【2026年版】ペネトレーションテスト会社おすすめ5選|費用比較と選び方

目次
- ペネトレーションテスト会社5社の比較表
- 予算別のおすすめ
- 100万円前後で始めたい場合
- 100万円〜500万円で実践的に確認したい場合
- 700万円以上で本格的な標的型演習を行いたい場合
- ペネトレーションテストとは?
- ペネトレーションテストと脆弱性診断の違い
- 国内のペネトレーションテスト企業・会社5選
- ペネトレーションテスト会社の選び方
- 1. 実績の公開範囲
- 2. 診断範囲が明確か
- 3. レポートが実務向けか
- 4. 再診や改善支援があるか
- 5. 費用の内訳が明確か
- 6. 無料相談や見積もりを活用できるか
- 見積もり前に必ず聞くべき質問
- 失敗しやすい依頼パターン
- 価格だけで選ぶ
- 対象範囲を曖昧にしたまま相談する
- レポートの粒度を確認しない
- ペネトレーションテスト会社に依頼するメリット
- ペネトレーションテスト会社に依頼する流れ
- ペネトレーションテスト会社に依頼するときの費用相場
- ペネトレーションテスト会社に依頼するときの注意点
- ペネトレーションテスト会社に問い合わせる前に確認しておいた方がいいこと
- 1. セキュリティテストの対象システム
- 2. 予算
- 3. 対応可能なスケジュール
- まとめ
- 関連ページ
- よくあるご質問 (FAQ)
- ペネトレーションテストならシースリーレーヴ
ペネトレーションテスト会社やペネトレーションテスト企業を選ぶ際に、「どこに依頼すべきか」「費用はどのくらいか」「脆弱性診断と何が違うのか」で迷う担当者は少なくありません。
本記事では、国内のペネトレーションテスト会社5社を比較しながら、費用相場、選び方、依頼前に確認すべきポイントを整理します。ペネトレーションテスト企業を比較したい方が、候補を絞りやすいように要点をまとめています。
この記事で分かること
- 国内のペネトレーションテスト会社5社の特徴と違い
- 費用相場と、自社に合う依頼先の選び方
- 脆弱性診断との違いと、問い合わせ前に整理すべき情報
各社の違いをひと目で比較したい方は、以下の表からご覧ください。
ペネトレーションテスト会社5社の比較表
| 会社名 | 費用感 | 最短開始日 | こんな企業向け |
|---|---|---|---|
| シースリーレーヴ 株式会社 | 100万円〜 | 最短7日でテスト開始 | 本格的なテストを 低コストで実施したい企業 短納期を重視する企業 |
| 株式会社ラック | 要問い合わせ | 要問い合わせ | 本格的な標的型演習を 行いたい大企業 |
| 株式会社AGEST | 要見積もり | 要問い合わせ | 柔軟な実施体制や 固定料金感を重視する企業 |
| サイバートラスト株式会社 | 要見積もり | 要問い合わせ | 専門領域を重点的に 診断したい企業 |
| GMOサイバーセキュリティ byイエラエ | 要見積もり | 要問い合わせ | 幅広い観点から 調査したい企業 |
予算別のおすすめ
比較表を見ても迷う場合は、まず予算帯で絞ると判断しやすくなります。
100万円前後で始めたい場合
まずは対象範囲を絞って、小さく始められる会社が向いています。短納期や初回相談のしやすさも重要です。
100万円〜500万円で実践的に確認したい場合
Webアプリやネットワークなど、対象を明確にして手動テストまで行いたい企業向けです。テスト範囲とレポート品質を重視して比較しましょう。
700万円以上で本格的な標的型演習を行いたい場合
大規模な標的型攻撃シナリオや、レッドチーム演習、TLPTまで視野に入れる企業向けです。費用だけでなく、体制と演習設計の実績を確認する必要があります。
ペネトレーションテストとは?
ペネトレーションテスト(ペンテスト)とは、攻撃者の視点からシステムに実際の攻撃を行い、セキュリティ脆弱性を特定し修正する手法です。
ペネトレーションテストの目的は「事前にセキュリティ脅威になりうる脆弱性を把握する」ことです。問題が起きてしまう前に、対策を講じることができるのが、ペネトレーションテストの最大のメリットです。
ペネトレーションテストと脆弱性診断の違い
脆弱性診断とどう違うのか、どちらを依頼すべきか迷う企業は多いです。違いを簡潔に整理すると以下の通りです。

