見積もり後に追加コストが発生する主な場面
セキュリティ診断の追加コストは、契約書の細部に記載されている場合が多く、見積もりの時点では気づきにくいものがあります。どのような場面で発生しやすいかを把握することが予防の出発点です。
追加コストが発生しやすい4つの典型パターン
セキュリティ診断における追加コストが発生しやすい典型パターンは、(1)脆弱性修正後の再診断(リテスト)が基本料金に含まれず別途請求される、(2)診断対象のURL・ドメイン・画面数が増えると従量課金が発生する、(3)診断結果の説明会や修正支援がオプション扱いでコンサルティング費として請求される、(4)サービス解約時にデータのエクスポートが有償になる、の4種類です。
これらは導入前の見積もりや提案資料に明記されていないケースがあります。特に「基本料金に含まれるもの」と「含まれないもの」の境界線が曖昧な見積もりは、後から追加請求を受けるリスクがあります。見積もりを依頼する際は「何が基本料金に含まれますか」と具体的に聞き、書面で確認することを推奨します。
契約前に追加コストを確認するための質問リスト
セキュリティ診断を依頼する前に、ベンダーに対して確認すべき質問を事前に準備しておくと、追加コストの発生を防ぎやすくなります。具体的には、(1)脆弱性修正後の再診断(リテスト)の費用と含まれる回数、(2)スキャン対象のURL・ドメイン・画面数を変更した場合の費用変動、(3)診断結果の説明・修正方法の提示が基本料金に含まれるか、(4)サービス解約時のデータエクスポートの可否と費用の4点が特に重要な確認項目です。
これらをメールで問い合わせ、書面での回答をもらうことで、後のトラブルを防ぐ証跡です。口頭での説明だけで進めてしまうと、担当者が変わったときに「そのような説明はしていない」というトラブルに発展するリスクがあります。追加コストの確認は、見積もりの商談段階から始めることを推奨します。
再診断(リテスト)料金と従量課金の落とし穴
初期費用が安く見える診断サービスでも、継続的な利用によって費用が膨らむ構造を持つケースがあります。特に再診断と従量課金は、長期利用での総コストに大きく影響します。
再診断が別料金になるケースの見極め方
脆弱性を修正した後、修正が正しく完了しているかを確認する再診断(リテスト)は、診断プロセスの最終ステップとして重要です。しかし、サービスによっては1回の診断費用に再診断が含まれておらず、修正のたびに追加料金が発生する料金体系を採用しているケースがあります。修正と再診断を繰り返す開発フェーズでは、当初の見積もりより大幅に費用が膨らむことがあります。
再診断の料金体系を事前に確認するポイントは、(1)基本料金に再診断が何回含まれるか、(2)再診断の単価はいくらか、(3)再診断の対象範囲(発見された脆弱性箇所のみか・全体スキャンか)の3点です。再診断を1回無料で提供しているサービスや、定額の月額プランに含まれているツールもあります。複数ベンダーに再診断の料金体系を確認して比較することで、長期コストの見通しを立てやすくなります。
クラウド型ツールの従量課金の仕組みと上限設定
月額定額で「使い放題」に見えるクラウド型セキュリティ診断ツールでも、スキャン対象のドメイン数(FQDN:Fully Qualified Domain Name)や診断対象の画面数・ページ数に上限が設定されているケースがあります。事業拡大に伴い診断対象のURLやサービスが増えると、プランの上限を超えた分が追加課金される従量課金が発生します。
従量課金の罠を避けるために確認すべきポイントは、(1)基本プランに含まれるドメイン数・ページ数の上限、(2)上限を超えた場合の1ドメイン・1ページあたりの追加料金、(3)将来的なサービス拡張を想定した場合の費用上限の3点です。「今は安いが、規模が拡大すると高額になる」という構造のプランを見極めるには、ビジネスの成長シナリオを想定した費用シミュレーションを資料請求時にベンダーに依頼することが有効です。
報告会・修正支援が別料金になるケースと確認方法
