由がある。』
という、あらゆる商品・サービスで共通する概念は脆弱性診断サービスにも当てはまります。ただし、費用が高ければ高いほど良いというわけでもないです。オーバースペックになる可能性があります。
『やらなくても問題ない項目に対して万全の脆弱性診断をおこない、無駄に費用が膨む。』
ということが起こり得ます。
無駄を省く、つまり検査作業の無駄な工数を減らせば、当然に費用も抑えることができます。
しかし脆弱性診断においては、検査作業を減らすと検査精度が落ちるというリスクがあります。
『精度が落ちない程度に減らせば良いじゃん。』と思われるでしょうが、残念ながらそれができない理由があります。
コンピュータの話だと分かり難いと思いますので、もっと身近な「小学校の理科の実験」を例に挙げて説明します。
理科の授業で「リトマス試験紙」を使った実験をおこなったかと思います。青色と赤色のリトマス試験紙に液体を染み込ませると、色が青→赤/赤→青に変化するという実験です。
下記の実験の例をイメージしてください。
ガラス製のビーカーが10個あります。
それぞれのビーカーには、無色透明の液体が入っています。
それらの液体の性質は酸性なのか、アルカリ性なのか、中性なのか、目で見ただけでは分かりませんが、リトマス試験紙を使えば調べることができます。
青色のリトマス試験紙に液体を染み込ませて、色が青→赤に変わったら、その液体は酸性だと分かります。
赤色のリトマス試験紙に液体を染み込ませて、色が赤→青に変わったら、その液体はアルカリ性だと分かります。
青・赤の両方とも色が変化しなかった場合は、その液体は中性だと分かります。
(両方とも変化した場合はエラーのためやり直し)
つまりビーカー1個あたり青1回、赤1回というように合計2回の検査をすれば良いです。
10個のビーカーを検査する場合、1個あたり2回の検査を10回繰り返すこととなりますので、全体で合計20回の検査をおこなうこととなります。
脆弱性診断も上の例と似ています。1つの対象項目を調べるために1回~3回ほどの検査をおこない、その反応を見て脆弱性の有無を判断する、という作業をおこないます。そしてそのような検査作業を、検査する項目の数だけ繰り返すという流れで進めます。検査する項目が10項目ならば合計10~30回ぐらい、100項目なら合計100~300回ぐらいというように、色々な種類の脆弱性を調べるために何度も何度も検査作業を繰り返すことになります。
さて、脆弱性診断では検査作業を減らせない理由の説明に移ります。
先程のリトマス試験紙の例では、ビーカーに液体が入っていることが目で見てすぐに分かります。
そのため次のように検査を省略して作業の工数を減らすことができます。
例えばサーバーを例に説明します。お客様のサーバーの中が何がどうなっているのか、どのようなプロセスがどのように動いているのか、詳細な仕様や仕組みに関してはベンダー以外の第三者には分かりません。もっと言いますと、実際にはベンダーでさえも細部まで把握していないことが多いです。開発に携わった多数の人達(プログラマーなど)の各人それぞれが、担当した箇所だけを分散的に理解していて、誰か一人が全体を把握しているわけではない、ということがよくあるのです。
検査対象に対して診断システムから検査信号を発信し、その反応を観測・観察します。脆弱性の反応があれば「脆弱性が見つかった」という結果になり、正常な反応や、あるいは反応が無い場合は「脆弱性は見つからなかった」という結果になります。
上図のように、機能Aの脆弱性を調べるためにはAの検査信号を発信して反応を見る。機能Bを調べる場合はBの検査信号。というように検査します。
機能Cが無いサーバーに対してCの検査信号を発信した場合、無反応となるか、または正常反応が観測されることとなります。それはそれで良いのですが、でも、そもそも機能Cが無いのならCを検査する必要はないのでは?
診断会社はサーバーの中にどんな機能があるのか分かりません。機能Cがあるかもしれないし無いいかもしれない、という状態で検査をおこなわなければならないので、当てずっぽうに省略できないのです。
究極的なコスト削減を目指す場合、先の例であげた機能Cの検査は無駄だと言えます。しかし安全マージンのような見方をすると、機能Cの検査を省略して良いとは言えないです。
ちなみに、「事前に仕様を調べれば良いじゃん」と思われるかもしれませんが、それはけっこう難儀なことであり、相当なコストがかかります。詳細な仕様を正確に調べるためには、次のような作業が必要になります。
下の営業トークの例を見てください。
データベースには通常、顧客情報や過去の取引履歴などの重要情報が保管されています。
だから極めてリスクが大きいです。
データベースが攻撃を受けると、とんでもなく大変な大問題になります。
損害賠償などで、顧客や取引先と裁判になることもよくあります。
それは良くないな。
データベースはそれぐらいヤバい箇所なので、脆弱性診断を受けるのが「当たり前」になっています。
脆弱性を放置したら、まず間違いなく管理責任を問われます。
知らなかったよ。
どうすればいいのかな?
データベースに関連する脆弱性は、きちんと取り除かなければなりません。
そのためには、しっかりコストをかけて脆弱性診断をする必要があります。
なるほどね
その脆弱性診断の費用は
幾らぐらいかかるの?
○○○と△△△と□□□を合わせてやる場合は、300万円です。
うわたっかいなー!
それ、絶対やんなきゃダメなの?
お客様はネットショップを運営していますよね?
その場合は事実上必須です。
令和6年度末に義務化すると経済産業省が発表していますので。
まじか・・・
この例の営業さんが言っていることは正しいです。
データベース関連の脆弱性があると非常に危険なので、この営業さんが言う通り、コストよりも安全性を優先するべき旨の考え方は正しいことです。
また300万円という金額に関しても、いわゆる「ボッタクリ」などではないです。しっかり診断するために診断内容を充実させると、そのぐらいの費用になるのはおかしくないです。例えばデータベースのサーバのプラットフォームを検査するのに100万円、データベースを使用するWebアプリケーションを検査するのに100万円、社員が使用するデータベースの操作画面を検査するのに100万円かかるとすれば、合計300万円という見積は適正価格です。
ではなぜ、この「避けるべき無駄」の節でこれを例示しているかというと、一般論で良しとされる内容の診断プランが、全てのお客様にとってピッタリだとは限らないからです。お客様ごとに環境やバックグラウンドは異なりますのでお客様それぞれに最適化した診断プランでないと、どこかに大なり小なり無駄が生じます。
先程の営業トークの例の中では、お客様の個別の事情を踏まえた「リスクの大きさ」は一切考慮されていません。
この例のお客様のデータベースは、高い費用をかけてでも守るべきデータベースなのか、それともインシデントが発生しても経営への影響が少ないデータベースなのかを考慮されていません。データベースの内容や使用方法・運営体制などお客様ごと個別の環境や事情などによって、一般的に優良とされる内容の診断プランも、過剰(オーバースペック)になってしまうことや、あるいは盛大に無駄になってしまうこともあります。
例えば1万件の顧客情報が保管されているデータベースが侵害されたときの損失の大きさは、大雑把に次のように考えることができます。
個人情報の件数:10,000 * 漏洩時の賠償金:3,000円 = 3千万円の損失
さらに会社の信用ダウン、売上減少などのリスクも考慮すると、当該データベースが侵害された場合は極めて大きなダメージを受けることが分かりますので、脆弱性診断はケチらずにしっかり実施するべきと言えます。
データベースに顧客情報や機微情報はなく、集客用のWebコンテンツ(SEO記事など)のみ保管されている場合は、Webの集客力・販売力などに基づいて損失の大きさを考えることとなります。
集客数:月間10万人 * 購買率1% * 平均購入金額:10,000円 = 一ヶ月で1千万円の損失
もしデータベースが侵害されて集客力が失われた場合は、Webからの売上が大幅に減少することとなります。また別の問題として、集客力のあるコンテンツの場合ですと、侵入者が「Webの閲覧者がウイルスに感染するように細工する」というケースも時々あり、その場合は顧客にウイルスをバラ撒いてしまう事件に発展します。これらのことを考えると、この例の場合も脆弱性診断はしっかりやるべきと言えます。
データベースに顧客情報や機微情報はなく、自社の商品情報のみ保管している場合など、仮に侵害があったとしても致命的なダメージは受けない場合には、脆弱性診断の「強度」に関して検討すべきと言えます。例えば「万全」ではなく「それなり」の強度にして、診断にかかるコストを抑えるなど。
データベースはインターネットから隔離されていて、社内で従業員だけが使用している場合など、外部から直接にサイバー攻撃を受ける可能性が低い環境の場合は、「他の箇所を脆弱性診断すべき」と言えます。
ネットワーク機器や他のサーバ(インターネットから隔離されていないサーバ)など他の箇所が侵害されると、直接ではなく間接的にデータベースにまで被害が及ぶ危険性がありますので、それを想定してデータベースを脆弱性診断するのは良いことです。しかし、データベースよりも前の段階で侵害され得る箇所(インターネットから隔離されていない箇所)を先に脆弱性診断したほうがよいでしょう。
このようにデータベースのリスクだけに着目するのではなく、全体を見渡して予算を配分するほうが「コスパが良い」というわけです。
『完璧に』とか、『徹底的に』とか、
『絶対に事故が起こらないように』など。