| 項目 | 脆弱性診断 | ペネトレーションテスト |
|---|---|---|
| 目的 | 既知の脆弱性を広く検出する | 実際に侵入可能かを攻撃者視点で検証する |
| 主な手法 | ツール中心、一部手動 | 手動中心、シナリオベースの実践テスト |
| 向いているケース | まず全体のリスクを把握したい | 侵入経路や被害可能性まで確認したい |
| 費用感 | 比較的低コスト | 診断範囲と深度に応じて高くなりやすい |
| 成果物 | 脆弱性一覧、基本的な改善案 | 侵入可能性、攻撃経路、優先度付き改善案 |
もっと詳しい脆弱性診断とペネトレーションテストの違いを知りたい方は、以下の記事をご覧ください。
【ペネトレーションテストと脆弱性診断で迷われている方へ】ペネトレーションテストと脆弱性診断の違いについて徹底解説
ここまで読んで、まず脆弱性診断から始めるべきか、それともペネトレーションテストまで実施すべきか迷う方も多いです。以下のチェック項目で、今の目的に近い進め方を整理してみてください。
脆弱性・ペネトレーションテストの選び方
会社を比較する前に、今の目的が「まず弱点を把握したい」のか、「実際に侵入できるか確認したい」のかを整理できるチェック項目です。
当てはまる項目を選んでください
選択内容から、今の段階で相談しやすい診断タイプを確認できます。
国内のペネトレーションテスト企業・会社5選
ここからは、ペネトレーションテストを提供する国内企業5社を紹介します。比較の観点は、特徴、費用感、向いている企業、注意点です。
1. シースリーレーヴ株式会社

シースリーレーヴ株式会社の特徴
| 項目 | 内容 |
|---|---|
| 会社名 | シースリーレーヴ株式会社 |
| サービス名 | セキュリティ診断+ |
| 費用感 | 100万円〜 |
| 最短開始日 | 最短7日でテスト開始 |
| 強み | 無料相談から必要なテストをカスタマイズして提案できる。見つかった脆弱性の報告だけでなく、改善案まで提示できる。1,000社超の導入実績がある |
| 提供しているセキュリティ診断 | 標的型ペネトレーションテスト、シナリオ型ペネトレーションテスト、アプリセキュリティ診断、クラウドセキュリティ診断、ネットワークセキュリティ診断、脆弱性診断、セキュリティ対策支援 |
| 再テスト/改善内容 | 再テストは基本無料。レポート報告後、問題がある場合は対策を案内 |
| 向いている企業規模 | 中小企業〜大企業 |
出典: セキュリティ診断+公式サイト、シースリーレーヴ株式会社
2. 株式会社ラック

株式会社ラックの特徴
| 項目 | 内容 |
|---|---|
| 会社名 | 株式会社ラック |
| 費用感 | 要問い合わせ |
| 最短開始日 | 要問い合わせ |
| 強み | ペネトレーションテストだけでなく、セキュリティ診断、インシデント対応、コンサルティングまで公開している |
| 提供しているセキュリティ診断 | ペネトレーションテスト、セキュリティ診断、情報漏えい調査、インシデント対応、セキュリティコンサルティング |
| 再テスト/改善内容 | 公式サイトで今回確認したページには明記なし |
| 向いている企業規模 | 中堅企業〜大企業 |
出典: 株式会社ラック公式サイト
3. 株式会社AGEST

株式会社AGESTの特徴
| 項目 | 内容 |
|---|---|
| 会社名 | 株式会社AGEST |
| 費用感 | 要問い合わせ |
| 最短開始日 | 要問い合わせ |
| 強み | 脅威/シナリオベースで、侵入調査から対策提案まで提供している |
| 提供しているセキュリティ診断 | 脅威/シナリオベース・ペネトレーションテスト |
| 再テスト/改善内容 | 対策提案まで提供 |
| 向いている企業規模 | 中堅企業〜大企業 |
出典: 株式会社AGEST公式サイト
4. サイバートラスト株式会社

サイバートラスト株式会社の特徴
| 項目 | 内容 |
|---|---|
| 会社名 | サイバートラスト株式会社 |
| 費用感 | 要問い合わせ |
| 最短開始日 | 要問い合わせ |
| 強み | 一般的な企業システム向けのメニューに加えて、専門領域に特化したメニューもある |
| 提供しているセキュリティ診断 | プロフェッショナル ペネトレーションテスト、Synack クラウドソーシング ペネトレーションテスト |
| 再テスト/改善内容 | 公式サイトで今回確認したページには明記なし |
| 向いている企業規模 | 中堅企業〜大企業 |
5. GMOサイバーセキュリティ byイエラエ株式会社

GMOサイバーセキュリティの特徴
| 項目 | 内容 |
|---|---|
| 会社名 | GMOサイバーセキュリティ byイエラエ株式会社 |
| 費用感 | 要問い合わせ |
| 最短開始日 | 要問い合わせ |
| 強み | 公開されている診断メニューの範囲が広い |
| 提供しているセキュリティ診断 | Webアプリケーション診断、スマホアプリ診断、クラウド診断、ネットワーク診断、社内ネットワークペネトレーションテスト、IoTデバイス ペネトレーションテスト、Webペネトレーションテスト、レッドチーム演習、物理ペネトレーションテスト、LLMセキュリティ診断 など |
| 再テスト/改善内容 | 公式サイトで今回確認したページには明記なし |
| 向いている企業規模 | 中堅企業〜大企業 |
ペネトレーションテスト会社の選び方
委託先を選ぶ際は、価格だけで決めず、以下の観点を確認することが重要です。
1. 実績の公開範囲
どの業界、どの規模の案件に対応してきたかは重要です。自社と近い業種やシステム規模の実績があるかを確認すると、依頼後の認識ズレを減らせます。
2. 診断範囲が明確か
見積もり時に、対象範囲、対象IP、対象URL、テスト手法、除外範囲が明示されるかを確認しましょう。範囲が曖昧だと、後から追加費用や期待値のズレにつながります。
3. レポートが実務向けか
脆弱性を列挙するだけでなく、影響度、再現条件、優先順位、修正の方向性まで示されるかが重要です。開発チームや情シス部門がそのまま動けるレポートかを確認してください。
4. 再診や改善支援があるか
修正後の再確認や、改善策の相談ができるかも実務では重要です。発見して終わりではなく、対策完了まで伴走できる会社の方が使いやすいケースが多いです。
5. 費用の内訳が明確か
同じ「ペネトレーションテスト」でも、診断範囲やシナリオの深さで価格は大きく変わります。見積もり時に、どこまでが基本料金で、何が追加費用になるかを確認しましょう。
6. 無料相談や見積もりを活用できるか
初めて依頼する場合は、複数社の無料相談や見積もりを活用し、説明の分かりやすさや提案の具体性も比較するのがおすすめです。
見積もり前に必ず聞くべき質問
比較表だけで決めず、初回相談では以下の質問を必ず確認することをおすすめします。

- この見積もりに含まれる対象範囲はどこまでですか?
- 手動テストはどこまで含まれますか?
- レポートには改善優先度と修正方針が含まれますか?
- 修正後の再確認や再診は可能ですか?
- 最短でいつ開始でき、報告はいつ受けられますか?
失敗しやすい依頼パターン
順位を上げるだけでなく、比較記事として実用性を高めるために、失敗しやすい依頼パターンも押さえておきましょう。
価格だけで選ぶ
安価でも、対象範囲が狭かったり、レポートが実務に使いにくかったりすると、結果として再依頼が必要になります。
対象範囲を曖昧にしたまま相談する
「とりあえず見積もり」だけでは、比較がしにくくなります。対象URL、IP、アプリ、クラウド範囲を事前に整理しておくべきです。
レポートの粒度を確認しない
診断結果が一覧だけなのか、改善優先度まで含むのかで、社内の動きやすさが大きく変わります。
ペネトレーションテスト会社に依頼するメリット
自社で実施するのではなく、専門会社に依頼する主なメリットは以下の通りです。
- 最新の攻撃手法や脆弱性に基づいた実践的なテストが受けられる
- 自社だけでは気付きにくい侵入経路や設定不備を第三者視点で確認できる
- 専門ツールや経験豊富な人材を活用でき、効率的にリスク評価できる
- 経営層や監査向けにも説明しやすいレポートを得られる
ペネトレーションテスト会社に依頼する流れ
依頼の流れは会社によって異なりますが、一般的には以下の順で進みます。
- ヒアリングと対象範囲の整理
- 想定する攻撃シナリオの設計
- 攻撃テストの実施
- 結果の整理とレポート提出
- 必要に応じた改善支援や再確認
また、テスト手法には外部ペネトレーション、内部ペネトレーション、ホワイトボックス型、ブラックボックス型、グレーボックス型などがあります。どの方式が適切かは、対象システムと目的によって変わります。
ペネトレーションテスト会社に依頼するときの費用相場
費用は、依頼先、対象範囲、シナリオの深さによって大きく変動します。
- 一般的な標的型テストの相場は700万〜1,000万円程度
- レッドチーム演習やTLPTでは1,000万〜3,000万円程度になることもある
- 一方で、対象範囲を絞ったペネトレーションテストであれば100万円〜から実施できるケースもある
費用だけで判断するのではなく、対象範囲、レポート品質、再確認の有無まで含めて比較することが重要です。
ペネトレーションテスト会社に依頼するときの注意点
外部委託する際には以下の点に注意が必要です。
- 企業の選定: 実績や評判の良い企業を選ぶことが重要です。
- 契約内容: 契約内容をしっかりと確認し、テスト範囲、報告内容、責任範囲などを明確にする必要があります。
- 情報漏えい対策: 委託先の企業との間で、機密保持契約を結ぶなど、情報漏えい対策をしっかりと行う必要があります。
これらの点を踏まえ、自社の状況に合わせて最適なペネトレーションテストの依頼先を選定することが重要です。
ペネトレーションテストは、内容によっては数百万円単位でコストがかかることもあります。まずはホームページをチェックした上で、見積もりを確認しましょう。
予算に応じて内容や方法を柔軟に対応してくれる企業や、低コストで必要なセキュリティテストを実施してくれる企業もあります。
またペネトレーションテストの成果は、テストを実施する人のスキルによって異なる場合が考えられます。依頼先の企業がどのようにテストしているのか、どのような実績があるかをよく確認しましょう。
ペネトレーションテスト会社に問い合わせる前に確認しておいた方がいいこと
ペネトレーションテストを依頼する際、スムーズに話を進め、最適なプランや提案を受けるためには、事前に準備しておくべき情報があります。事前に必要な情報をまとめておくことで、具体的な見積もりや提案をもらいやすくなり、やりとりも効率的です。以下は、問い合わせ時に用意しておくべき基本的な項目のリストです。