診断が完了してレポートを受け取った後、内容の説明や修正方法の具体的な提示を求めると、それが「オプション」として別料金になるケースがあります。どこまでが基本サービスに含まれるかを契約前に確認することが重要です。
報告会とコンサルティング費用の境界線
セキュリティ診断の報告書は、発見された脆弱性の一覧と概要が記載されていますが、内容を読んでも「どの脆弱性をどの順番で対応すればよいか」「具体的にどのようなコードを書けば修正できるか」が分からない場合があります。こうした「診断結果の読み解き・修正方針の策定・開発者への説明」はコンサルティングサービスとして別料金になるケースがあります。
「診断結果の報告会(オンラインミーティングでの説明)」が基本料金に含まれるか、別途費用が発生するかは、ベンダーによって大きく異なります。含まれない場合の費用は、時間単位または回数単位で請求されることが多くあります。また「修正コードのサンプル提示」も基本レポートに含まれているかどうかを確認してください。修正コードが提示されているレポートは開発者が対応しやすい一方、含まれていない場合は開発担当者がゼロから調査する工数が発生します。
修正支援サービスの有無と費用を事前に把握する方法
修正支援の範囲と費用を明確にするために、資料請求の際に「基本サービスに含まれる対応範囲の一覧をいただけますか」と依頼することが有効です。多くのベンダーは「診断(スキャン・レポート)」と「支援(修正方法の提案・コンサルティング)」を分けて提供しており、両方が必要な場合は費用が2段階で発生します。
修正支援まで含めた一括対応を提供しているサービスを選ぶことで、追加料金の発生を防ぎながら診断から修正完了まで一貫したサポートを受けられます。初めてセキュリティ診断を実施する企業や、社内にセキュリティの専門知識を持つエンジニアが少ない場合は、診断後の修正支援まで含んだサービスを最初から選定することで、結果的なトータルコストを抑えられる可能性があります。
解約時のデータ移行コストとサービス乗り換えの問題
クラウド型の診断ツールを解約して他社に乗り換える際に、過去の診断データを持ち出せないという問題が発生することがあります。この「見えない乗り換えコスト」も事前確認が必要な項目です。
解約時にスキャン履歴が持ち出せない場合のリスク
クラウド型セキュリティ診断ツールを数年間利用すると、過去のスキャン履歴・検出した脆弱性の一覧・修正対応の経緯がツール内にのみ蓄積されます。解約時にこれらのデータをCSVやPDF形式でエクスポートできない仕様のツールでは、移行先のベンダーに切り替えた瞬間に過去のセキュリティ対応の記録が失われます。これは年次の比較・監査への対応・インシデント発生時の原因調査において大きなリスクです。
この問題を防ぐために、契約前に「過去のスキャンデータを標準的な形式(CSV・JSON・PDF等)でエクスポートできるか」「エクスポートに費用はかかるか」「エクスポートできるデータの範囲(いつから何件まで)はどこまでか」を確認してください。また、利用期間中は定期的に診断レポートをPDFで保存しておく習慣をつけることで、解約後のデータ消失リスクを軽減できます。
乗り換えコストを含めた総コストの比較方法
セキュリティ診断ツール・サービスの選定では、初年度の費用だけでなく、3~5年間の総コストで比較することを推奨します。総コストには、(1)年間の基本料金(または月額x12)、(2)再診断の年間費用(修正が必要な箇所数xリテスト単価)、(3)スキャン対象の増加に伴う従量課金の増分、(4)将来的な乗り換えが発生した場合のデータ移行費用と再設定工数の4種類を含めて算出することが重要です。
ベンダーに対して「年間の想定コスト試算書を作ってもらえますか」と依頼することで、隠れた追加コストが見えやすくなります。特に「スキャン対象が現在の1.5倍に増えた場合の年間費用はいくらになりますか」というシナリオを前提に費用を確認しておくと、事業成長に伴う費用増加を事前に把握できます。
