この記事でわかること

  • 標準メニュー(P1/P3/S3)に侵入実証(ペンテスト)は含まれないこと
  • 能動スキャン(ポート確認・CVE スキャン)と侵入実証の法的・契約上の違い
  • S6 は別個別契約・別作業許可・別 USB ツリーが必要な理由

調査の 3 段階

段階 主な問い 当社の標準メニュー
1 外から何が見えているか 攻撃面パッケージ など
2 既知の弱点(公表されている CVE 等)が検出されるか 脆弱性診断
3 本当に突破でき、権限まで取れるか ペンテスト(侵入実証試験)別契約

多くの場合、攻撃面 → 脆弱性診断 →(必要なら)ペンテストの順で検討します。 初回から 3 つすべてを一度に依頼する必要はありません。 段階を分けて進めていただいて問題ありません。

ペンテストで増えること

攻撃面や脆弱性診断は「観測・検出の整理」が中心です。 境界を観測として読むもあわせてご覧ください。 ペンテストは意図的な攻撃の再現を含むため、 法務・本番への影響・責任の範囲を別途決める必要があります。

標準メニューに含まれないもの(明示)

攻撃面オプション脆弱性診断も、 ペンテストではありません

料金・契約のイメージ

ペンテストは攻撃面・脆弱性診断とは別の見積・契約になります。 税抜の目安は150 万円以上の帯が多く、 攻撃面パッケージ(15〜35 万円帯)とは 料金帯が大きく異なります

見積もメニューごとに分けることをおすすめします。 稟議で「何にいくらか」がはっきりし、 攻撃面の報告を受け取ったあと、ペンテストが必要かどうかを 改めて判断してから追加依頼しやすくなります。

攻撃面のあとにペンテストを続ける場合も、 契約と作業許可を分け、対象・手法・料金をそれぞれで合意します。 「診断までのつもりが、侵入試験まで含まれていた」といった 御社・当社双方の誤解を防ぐためです。

いつペンテストを検討するか

多くの中小組織では、攻撃面+脆弱性診断までで足り、 ペンテストは必要になってから検討するケースが多いです。

相談の進め方

ペンテストはお問い合わせから。 対象システム・許可する手法・実施時間帯・本番か検証環境かを、 見積・合意の段階ですり合わせます。 初回から「ペンテまで標準」とはお受けしていません。 入口は依頼の進め方、 全体像は外部攻撃面の入門も参照してください。