1. セキュリティテストの対象システム
具体的なテスト対象を明確にする
ペネトレーションテストを依頼する際には、まず対象とするシステムやネットワーク、アプリケーションの範囲を明確にしておきましょう。たとえば、特定のウェブアプリケーションだけをテストするのか、ネットワーク全体を対象にするのかなど、範囲が広がると料金やテスト内容も変わってきます。事前に以下のような点を確認しておくとよいでしょう。
- テスト対象のシステム:社内ネットワーク、クラウドシステム、ウェブアプリケーションなど
- システムの重要度:顧客データが含まれているか、機密情報が保存されているか、ビジネス継続に影響があるか
- 必要な範囲:内部からのテスト、外部からのテスト、あるいはその両方
これらの情報をもとにテストの範囲が明確になれば、見積もりの精度も高まり、結果として適正な価格や内容でテストを依頼できるようになります。
2. 予算
ペネトレーションテストの予算は会社によって異なり、範囲や内容によって大きく変動します。特に限られた予算内で対応してもらいたい場合には、事前に予算を決め、依頼時に伝えることが効果的です。予算が伝わると、会社側もそれに見合ったプランを提案してくれるため、希望に合った内容で話が進めやすくなります。
また、複数のプランがある場合も多いので、予算に応じてどのプランが最適かを尋ねることで、効率的なテストとコストパフォーマンスを両立できる可能性が高まります。
3. 対応可能なスケジュール
テスト実施希望スケジュールの確認
ペネトレーションテストの実施期間は、依頼内容によって異なりますが、一般的に数日から数週間かかることが多いです。そのため、実施希望のタイミングやスケジュールを確認し、問い合わせ時に会社側に伝えるとスムーズに日程調整が進みます。急ぎの案件や特定の期限がある場合は、その旨を伝えておくことで、早急に対応できるかの判断もしてもらいやすくなります。
この準備リストをもとにしておけば、問い合わせの際にスムーズに話が進み、適切な提案が受けやすくなります。また、会社側も具体的な内容がわかると柔軟にプランを提案できるため、結果的に効率的な進行が期待できます。
まとめ
ペネトレーションテスト会社を選ぶ際は、価格の安さだけでなく、実績、対象範囲、レポート品質、再確認の有無まで見て比較することが重要です。
とくに、依頼先を比較検討している段階では、まず比較表で候補を絞り、その後に見積もりや相談で診断範囲を具体化していく流れが効率的です。
関連ページ
このページは「会社比較」に特化しています。費用や診断の違いを詳しく知りたい方は、以下の関連ページもあわせてご確認ください。
- ペネトレーションテストの費用相場 — 価格帯と選び方を詳しく解説
- 脆弱性診断会社の選び方 — 会社比較との違いを整理
- Webペネトレーションテスト — Webアプリケーションに特化した侵入テスト
- ネットワークペネトレーションテスト — 社内ネットワーク・サーバーの侵入テスト
- 料金プラン — 価格帯と依頼内容を確認
よくあるご質問 (FAQ)
Q. ペネトレーションテストの費用相場はどのくらいですか?
A. テストの範囲や深度により異なります。業界相場は標的型テストで700万〜1,000万円、レッドチーム演習で1,000万〜3,000万円が一般的です。シースリーレーヴでは100万円〜で提供しています。
Q. ペネトレーションテストの費用はどのように決まりますか?
A. 主に①診断対象の範囲(Webアプリ、ネットワーク、クラウド等)、②テストの深度(ツール診断か手動診断か)、③システム規模(サーバー数・IP数等)の3要素で決まります。事前ヒアリングで最適なプランをご提案します。