3年間の総コストを見積もるための考え方
中長期での費用感を把握することで、初期費用だけに引きずられた選定ミスを防げます。50画面規模のWebサービスを例に、総コストの見積もり方を解説します。
手動診断とツール診断を組み合わせた場合の費用構造
50画面規模のWebサービスで年1回の手動診断(スポット診断)と常時の自動ツール診断を組み合わせるハイブリッド体制を3年間継続した場合の費用は、手動診断が年間30~80万円程度(規模・ベンダーにより変動)、自動ツール診断が月額1~5万円程度(サービスにより変動)で試算されます。3年間の総費用は診断の組み合わせにより150~330万円程度の幅があります。これに再診断費用や報告会の費用が加わると、さらに増加します。
なお、費用の幅が大きいのは、手動診断の人件費や診断の深さによって大きく変わるためです。見積もりを取る際は、同一条件で複数ベンダーに依頼して比較することで、市場相場を把握しやすくなります。「安い見積もり=質が低い」とは限りませんが、極端に安い場合は診断の範囲・手法・サポート体制を詳細に確認してください。
3年分の総コストを正確に把握するための見積もり依頼方法
3年間の総コストを把握するためには、見積もり依頼時に「3年間継続利用した場合の年間費用の試算をいただけますか」という形で依頼することが有効です。この際、(1)再診断の費用(年2~3回の修正・リテストを想定)、(2)スキャン対象の20%増加を想定した場合の費用変動、(3)報告会・修正支援の費用(年1~2回を想定)を含む形でシミュレーションを依頼してください。
3年分の総コストを比較すると、初年度は高く見えても長期で見ると割安なサービスや、初年度は安いが継続利用で費用が増大するサービスの違いが見えてきます。「初期費用が安い」という理由だけで選定するのではなく、3年間の総コスト試算を見比べてから最終判断することで、後から後悔しない選定が実現します。
セキュリティ診断の追加コストに関するよくある質問
セキュリティ診断の追加コストについて、よくいただくご質問と回答をまとめました。
- 再診断(リテスト)が含まれているかどうかを確認するタイミングはいつですか?
- 見積もりを依頼する段階で確認することを推奨します。提案書や見積書に「再診断〇回含む」と明記されていない場合は、必ず口頭または書面で確認してください。契約書に記載がなく口頭のみで説明を受けた場合は、後から「そのような説明はしていない」という認識のズレが生じるリスクがあります。確認した内容はメールで残しておくことを推奨します。
- 報告会の費用を節約する方法はありますか?
- 報告会の費用を抑えるためには、レポートを受け取る前にベンダーに「読み方のガイドや優先度の判断基準を文書で提供してもらえますか」と依頼することが有効です。また、質問事項をメールで送り文書回答をもらう形式であれば、有償の報告会より費用を抑えられる場合があります。最初から修正支援まで含んだパッケージサービスを選ぶことも、追加費用の発生を防ぐ選択肢の一つです。
- 解約を前提に、今からできるデータ保全の方法を教えてください。
- 利用中のツールで診断レポートをPDF形式でダウンロードできる場合は、定期的に手元に保存しておくことを推奨します。また、発見された脆弱性の一覧・修正対応状況・検出日時をスプレッドシートで手動管理することで、ツールに依存しない形で履歴を保全できます。データエクスポート機能があるツールでは、年に一度まとめてエクスポートしてバックアップしておくとより安心です。
まとめ
セキュリティ診断の追加コストとして特に注意すべきは、再診断(リテスト)の別料金、スキャン対象増加による従量課金の増大、報告会・修正支援のコンサルティング費、解約時のデータ移行コストの4点です。これらを契約前に書面で確認し、3年間の総コスト試算をベンダーに依頼することで、見積もり段階では気づかない隠れたコストを事前に把握できます。初期費用だけでなく長期の費用対効果で比較することが、適切なサービス選定につながります。