このようなことを診断会社に要求してしまうと、診断内容が増し増しになって費用が膨らみます。
毎年毎年、1万・2万種類という新たな脆弱性が見つかっています。累計すると大変な数になりますし、その全てを検査して完璧な診断を目指す場合、作業工数がとんでもなく膨大になって費用も膨れ上がります。
このグラフはイメージであり、表示している数値は仮のものですが、大まかな傾向をお分かり頂けるかと思います。
危険度が「中よりも高いもの」は、グラフの左側の3種類のみです。
これに対し、「中よりも低いもの」は、種類4から1,000までの997個です。
例では脆弱性の種類を1000個と仮定していますが、実際にはこれより遥かに多くの種類があります。ただしその危険度の傾向はグラフと同じで、危険度が高めのものの割合は少なく、低めのものの割合のほうが多いです。
このイメージ図(上)のように、危険性の高い診断項目に絞って脆弱性診断をおこなえば、作業工数が少なく済むので費用も低く抑えられます。
一方でイメージ図(下)のように、完璧な診断を目指して検査項目の範囲を広げると、検査作業の工数が激増します。図の例では330倍以上となっています。実際には一部の作業を自動化するので費用はそこまで極端に増えませんが、それでも数倍、十数倍というように費用が膨らむこととなります。
依頼者視点に立ちますと、完璧に・徹底的に調べて欲しいと求めたくなる気持ちは分かります。なんとなく「完璧にお願いします!」と言ってしまう人も結構いるだろうと思います。しかし脆弱性診断のスタッフは生真面目な人が多いので、冗談でも「完璧に」なんて言われたら、次のように感じてしまいます。
「お客様は完璧を望んでいるのだし、念の為あれも検査対象に入れたほうが良いかな?これも一応見たほうが良いかな?」
このように検査内容を強化する方向に意識が向いてしまいます。それはけっして悪いことではないのですが、しかし当然ながら費用増加に直結してしまいます。
費用のことを度外視して良いのならば完璧を求めても良いです。しかしそうでない場合、なるべく安く抑えたい、コスパを重視したいという場合には、危険度の高い脆弱性のみに的を絞った方が良いですし、そうするのが一般的です。
実際、IPA(独立行政法人情報処理推進機構)などの公的な機関が定めている、脆弱性診断に関連する各種のガイドラインにおいても、完璧さまではは求められておらず、危険性の高い脆弱性や悪用される確率・頻度が多い脆弱性などに診断内容が絞られています。
診断内容をお客様ごとに最適化するためには、 「対話と情報提供」が欠かせません。
よくない対話の例
ホームページの脆弱性診断の
見積が欲しいんだけど。
ありがとうございます。
どのようなご事情から脆弱性診断をご検討されている状況ですか?
それはプライバシーが関連するから、依頼すると決まったときに話すよ。
まずは概算でいいから見積を頂戴
失礼いたしました。
それではお見積しますので、○○○の仕様をお教え頂けますか?
○○○?
よくわからん。
どなたかお分かりの方、例えばシステム管理者等とお話できますか?
うちの会社にそういう社員は
いないんだよね。
お客様が○○○をご確認頂くことは可能ですか?
( 面倒くさいなぁ )
忙しいから無理。
どうにかしてよ。
あなたはプロなんでしょ?
それでしたら検査内容の絞り込みはおこなわずに、一般的な項目を一通り盛り込んだ形でのお見積りでよろしいでしょうか?
うん。そうして。
よしなに頼むよ。
診断対象物の情報が不十分だと、適切な検査内容を計画することが困難、というか不可能です。すると次のように「過剰な内容」の診断になるおそれがあります。
ほか、下の例のように見当違いの診断になってしまうおそれもあります。
当ページ内でこれまでに何度か書きましたが、診断会社から見るとお客様のシステムは「ブラックボックス」です。
そして、これも前述したことの繰り返しですが、検査すべき項目が対象物の中にあるのか無いのか分からない場合は、検査漏れのリスクを減らすために、「一般的な項目はとりあえず検査に含めておく」というのが基本です。
お客様との対話が不十分で情報が足りない場合、やらなくて良いことをやるとか、見当違いなことをしてしまうなど、避けるべき無駄が生じてしまう可能性が高いです。だから本節の最初で申し上げたように「対話と情報提供」が重要となるわけです。
だいたいどのケースでも下に挙げるような内容のヒアリングをおこないます。
当社では通常版の脆弱性診断サービスだけでなく、「簡易版:5万円~」という低価格帯のサービスもご用意しております。 しっかり調べたいお客様も、コストを抑えたいお客様も、ぜひ一度ご相談頂けますと幸いです。
メール
へー。そうなんだ。