Q. ペネトレーションテスト会社は何を基準に選べばよいですか?
A. 実績の公開範囲、診断対象の明確さ、レポートの具体性、再確認の有無、費用の内訳を基準に比較するのがおすすめです。価格だけで選ぶと、必要な範囲が含まれていないケースもあります。
Q. ペネトレーションテスト企業を比較するときは、どこを見ればよいですか?
A. 料金だけでなく、対象範囲、手動テストの深さ、レポートの具体性、再テストの有無、開始までの早さを並べて確認することが重要です。
Q. ペネトレーションテスト会社は何社くらい比較すべきですか?
A. 一般的には3社程度を比較すると、費用感、対象範囲、レポート品質の違いが見えやすくなります。多すぎると比較軸がぶれやすいため、候補を絞って深く確認する方が効率的です。
Q. 中小企業でもペネトレーションテスト会社に依頼できますか?
A. 依頼できます。対象範囲を絞れば、比較的低コストで始められるケースもあります。まずは重要なWebアプリや外部公開資産から相談するのがおすすめです。
Q. ペネトレーションテストにはどのくらいの期間がかかりますか?
A. テスト範囲により異なりますが、標準的なWebアプリケーションのテストは1〜2週間程度です。大規模なネットワークや複数のシステムを対象とする場合は、1〜3ヶ月程度かかることもあります。
Q. ペネトレーションテスト中に実際のデータが流出するリスクはありますか?
A. テストは秘密保持契約(NDA)を締結した上で、事前に合意した範囲と手法で実施します。実データの取り扱いが必要な場合も、管理方法や報告方法を事前に取り決めたうえで進めるのが一般的です。
Q. テストを受ける前に、社内で準備すべきことはありますか?
A. テスト対象のシステム情報(URL、IP、テスト用アカウント等)のご提供と、テスト期間中の社内セキュリティ担当者との連絡体制の確保をお願いしています。事前ヒアリングで詳細をご案内いたします。
Q. 脆弱性診断とペネトレーションテストの違いは何ですか?
A. 脆弱性診断は既知の脆弱性を自動ツールで網羅的に検出する「健康診断」です。ペネトレーションテストは、見つかった脆弱性を実際に悪用して侵入可能かを検証する「実戦テスト」です。セキュリティ対策として両者を組み合わせることが最も効果的です。
ペネトレーションテストならシースリーレーヴ
ペネトレーションテストの会社をお探しの方は、ぜひシースリーレーヴ株式会社までお問い合わせください。
シースリーレーヴでは、無料相談の段階からお客様の状況に寄り添い、必要なテスト内容をカスタマイズしてご提案しています。
また、必要な項目だけに絞ったレポートと改善案を提出するため、今すぐ優先して対応すべき内容が一目で分かります。
そのため、無駄なコストをかけず、低コスト・短期間で大手企業と同様レベルのテストを実施できます。
導入実績は1,000社超、リピート率も高く、最短7日からテスト開始が可能です。
海外で活躍するホワイトハッカー集団「Nullit・ナルト」によるペネトレーションテストを100万円〜で提供しています。
また、再テストや改善内容の整理まで含めて進められるため、テスト結果を受け取って終わりではなく、その後の対策判断まで進めやすい点も特長です。
これまでに大手企業様や、上場企業様など、数多くのペネトレーションテスト実績を持っております。
セキュリティ面に関するお悩みをお持ちの方は、まずはぜひ一度ご相談ください。
最後までお読みいただき、ありがとうございました。

