X(旧Twitter) 
Facebook 
LINE 
AWSの脆弱性診断費用はどれくらい?どこまでやるべきかをプロが徹底解説!
上司から『AWSの脆弱性診断を依頼しておいて』と言われた場合、いろいろ調べたけど、幅が広すぎて自社の場合がどれになるかわからない…そう感じる担当者は多いです。
「AWS診断」は種類によって調べる対象がまったく違うため、費用や診断方法に大きな幅が出ます。
種類がわかれば、費用の目安はぐっと絞り込めるので、内容別に「何の診断が必要か・いくらかかるか」を整理します!
この記事でわかること
- 診断の種類ごとの費用相場
- 上司の言葉から選ぶ「自社に必要な診断の種類と費用目安」
- 脆弱性診断では見つけられない、2種類のAWSリスク
この記事を書いた人
みらいと
セキュリティサービス事業部 コンサルタント/プログラマーからシステム運用を経て情報セキュリティ全般の業務に従事。現在は培った情報セキュリティの経験を活かしお客様の課題に向き合った企画やマーケティングを担当。
目次
前提知識:まずは「診断名」と「診断費用」を知ろう!
そもそも脆弱性診断というのは「人(プロ)が手動で調査するか」「機械で調べるか」によっても金額が異なります。
まずは内容と全体の費用感をつかんでから、自社のケースに当てはめると判断しやすくなります!
|
診断の種類 |
何を調べるか |
費用目安 |
|---|---|---|
|
ツール(自動)診断 |
自動スキャナーが広く一通り確認 |
10万〜30万円程度 |
|
手動診断 |
専門家が実際に操作して深く確認 |
50万〜150万円程度 (大規模・複雑なシステムは150万円以上) |
|
ハイブリッド診断(自動+手動) |
自動と手動を組み合わせてカバー |
60万〜200万円程度 |
|
クラウド設定レビュー(基本) |
AWSの設定ミスを基本的な範囲で確認 |
30万〜80万円程度 |
|
クラウド設定レビュー(詳細) |
AWSの設定ミスをより詳細な範囲まで確認 |
80万〜150万円程度 |
上記はWebシステム・サービスを対象にした診断の目安ですのでサーバーやネットワーク機器そのものを調べる「ネットワーク・プラットフォーム診断」は、調べる対象の数によって10万〜100万円以上と幅があります。
Amazonが提供する「アマゾン・インスペクター」はどうなの?
Amazon Inspector(AWSが提供する自動セキュリティスキャンツール)は月数千円〜数万円程度で利用できます。
ただし、これは既知の弱点を定期的に自動チェックする「継続監視ツール」で、専門家が実施する“第三者診断”とは役割がまったく違います。
そもそも脆弱性とは「セキュリティの抜け穴」です。チェックツールで監査するのも“やらないよりは良い”というところではありますが、本来の理想はホワイトハッカーが実際に起きた被害事例をもとにハッキングテストを行う『ペネトレーションテスト』が最適です。
そこまでとはいかずとも、やはり個人情報・企業情報を取り扱うシステムには、プロによる定期的な脆弱性診断が不可欠になります。
本題:「私の会社の診断費用」はどれくらいですか?
結論からお伝えすると、会社が要望する脆弱性診断の内容によって診断の種類と費用目安は変わります。
「自社はどれ?」と思ったとき、上司・社長からの指示を目安の判断材料にしていただければと思います!
① 「とりあえずやっておいて」なら、“ツール診断”が最適!
「AWSのセキュリティ診断、一応やっておいて」という指示で、何をどこまでやるか特定されていないケース。この場合はツール診断(自動スキャン)から始めます。
専用システムが脆弱性の穴になりやすい部分を巡回し、OWASP Top 10(世界的なWebセキュリティの重要リスクリスト)の基本項目を確認します。
費用は10万〜30万円程度が目安となります。
② 「個人情報、守れているか確認して!」は、“手動・ハイブリッド診断”を推奨!
