top of page
  • Tachibana

ペネトレーションテストの会社5選をご紹介!脆弱性診断との違いや費用相場なども解説

更新日:2023年12月22日

近年、大手企業と取引のある中小企業がサイバー攻撃されるケースが増加しており、セキュリティが問題視される中で、より専門性の高い侵入テストを実施する必要があります。


当記事では、セキュリティ対策で今最も注目されている「ペネトレーションテスト」を提供しているおすすめの会社5選をご紹介します。さらにペネトレーションテストの目的や脆弱性診断との違い、メリット、費用相場についても解説しますので、ぜひ参考にしてください。



ペネトレーションテストとは?

ペネトレーションテスト(ペンテスト)とは、攻撃者の視点からシステムに実際の攻撃を行い、セキュリティ脆弱性を特定し修正する手法です。

攻撃者と同じ立場でシステムにアクセスし、脆弱性を利用して潜在的な攻撃経路を特定します。さまざまな手法やツールを使用して、実際の攻撃シナリオを再現します。


ペネトレーションテストの主な目的は、本ブログの後半で詳しくご紹介しておりますが、簡潔にまとめると次の3つのポイントに集約されます。

  1. 弱点の特定:ペネトレーションテスター(しばしば「エシカルハッカー」とも呼ばれる)は、システムに存在する潜在的な脆弱性や弱点を探し出します。

  2. 実際の攻撃の模倣:見つけた脆弱性を利用して、実際の攻撃者がどのように不正アクセスやデータの窃取を行うかを模倣します。これにより、実際の脅威がシステムに与える影響を確認することができます。

  3. 報告と修正の提案:テストの結果を基に、弱点の詳細とその修正方法を関係者に報告します。この報告により、企業や組織はセキュリティの向上策を講じることができます。

これらのプロセスを通じて、企業や組織は情報セキュリティのリスクを具体的に把握し、効果的な防御策を立てるための情報を得ることができます。




ペネトレーションテスト会社5選!


ペネトレーションテストを実施するなら、必ず専門としている企業に依頼しましょう。

無料ツールを使ってペネトレーションテストを実施する方法もありますが、あらかじめ決められた限定的な範囲しか調査できないため、おすすめできません。


ここでは、ペネトレーションテストを提供するおすすめの会社5社を紹介します。



1. シースリーレーヴ株式会社


シースリーレーヴ株式会社
シースリーレーヴ株式会社

シースリーレーヴ株式会社では、世界で活躍する実績豊富なホワイトハッカー集団「Nullit(ナルト)」によるペネトレーションテストを提供しています。


発見された脆弱性の深刻度・概要・影響度・修正方法をレポートで確認でき、必要に応じて再検査依頼やセキュリティ対策を講じることが可能です。

ペネトレーションテストの費用は40万円〜100万円〜と、実施状況に合わせて2種類のプランを選ぶことができ、どちらも他社と比べると非常に安価な価格で実施できます。また、実績も国内某大手企業から海外の企業までと、幅広く行っております。


なぜ他社より安いの?

弊社のサービスが低価格な理由としては、脆弱性診断とポイントを絞った結果のレポート作成に重きを置き、高額の理由となる事前打ち合わせや綺麗なレポート作成に時間をかけていないためです。


​スマートスキャン

ディープスキャン

料金

60万円


120万円

実施期間

実施期間3日間

3~7日間

特徴

  • 個人情報の漏れや脆弱性の有無を診断、レポート提出

  • 本番環境実施可能

  • ツール、手動検査

  • 個人情報の漏れや脆弱性の有無を診断、問題があった場合は原因を調査、レポート提出

  • 本番環境実施可能

  • ツール、手動検査

さらに侵入テストのほかに、毎月実施できる「定期診断サービス」や「セキュリティ対策」などのオプションも用意されているので、安心してサイバー攻撃の予防ができるでしょう。


また、申し込み後、最短5日でテストを開始できるので、時間をかけられない方や最小限の手続きで済ませたい方にもおすすめです。

ペネトレーションテスト資料ダウンロード

ペネトレーションお問い合わせ





2. 株式会社ラック


株式会社ラック
株式会社ラック

株式会社ラックが提供するペネトレーションテストでは、ホワイトハッカーによる疑似攻撃を仕掛け、対策の有効性や改善点を報告しています。


ヒアリングと準備、攻撃テスト、データ分析、報告、サポートまでを一貫して実施しており、おおよそ4~5ヶ月程度でテストが完了します。


ペネトレーションテストの費用は、実施状況に合わせて700万円〜3000万円程、本格的なペネとレーションテストを希望の方や、TLTPの実施を合わせて依頼したい方におすすめです。

要望に沿ったシナリオで侵入テストを実施し、報告書や診断結果に関する問い合わせにも対応。

標準マルウェア感染シナリオ

700~1,000万円程度

ReadTeam演習の実施

1,000~2,000万円程度

TLTPの実施

2,000~3,000万円程度



3.株式会社AGEST


株式会社AGEST
株式会社AGEST

株式会社AGESTが運営するペネトレーションテスト・プラットフォーム「Synack」では、豊富な人材リソースを活かした、短納期かつ柔軟性のある侵入テストを実施可能です。


