この記事でわかること
- 標準メニュー(P1/P3/S3)に侵入実証(ペンテスト)は含まれないこと
- 能動スキャン(ポート確認・CVE スキャン)と侵入実証の法的・契約上の違い
- S6 は別個別契約・別作業許可・別 USB ツリーが必要な理由
調査の 3 段階
| 段階 | 主な問い | 当社の標準メニュー |
|---|---|---|
| 1 | 外から何が見えているか | 攻撃面パッケージ など |
| 2 | 既知の弱点(公表されている CVE 等)が検出されるか | 脆弱性診断 |
| 3 | 本当に突破でき、権限まで取れるか | ペンテスト(侵入実証試験) — 別契約 |
多くの場合、攻撃面 → 脆弱性診断 →(必要なら)ペンテストの順で検討します。 初回から 3 つすべてを一度に依頼する必要はありません。 段階を分けて進めていただいて問題ありません。
ペンテストで増えること
- 検出された弱点の悪用可能性の実証(許可範囲内)
- ログイン突破・権限昇格など、到達できた事実と再現手順の記録
- 対象システム・許可する手法・実施時間帯を個別に書面で合意すること(作業許可書)
攻撃面や脆弱性診断は「観測・検出の整理」が中心です。 境界を観測として読むもあわせてご覧ください。 ペンテストは意図的な攻撃の再現を含むため、 法務・本番への影響・責任の範囲を別途決める必要があります。
標準メニューに含まれないもの(明示)
- ログイン突破・データ取得までの侵入実証
- 社内 LAN への横展開、長期間の権限維持、大規模な侵入演習(レッドチーム相当)
- 無制限のブルートフォース、DoS
- 攻撃面・脆弱性診断の料金に含まれると誤解されやすい「突破まで見る」作業
攻撃面オプションや 脆弱性診断も、 ペンテストではありません。
料金・契約のイメージ
ペンテストは攻撃面・脆弱性診断とは別の見積・契約になります。 税抜の目安は150 万円以上の帯が多く、 攻撃面パッケージ(15〜35 万円帯)とは 料金帯が大きく異なります。
見積もメニューごとに分けることをおすすめします。 稟議で「何にいくらか」がはっきりし、 攻撃面の報告を受け取ったあと、ペンテストが必要かどうかを 改めて判断してから追加依頼しやすくなります。
攻撃面のあとにペンテストを続ける場合も、 契約と作業許可を分け、対象・手法・料金をそれぞれで合意します。 「診断までのつもりが、侵入試験まで含まれていた」といった 御社・当社双方の誤解を防ぐためです。
いつペンテストを検討するか
- 脆弱性診断で最優先で対応すべき弱点が出て、実際に悪用できるかを確認したい
- 規制・取引先から侵入試験報告書の提出を求められた
- 新システム本番前に、許可された範囲で突破シナリオを試したい
多くの中小組織では、攻撃面+脆弱性診断までで足り、 ペンテストは必要になってから検討するケースが多いです。
相談の進め方
ペンテストはお問い合わせから。 対象システム・許可する手法・実施時間帯・本番か検証環境かを、 見積・合意の段階ですり合わせます。 初回から「ペンテまで標準」とはお受けしていません。 入口は依頼の進め方、 全体像は外部攻撃面の入門も参照してください。