個人情報・決済情報を扱うシステムがある場合、または法務や上司から個人情報保護の観点で診断を求められた場合は、ツール診断だけでは不十分な場合が多く、手動診断またはハイブリッド診断(自動+手動を組み合わせた診断)が必要です。
費用は手動診断で50万〜150万円、ハイブリッド診断で60万〜200万円程度が目安です。
なぜツール診断では足りないのかというと、個人情報を扱うシステムでは、ログイン後の画面や業務の流れに問題が隠れていることが多いです。
「特定の操作をすると他のユーザーの情報が見えてしまう」「権限の低いユーザーが管理者機能にアクセスできてしまう」といった問題は、業務の流れを理解した専門家でないと見つけられません。
「設定が心配」「権限まわりが不安」という言葉が上司から出ているなら、選ぶべき診断の種類がそもそも変わります。
費用を抑えるには“削る”より「優先順位をつける」が大切!
「費用が高くて稟議が通らない…」という場合もあるかと思います。
脆弱性診断、特にAWSなどのシステム診断の場合、「何かを削る」を担当者が決めてしまうのは推奨しません。もしチェック項目を精査したい場合、重要なのは「削る」ではなく『漏れたら危ない箇所を洗い出し、チェックの優先順位をプロと決めること』です。
①:「ログイン・決済・個人情報漏洩のチェック」はマスト!
まず優先すべき箇所はこのあたりです。
- ログイン画面・会員情報管理(認証機能)
- 決済連携機能
- 個人情報・機密情報を扱う機能
- 外部に公開しているサーバー・エンドポイント(外部からアクセスできる接続口)
- ファイルアップロード機能
もちろん費用は対象となる検査項目の個数によっても変わりますが、もっとも守るべき箇所を必ず押さることが大切です。
②:ツールで広くチェックし、重要箇所だけ手動診断を組み合わせる!
ツールで広範囲を確認し、重要な機能だけ“専門家の手動”で深く掘り下げる、これがハイブリッド診断の考え方です。
例えるなら、健康診断で全員がまず基本検査を受けて、気になる結果が出た部分だけ精密検査に進む感覚に近いです。
どこを手動にするかの目安は、先ほどの優先箇所と照らし合わせると整理しやすいです。ログイン・決済・個人情報を扱う機能はツール+手動、それ以外はツールで一通り確認、という分け方が一般的です。
この考え方は、全機能を手動診断するより費用が抑えられ、重要な箇所の精度は確保できます
AWSの脆弱性診断、どんな企業に依頼すればいい?
診断の種類と費用感がつかめたら、次は「どこに頼むか」ですよね。ここからは依頼先の選び方について抑えたいポイントを紹介します!
重要なのは「報告書による修正のしやすさ」
診断を受けて「問題がありました」だけでは、IT担当者が上司に説明できませんし、開発チームが修正に動けません。
ただ検査するだけでなく、以下の4点がまとまった報告書を提出してくれる業者を選定することを推奨しています。
- 発見された脆弱性の一覧と危険度評価(高・中・低)
- 再現手順(どの操作で問題が確認できるか)
- 推奨される対策(どのように修正すればよいか)
- 技術者でない方にも全体像が伝わるサマリ
依頼前に「報告書のサンプルを見せてもらえますか?」と聞いてみてください。答え方でその会社の姿勢がだいたいわかります。
当社IFTの脆弱性診断も、上記のような報告書のご提出はもちろん、「何がダメだったか?」と「開発担当がどう動けばいいのか?」をおまとめした資料をご提出しています。
AWSを利用されている企業様で、自社の脆弱性に不安がありましたら、ぜひ一度ご相談ください。
まとめ:上司の指示の内容から診断の種類と費用を確認しよう
本記事ではAWS脆弱性診断の費用は、診断の種類によって変わルコとをご紹介しました。
この記事のポイント
- 費用は調査項目の内容によっても異なる!
- 「削る」ではなく「自社では何に注意すべきか」の精査が重要!
- 調査後に担当者が動ける配慮も必要!
本記事でも紹介したように、AWSは非常に便利なシステムな反面、1つの設定ミスが企業の信頼低下に繋がってしまいます。
当社IFTの脆弱性診断では、このようなシステムの抜け穴を確認するのはもちろん、ホワイトハッカーは実際に起きた被害事例をもとにハッキングテスト(実際に攻撃)を行う『ペネトレーションテスト』も実施可能です。
またテスト後の報告はもちろん、「どこを/どう直せばいいか?」というレポートもお出ししておりますので、システム担当者にレポートを共有するだけでOK。
“もしも”への備えとして、定期的な確認を推奨しています。セキュリティに関するどんな些細な質問でも構いませんので、ぜひ一度ご相談くださいませ。