エンジニア教育と診断実施を自社内で完結させており、内製化することで低コストを実現しています。診断レポートでは、脆弱性の状況および対策方法を詳しく報告します。


ペネトレーションテストの費用は、アプリケーション単位で、実働工数に関わらず固定料金です。詳しい料金については明記されていないので、公式サイトからお問い合わせください。


4. サイバートラスト株式会社


サイバートラスト株式会社
サイバートラスト株式会社

サイバートラストでは、専門領域に特化したペネトレーションテストを実施できます。


通常の「プロフェッショナルペネトレーションテスト」のほか、以下の3種類のメニューが用意されています。

Active Directory(AD)ペネトレーションテスト

テクニカル・リスク・ポイントのチェックを通じ、ADの脆弱性やセキュリティ体制の調査を実施

PCI DSS ペネトレーションテスト

PCI DSSで求められるセキュリティ要件に対応したテストを実施

Synack クラウドソーシングペネトレーションテスト

世界最高級の技量・倫理適正・ナレッジを認定されたホワイトハッカーによる多角的で洗練されたテストを実施

プロフェッショナルペネトレーションテストでは、一般的な企業システムやネットワークシステムに適しており、攻撃テストによる脆弱性の調査を行います。


いずれも細かな料金体系は明記されていないので、公式サイトからお問い合わせください。


5. GMOインターネットグループ株式会社


GMOインターネットグループ株式会社
GMOインターネットグループ株式会社

GMOサイバーセキュリティが提供するペネトレーションテストです。


システムの想定脅威を確認し、「標的型攻撃・Webペネトレーションテスト・OSINT・物理環境・調査特化型」の5種類のメニューから最適なプランを決定し、ツールと手動でテストを実施します。


不正アクセス対策状況をサイトシールで可視化することで、サイトに訪れたユーザーにサイトの信頼性をアピールでき、サイバー攻撃を予防できます。


ペネトレーションテストの費用は対応内容や期間などによって異なるので、詳しい見積もりは公式サイトからお問い合わせください。




ペネトレーションテストの目的とは?

ペネトレーションテストの目的とは?
ペネトレーションテストの目的とは?

アプリ開発やシステム構築が完了して、そのまま公開するのはリスクがあります。


まずは外部からのサイバー攻撃を想定して、ペネトレーションテストを実施することで脆弱性がないかチェックすることが重要です。


企業がセキュリティ対策を施す場合、攻撃や侵入を受けたときに最も被害が大きいと想定されるもの、リスクの高い順から優先的に対策を取る必要があります。


ペネトレーションテストを実施することで、自社のシステム・ネットワークの問題点や、どれくらい対策コストをかける必要があるかを把握できます。


そうすることで今後のセキュリティ対策の見直し・強化につなげられるでしょう。




ペネトレーションテストと脆弱性診断の違い

ペネトレーションテストとは、セキュリティの評価手法であり、攻撃者の目線からシステムやネットワークに対する実際の攻撃を模擬的に行い、潜在的な脆弱性やセキュリティリスクを明らかにする一方、脆弱性診断は既知の脆弱性の特定と分析に重点を置きます。


それぞれの違いや目的を表にまとめました。

ペネトレーションテスト

脆弱性診断

目的

攻撃者の目的が達成されてしまうかを確認するために、必要な脆弱性を発見・評価・検証すること

脆弱性を網羅的に洗い出すこと

形式

攻撃目標を達成できるか、狙い目となるセキュリティ上の欠陥が無いかを評価する

Web、ネットワーク、システムを構築する要素をセキュリティ企画と照らし合わせて、安全性を確認する

報告内容

攻撃シナリオに基づいた検証結果

個別の脆弱性リスト

ペネトレーションテストの目的は、攻撃するターゲットを決めて実際にどこまで攻撃できてしまうのかを確認することです。


そこに脆弱性が存在するかではなく、脆弱性を利用して実際にシステムへ侵入できるのか、機密情報を盗むことが可能かどうかを、シナリオに基づいて確認します。


一方で、こうした小さな問題点や脆弱性を含めて、セキュリティ上の不備を網羅的にチェックするのが「脆弱性診断」の目的です。また、すぐにでも対処が必要とは言えないものの、滞在リスクとなっているケースや課題もまとめて洗い出すこともできます。


このことから、ペネトレーションテストと脆弱性診断は、それぞれの目的に応じた使い分けや組み合わせが必要です。




ペネトレーションテストを会社に依頼するメリット

ペネトレーションテストを会社に依頼するメリット
ペネトレーションテストを会社に依頼するメリット

ペネトレーションテストを実施するメリットは以下の通りです。


  • システムに侵入できるか安全に調査できる

  • システムのセキュリティ対策を可視化できる


ここでは、それぞれのメリットについて解説します。


システムに侵入できるか安全に調査できる


ペネトレーションテストは、シナリオに基づいて実際にシステムの侵入・攻撃まで実施するテスト手法です。しかしあくまでテストなので、実際には攻撃せず安全な環境のもとで調査できます。


