ホーム > ブログ記事 > ペネトレーションテスト費用と費用対効果
 

ペネトレーションテスト費用と費用対効果

2016-03-17 8:36 AM

 

ペネトレーションテストの費用は、一体どのくらいが相場と言えるのでしょうか?

 

そして、ペネトレーションテストは、コストパフォーマンスに優れているのでしょうか?

 

本日のブログでは、費用と費用対効果について、ご説明させていただきたいと思います。

 

まず、ペネトレーションテストの費用は、本来は、専門技術者への報酬になります。

 

例えばグーグルでは、昨年2015年、脆弱性やバグを報告してくれたセキュリティ技術者に合計で200万ドル以上支払いました。セキュリティ技術者とは、いわゆるハッカー(ホワイトハッカー・善玉ハッカー)のことです。

 

そして2016年、3月14日には、脆弱性を発見したセキュリティ技術者に支払う賞金の最高額をこれまでの2倍、10万ドル(約1140万円)に引き上げると発表しました。危険な脆弱性1件につきの最高額です。

 

その他、同様に、米Microsoft・Mozilla・Facebookを筆頭に、皆さんもお使いのLINE・サイボウズ・バイドゥ・など、世界のIT業界を代表する企業は、他企業に先駆け、脆弱性情報の提供者に報酬を支払う制度を導入しています。Microsoftは、グーグルよりも早く、2015年の時点で最高報酬は10万ドルに達していました。

 

世界中の見ず知らずのハッカーに攻撃させることによって、自社のシステムに潜む脆弱性を暴きだし、報酬を支払っているわけです。費用対効果(コストパフォーマンス)を重んじる昨今のIT企業が、次から次へとその仕組みを導入し、且つ報酬金額を倍々に上げているということは、これは即ち、やり方や利用先を間違えなければ、費用対効果が高いと判断できる客観的な証拠になるのではないでしょうか。

 

そして、この脆弱性発見のプロセスこそが、ペネトレーションテスト(侵入テスト)そのものです。世界中のハッカーに挑戦させるか、ペネトレーションテストを得意とする企業に依頼をするかの違いです。勿論、細かい部分で言えば、見積り・作業・報告書の作成・アフターフォローなどにおいて、ペネトレーションテストのほうがサービス性が高いですが、最も重要な「脆弱性を暴き出す」という部分においては、完全一致です。

 

脆弱性診断とペネトレーションテストの違いについては、こちらをご確認ください。

 

ただ、見落としてはならないこともあります。それは業種です。どんな業種のどんな規模の会社でもペネトレーションテストが必要かと言ったら、全然そんなことはございません。逆に、ペネトレーションテストを行って費用対効果が良いのは、特定の企業だけだと言えるでしょう。言い方を変えると、ペネトレーションテストを行う意味がある企業は、ごく一部の会社です。一番簡単な見分け方は、犯罪者(ハッカー)の視点で考えることです。

 

●世間に名前が通っている有名な相手

●自分の力を試せそうな相手

●出回ってない機密情報がありそうな相手

●個人情報リストが多そうな相手

●情報と引き換えに身代金を要求できそうな相手(ランサムウェア)

●セキュリティ管理がずさんな相手

 

犯罪者にとって、上記のような相手には、攻撃するだけの価値が芽生えます。

その中でも、人気サービスの顧客情報を持っているような企業は、狙われやすい傾向があります。

結局のところ、犯罪者側も、費用対効果を考えているからです。

 

 

ペネトレーションテストを行ったほうが良い企業の特徴としましては、

 

上場企業(株価の暴落が大損失を生む企業)

信用で運営している企業

●情報漏洩が起きると、倒産の危険性がある企業

国民への影響が大きい企業(インフラ関連企業など)

 

が挙げられます。

 

ベネッセの情報漏洩事件はいい例です。もしも毎年1億円の予算でペネトレーションテストを実施していれば、あのように情報が盗まれることはなかったはずです。ベネッセは、情報漏洩に伴う対策費用だけで260億円の損失。そして株価下落。新規顧客激減。退会者続出。純利益は前年同期比82%減。散々な結果です。

 

数字の大きさは様々だとしても、これだけのダメージを受けた場合、普通の企業なら倒産しても不思議ではありません。

 

・御社様が、万が一、攻撃を受けた場合の全体損失額(予想)

 

・御社様のシステムへの、ペネトレーションテスト年間費用(見積り)

 

この損失と費用に、30倍(30年分)以上の開きがある場合、費用対効果は高いとみたほうが良いかもしれません。

 

全体損失額(¥) ÷ ペンテスト年間見積り(¥) ≧ 30

 

たった1回の攻撃(情報漏洩など)で生じる被害額で、ペネトレーションテストが30年分行える計算です。

 

ベネッセの場合、各種損失などを含めず、事件に関わる対策費用だけで260億円です。

 

260億円 ÷ ペンテスト予算年間1億円 = 260

 

たった1回の攻撃(情報漏洩など)で生じた被害額の一部で、ペネトレーションテストが260年分行える計算です。

 

ベネッセの場合には、内部の事情に通じている人間(インサイダー)による犯行でしたが、このような犯行の場合でも、第三者機関が、しっかりとペネトレーションテスト(侵入実験)をしっかり行っていれば、情報が漏洩した可能性は極めて低かったと言えます。

 

 

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。