公開日: |最終更新日時:
ペネトレーションテストの実施に際して、適切な予算設定は不可欠です。本記事では、このサイトに掲載している企業のペネトレーションテストの費用を調査しました。また、金融庁のデータも参照して、日本国内外でのコストの実情を詳しく分析しています。費用に影響を与える要因についても解説。適切なテストプランの選択をサポートします。
ペネトレーションテストの費用は、実施するテストの範囲や深さ、使用するツールや技術によって大きく異なります。
このサイトに掲載している43社中、公式サイトに参考価格が記載されている7社を比較(※2024年4月22日調査時点)したところ、費用は数十万円から数千万円と幅広く、企業のニーズに合わせて選べる多様なオプションが存在します。
具体的な数字を見ると調査対象の43社のうち、公式サイトに参考価格が記載されている7社から得られたデータ(※2024年4月22日調査時点)によると、価格範囲は200万円~1000万円程度です。また、IPアドレス単位での価格設定を提供している2社では、1IPあたり20万円や、3IPまでで100万円というプランもあります。IPアドレス単位での料金プランは、特定のIPアドレスに対するセキュリティ強化が必要な場合に有用でしょう。
多くの会社が個別見積もりを提供している主な理由は、ペネトレーションテストが高度にカスタマイズされるサービスであるためです。各企業のシステムの複雑さやテストの範囲、特定のセキュリティ要件が異なるため、一律の価格設定が難しく、具体的な費用相場の算出が困難であるというのが現状です。
企業が特定のネットワークやアプリケーションに焦点を当てた詳細なテストを求める場合、個別見積もりが効果的な方法と言えるでしょう。
金融機関は、絶えず進化するサイバー脅威に直面しています。2018年1月31日に報告された、金融庁の「諸外国の脅威ベースのペネトレーションテスト(TLPT)」に関する報告書によれば、国際的な視点からペネトレーションテストの費用相場が示されています。
このデータを詳細に見ていくことで、日本国内でのサイバーセキュリティ対策の費用対効果を考える上で貴重な指標となります。具体的なコストと期間について、各国の事例を見ていきましょう。
※1 上記の金額は、2018年1月3日時点の為替レートを用いた概算値です。
※2 テストの実施期間のみではなく、計画から報告完了までの期間です。(サービスプロバイダーの選定、調達にかかる期間は含まれない)
※3 香港は脅威インテリジェンスの収集・分析を行わず汎用的な脅威シナリオで実施する事例や、諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の3.4.1 章で記載した範囲を限定した実施事例も含んだ金額と期間です。
これらの情報は具体的な事例として、イギリス、アメリカ、香港では、数千万円の初期投資で防げる損失が数億円にも上るケースが珍しくありません。このことから、ペネトレーションテストの重要性がうかがえます。また、サービスプロバイダーを利用して高度なセキュリティペネトレーションテストを実施する際の、相当な財政的および時間的な投資が必要であることを示しています。
TLPTは、金融機関が複雑な攻撃に対する脆弱性を特定し、サイバーレジリエンスを向上させるために不可欠です。コストと期間の変動は、各地域の金融セクターに関連する特定のセキュリティニーズや脅威シナリオに合わせてテストがカスタマイズされていることを反映しています。
※参照元:金融庁|諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に 関する報告書(https://www.fsa.go.jp/common/about/research/20180516/TLPT.pdf)
ペネトレーションテストの費用は、テストの対象、複雑さ、レポートの作成、およびテストの場所によって大きく変動します。例えば、単一のウェブアプリケーションを対象にした外部テストは、比較的コストが低く抑えられる場合があります。
これに対し、複数のシステムやアプリケーションをカバーする内部テストは、必要なリソースと専門知識が増えるため、費用が高くなります。ペネトレーションテストの深さに応じて、表面的な脆弱性のチェックから、深く掘り下げた複雑な攻撃シナリオの実施まで、さまざまなレベルが選択可能です。
例えば、小規模なウェブアプリケーションのペネトレーションテストは数十万円から可能ですが、大規模な企業ネットワークやクラウド環境を対象としたテストでは数百万円から数千万円の投資が必要になることがあります。また、レポートの詳細さにも左右されます。
簡潔な報告書であればコストは抑えられますが、詳細な脆弱性レポートや改善提案を含むものは、それだけ多くの時間と専門性を要します。テストの場所もコストに影響を与え、オンサイトでの実施はリモート実施に比べて通常高額です。
これらの要因を理解し、企業が自社に適したテストを選択することで、セキュリティ投資の最適化が可能になり、長期的なセキュリティ強化へと繋がります。
ペネトレーションテストは、即時的なセキュリティ強化だけでなく、長期的なリスク軽減にも寄与します。初期の投資額が高いと感じるかもしれませんが、実際の攻撃を受けた場合の損失額と比較すると、はるかにコストパフォーマンスが高いと言えます。
具体的には、イギリスやアメリカ、香港での事例からも見られるように、数千万円の初期コストで回避できる損害は、数億円規模に及ぶことが少なくありません。
さらに、ペネトレーションテストによって特定された脆弱性を修正することで、企業の信頼性が向上し、顧客やビジネスパートナーからの信頼を得ることができます。
ペネトレーションテストは単なるコンプライアンス対策ではなく、企業価値を高める重要な投資として位置付けられるべきです。
ペネトレーションテストを投資と捉える場合、これらの費用は長期的なセキュリティ強化とリスク軽減のための重要な初期投資です。適切なテストの実施により、未来の大きな損失を防ぎ、企業資産を保護することが可能になります。
本メディアでは得意な領域ごとにおすすめのペネトレーションテストベンダーを紹介しています。ペネトレーションテストの依頼を検討されているご担当者はぜひ参考にしてください。
ペネトレーションテストではプロジェクトの進行中追加の費用が発生することがありますが、隠れたコストを事前に知ることで余計な出費を避けることができるでしょう。例えば、テストが進行していく中で新たなシステムやアプリケーションの脆弱性が発見されることがあります。これらの脆弱性を検査するため、追加費用が発生する可能性が考えられます。
また脆弱性の修正後、再度テストを行って修正が適切に行われているかを確認する必要があります。ただし、この再テストの費用は初期の見積もりには含まれていないことが多いです。
ペネトレーションテストは一度きりではありません。継続的なセキュリティの確保ため、継続的にテストやサポートを行っていく必要があります。このようなサービスに対する費用も、事前に確認しておくことが大切です。
契約を結ぶ前に、詳細なサービス内容や料金体系をしっかりチェックしておきましょう。
ペネトレーションテストツールとは、自動的にテストを行うことができるツールです。ひとつのツールで一連の作業をカバーするのではなく、対象システムなどで利用しているIPアドレスやポート番号を洗い出し、稼働しているOSの種類やバージョン確認、脆弱性のスキャン、通信内容の傍受などといった作業ごとに専用ツールを活用するイメージです。
ペネトレーションテストのサービスを依頼するより、ツールの方が比較的安価です。ただし、ツールは対象システムやネットワークごとに検証内容が決まっているなど、対応範囲が狭く簡易的なテストでしか使えない場合もあります。コストよりリスク対策を十分に行いたいなら、サービスを依頼する方が向いているでしょう。
ここではサイバー攻撃の標的として狙われやすい「製造業」「金融機関」「IoT」の3つの中から、それぞれのおすすめの理由とともにおすすめの企業を紹介します。