脆弱性は、ペネトレーションテストだけでなく脆弱性診断でも調査できます。しかしペネトレーションテストは、あらかじめ作成されたハッカー攻撃のシナリオに基づいた調査ができることが最大のメリットです。


システムのセキュリティ対策を可視化できる


ペネトレーションテストは、自社のシステムに応じたシナリオに基づいて実施されます。


そのため、一般的なネットワークやシステムの脆弱性では発見しづらい、システム固有の脆弱性も調査できる点もメリットです。


テスト完了後には報告書が作成され、今後のセキュリティ強化につなげられるでしょう。




ペネトレーションテスト会社に依頼する流れ・やり方

ペネトレーションテストを会社に依頼する流れ・やり方
ペネトレーションテストを会社に依頼する流れ・やり方

ここからは、ペネトレーションテストのやり方について種類や流れを解説します。


ペネトレーションテストは、一般的に以下のような流れで実施されます。それぞれの流れは、利用するサービスやツールによって異なります。

ヒアリング・準備

  • 想定される攻撃パターンをリストアップする

  • 試行するテストのシナリオを作成する

攻撃テスト

  • リストアップした攻撃シナリオをもとに攻撃テストを実施する

報告書を作成

  • 結果をもとに報告書を作成する

  • 今後どのような対策を取るか検討する

ペネトレーションテストにおける侵入・攻撃の種類は大きく分けて4つあります。

外部ペネトレーション

テスト攻撃者がシステムの外部から攻撃してくることを想定したテスト

内部ペネトレーションテスト

システムの内部に攻撃者が侵入していることを想定したテスト

ホワイトボックス型テスト

対象のシステム構成や機器情報などの構造を把握した上での、顧客に合わせたテスト

ブラックボックス型テスト

対象のシステム内部構造は考慮せず、外部から把握できる機能を検証するテスト

外部からのテストと内部からのテストの2つに分類されますが、外部だけでなく内部からのペネトレーションテストも重要です。


また一般的にはブラックボックス型でテストするケースが多いものの、ホワイトボックスの方が、より短時間で高い効果が期待できます。最近では中間であるグレーボックス型で実施するケースも増えているようです。



ペネトレーションテストの費用は?

依頼する際にかかる費用相場


ペネトレーションテストにかかる費用は依頼する会社や実施するシナリオ内容によっても大きく異なりますが、平均としては700万~1000万円程度です。

自社の予算と照らし合わせて会社を選定しましょう。


ペネトレーションテストは、個人向けの無料で行えるツールもあります。しかし、無料ツールではあらかじめ決められた基本的な項目しか検証できません。


より詳細に奥までセキュリティ対策を調査するには、ペネトレーションテストを提供しているシステム会社に依頼するのが安心です。


なお、シースリーレーヴ株式会社が提供する、ホワイトハッカーによるペネトレーションテストサービスであれば、40万円〜の低価格でお試しいただけます。

※スマートスキャンが40万、ディープスキャンが100万円です。

詳しくはこちらをご覧ください。





ペネトレーションテストを会社に依頼するときの注意点

ペネトレーションテストを会社に依頼するときの注意点
ペネトレーションテストを会社に依頼するときの注意点

ペネトレーションテストは、内容によっては数百万円単位でコストがかかることもあります。まずはホームページをチェックした上で、見積もりを確認しましょう。


予算に応じて内容や方法を柔軟に対応してくれる企業や、低コストで必要なセキュリティテストを実施してくれる企業もあります。


またペネトレーションテストの成果は、テストを実施する人のスキルによって異なる場合が考えられます。依頼先の企業がどのようにテストしているのか、どのような実績があるかをよく確認しましょう。





まとめ


ペネトレーションテストを実施することで、自社システムが攻撃されたときのリスクを把握して、自社のセキュリティを向上させられます。


実施者の技術力や使用ツールによって成果は異なり、コストも高くなりがちな傾向です。そのため、テスト内容やコストを考慮した上で、依頼先を十分に検討しましょう。


ペネトレーションテストに関するご相談や質問についても、ぜひこちらからお気軽にお問い合わせください。




ペネトレーションテストならシースリーレーヴ 


ペネトレーションテストの会社をお探しの方は、ぜひシースリーレーヴ株式会社までお問い合わせください。

シースリーレーヴ株式会社

ペネトレーションテストレポート例




弊社では、海外で活躍するホワイトハッカー集団「Nulit・ナルト」によるペネトレーションテストを60万円〜の低価格で提供可能です。


ペネトレーションテスト料金

さらに毎月定期的に侵入テストを実施したり、ホワイトハッカーのロゴをサイトに掲載したりすることで、サイバー攻撃の予防を高めることができます。


また自社でのセキュリティ対策が難しい場合は、ホワイトハッカーおよびエンジニアが開発を行うことも可能です。


これまでに大手企業様や、上場企業様など、数多くのペネトレーションテスト実績を持っております。

セキュリティ面に関するお悩みをお持ちの方は、まずはぜひ一度ご相談ください。


ペネトレーションに関するお問い合わせはこちら

ペネトレーションテスト概要資料ダウンロードはこちら





ペネトレーションテスト資料ダウンロードバナー
最新記事
bottom of page