ペネトレーションテスト事業者を選ぶ際のポイント

事業者選定で確認すべき5つのポイント

ペネトレーションテストの品質は、実施する事業者の技術力と経験に大きく左右されます。価格だけで判断すると、形式的な診断しか行われないリスクがあります。以下の5つのポイントを確認しましょう。

1. 技術者の保有資格

OSCP（Offensive Security Certified Professional）、CEH（Certified Ethical Hacker）、CPENT（Certified Penetration Testing Professional）などの国際資格は、技術者の実践的なスキルを客観的に証明するものです。特にOSCPは、実際のシステムに対して侵入を行う実技試験に合格する必要があり、ペネトレーションテストの能力を示す最も信頼性の高い資格の一つです。

重要なのは、資格を保有する技術者が「実際に」診断を担当するかどうかです。営業段階では資格保有者を紹介しつつ、実際の診断は経験の浅いスタッフが行うケースもあるため、事前に確認することをお勧めします。

2. 診断手法

自動スキャンツールの結果をそのまま報告書にするだけの事業者と、手動での詳細な検証を行う事業者では、発見できる脆弱性の質が大きく異なります。手動テストの比率や、ビジネスロジックの検証が含まれるかどうかを確認しましょう。

3. 報告書のサンプル

事前に報告書のサンプル（機密情報を除いたもの）を確認することで、成果物の質を事前に判断できます。脆弱性の説明が具体的か、再現手順が明確か、改善策が実践的か、といった点をチェックしましょう。

4. 診断後のサポート体制

報告書の提出で終わりではなく、報告会の実施、改善に関する質問対応、修正後の再テストなど、診断後のサポートが充実しているかどうかは重要な判断基準です。特に再テスト（再診断）が含まれるかどうかは、改善の確実性に直結します。

5. コミュニケーションの質

診断結果を正確に理解し、改善につなげるためには、報告書の質とそれを説明する報告会の充実度が重要です。技術的な内容を、経営層にも理解しやすい形で伝える能力があるかどうかも確認しましょう。

価格だけで選ばないために

ペネトレーションテストの費用は事業者によって大きく異なりますが、極端に安い価格設定には注意が必要です。質の高い手動テストには相応の時間と専門性が必要であり、それに見合わない低価格は、診断の質が犠牲になっている可能性があります。

一方で、大手セキュリティ企業の高額なサービスが必ずしも中小企業にとって最適とは限りません。自社の規模や予算に合った事業者を選び、適正な価格で質の高い診断を受けることが重要です。