脆弱性診断の費用は、診断の種類とサイトの規模によって0円(無料ツール)から数百万円まで大きく開きます。ただし、小規模なWordPressサイトの多くは、いきなり数十万円の手動診断は必要ありません。この記事では、種類別の費用相場を早見表で整理し、「中小サイトはどこまでやるべきか」「無料でどこまで済むか」を正直に解説します。
脆弱性診断の費用相場【種類別・早見表】

脆弱性診断は大きく「無料ツール」「有料のツール診断」「専門家による手動診断」に分かれ、費用はこの順に高くなります。目安は次のとおりです(2026年7月時点)。
| 診断の種類 | 費用相場 | 内容 | 向いている対象 |
|---|---|---|---|
| 無料ツール(URL入力型) | 0円 | 外から見える既知の弱点・設定不備・情報露出を自動チェック | まず現状を把握したい全サイト |
| ツール診断(自動・有料) | 数万円〜/回・または月額 | 自動スキャンを定期実行。範囲は広いが機械判定 | 定期的に点検したいサイト |
| Webアプリ手動診断(小規模) | 30〜80万円前後 | 専門家が手動で診断(20〜30ページ規模) | 会員・問い合わせ機能のあるサイト |
| Webアプリ手動診断(中規模) | 100〜250万円前後 | ログイン・会員機能など100ページ以上 | 会員制サービス・予約系 |
| Webアプリ手動診断(大規模) | 300万円〜 | ECや基幹システム連携あり | 決済・大量の個人情報を扱う |
| プラットフォーム診断 | IP1つあたり5〜20万円 | サーバ・ネットワーク側の診断 | 自社サーバを持つ場合 |
ここで注意したいのは、数十万〜数百万円という金額は、主に会員機能や決済を持つ中〜大規模サイトの「手動診断」の話だという点です。会社案内が中心の小規模サイトに、この規模の診断が必要になることはあまりありません。
なぜこんなに費用に幅があるのか
費用の幅が大きいのは、必要な作業量(工数)が対象によって何十倍も変わるからです。見積もりは主に次の要素で決まります。
- 診断の対象と範囲:ページ数・機能数・画面遷移の多さ
- 手法:自動ツールのみか、専門家の手動診断を含むか
- 報告書の内容:簡易レポートか、経営・監査向けの詳細報告書か
- 再診断の有無:修正後にもう一度診断するか
つまり「脆弱性診断◯円」という単一の相場はなく、何を・どこまで診るかで金額が決まると考えてください。
中小のWordPressサイトに本当に必要な範囲は?
結論として、多くの小規模WordPressサイトは、まず無料ツールで点検し、見つかった設定不備を直すだけで十分なことがほとんどです。いきなり数十万円の手動診断は過剰になりがちです。
一方で、次に当てはまるサイトは、専門家による手動診断を検討する価値があります。
- 会員登録・ログイン機能があり、個人情報を保管している
- 決済・予約・申込など、お金や重要な手続きが動く
- 取引先や監査から診断報告書の提出を求められている
- 独自開発の機能・プラグインが多く、自動ツールでは判断しきれない
逆に、会社案内・ブログ・問い合わせフォームが中心のサイトなら、無料ツールでの点検と日常的な保守(更新・ログイン保護・バックアップ)で、費用対効果よくリスクを下げられます。
費用を抑える3つのコツ
診断費用は工数で決まるため、範囲を絞り、無駄な再診断を減らすことでコストを抑えられます。
- まず無料ツールで当たりをつける:明らかな設定不備を先に自分で直せば、有料診断で指摘される項目が減り、範囲を絞れます。
- 目的と範囲を明確にして相見積もり:「何を・どこまで診てほしいか」を揃えて複数社に依頼すると、金額を正しく比較できます。
- 日常的な保守で”出っぱなし”を防ぐ:更新やバックアップを継続していれば、診断のたびに大量の指摘が出る状態を避けられます。
「無料でどこまで/どこから有料か」の線引き

無料と有料の境目は、「外から見える弱点」か「中に入らないと分からない弱点」かで考えると分かりやすいです。
| 無料ツールで分かること | 有料診断が必要なこと |
|---|---|
| バージョンや設定不備などの外形的な弱点 | 独自機能・入力フォームの深い脆弱性 |
| XML-RPCや情報露出などの既知の問題 | ログイン後の画面・権限まわりの挙動 |
| 危険度スコアによる現状把握 | 決済・個人情報の取り扱いの安全性 |
| — | 取引先・監査に出せる正式な報告書 |
まずは無料の範囲で現状を把握し、上表の右側が必要になったときに、範囲を絞って有料診断を依頼するのが合理的です。無料でできる点検の手順はWordPress脆弱性診断のやり方で解説しています。なお、日常的な保守そのものの費用相場はホームページの保守費用で別途まとめています。
まとめ:まず無料で現状把握、必要な範囲だけ有料に
脆弱性診断の費用は、無料ツールなら0円、専門家の手動診断なら小規模で30〜80万円、規模が大きければ数百万円と幅があります。ただし、数十万円以上の診断が必要なのは、会員機能・決済・大量の個人情報を扱うサイトが中心です。会社案内中心の小規模サイトは、まず無料ツールで点検し、設定不備を直すところから始めれば十分なことが多いでしょう。
まずは費用をかけずに、現在地を知ることから始めましょう。
よくある質問(FAQ)
Q. 無料診断と有料診断は、何が違うのですか?
無料診断は主に外から見える既知の弱点を自動でチェックします。有料診断は、専門家がサイト内部やログイン後の挙動まで手動で調べ、誤検知を精査し、報告書を作成します。網羅性と正確性、そして「報告書が出せる」点が主な違いです。
Q. WordPressサイトに手動診断は必要ですか?
会員機能・決済・大量の個人情報を扱うなら検討をおすすめします。会社案内・ブログ中心の小規模サイトなら、無料ツールでの点検と日常保守で十分なことが多いです。
Q. 診断は定期的に受けるべきですか?費用はかさみませんか?
新しい脆弱性は日々見つかるため、定期的な点検は有効です。ただし毎回高額な手動診断を受ける必要はありません。無料ツールでの月次点検を基本に、大きな変更時や要件が生じたときに有料診断を組み合わせるとコストを抑えられます。
Q. 見積もりで確認すべきポイントは?
診断の対象範囲(ページ・機能)、手法(自動か手動か)、報告書の内容、再診断の有無を確認してください。これらが揃っていないと、金額を正しく比較できません。
Q. 診断後の修正費用は別ですか?
多くの場合、診断と修正(対策実装)は別料金です。見積もり時に「修正まで含むか」を必ず確認しましょう。設定不備レベルであれば、日常の保守の範囲で対応できることもあります。
免責事項
本記事は一般的な情報提供を目的としており、記載の費用相場は2026年7月時点の一般的な目安です。実際の費用は、診断事業者・対象・範囲・時期によって変動します。正確な金額は各事業者の見積もりをご確認ください。

この記事を書いた人
Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之
2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →
