脆弱性診断で指摘された問題に対し、修正作業を終えたものの、「本当に修正が反映されているのか」「修正漏れはないか」「修正によって別の影響が出ていないか」といった不安を抱える情報システム部門のセキュリティ担当者の方は多いのではないでしょうか。また、「再診断の必要性や進め方がよく分からない」「費用や期間の目安を知りたい」「上層部や監査担当、取引先にどのように説明すべきか」といった疑問も出てくるでしょう。

この記事では、脆弱性診断の「再診断」に焦点を当て、初回診断との違い、再診断の必要性、対象範囲、費用、期間、依頼の流れ、ベンダー選定のポイントまでを解説します。再診断を実施することで、初回診断で指摘された脆弱性の修正状況を客観的に確認し、報告書や確認結果を社内説明・監査対応・取引先への説明材料として活用しやすくなります。

再診断は、単にもう一度診断を行う作業ではなく、診断、修正、確認、改善というセキュリティ対策のサイクルを回すための重要な工程です。この記事を通じて、自社に必要な再診断の範囲や進め方を整理し、実務に落とし込みやすい判断材料を確認していきましょう。

INDEX

はじめに

脆弱性診断における「再診断」とは？

なぜ脆弱性診断の再診断が重要なのか？3つの理由

脆弱性診断の再診断で確認する対象範囲

脆弱性診断の再診断にかかる費用

脆弱性診断の再診断にかかる期間

脆弱性診断の再診断を依頼する前に準備すべき情報

脆弱性診断の再診断を依頼する流れ5ステップ

再診断で脆弱性が残っていた場合の対応

失敗しない再診断サービスの選び方4つのポイント

脆弱性診断の再診断に関するよくある質問

まとめ：再診断で脆弱性の修正状況を確認し、継続的な改善につなげよう

脆弱性診断における「再診断」とは？

脆弱性診断における「再診断」とは、初回診断で発見・報告されたシステムやアプリケーションの脆弱性に対し、開発チームや運用担当者が修正対応を行った後、その修正が適切に反映されているかを確認するために、再度診断を実施する作業です。

再診断では、開発側からの「修正完了」という報告だけに頼るのではなく、診断会社やセキュリティ専門家の視点で、初回診断時に成立していた攻撃手法が再び成功しない状態になっているか、修正内容に漏れがないか、周辺機能に影響が出ていないかを確認します。

ただし、再診断は「システム全体の安全性を完全に保証する」ものではありません。あくまで、初回診断で指摘された脆弱性や、合意した再診断範囲に対して、修正状況を確認する工程です。そのため、再診断を依頼する際は、確認対象となる脆弱性、修正箇所、周辺機能、報告書の内容を事前に明確にしておくことが重要です。

初回診断と再診断の違い

初回診断と再診断は、どちらもシステムのセキュリティ状態を評価する点では共通していますが、その目的、対象範囲、診断内容において明確な違いがあります。これらの違いを理解することで、再診断の役割と重要性がより明確になります。

※横にスクロールしてご覧ください。

項目	初回診断	再診断
目的	未知の脆弱性を洗い出し、システム全体または指定範囲のリスクを把握する	初回診断で指摘された脆弱性が修正されたかを確認する
対象範囲	システム全体、または事前に指定したWebアプリケーション・サーバー・ネットワークなどの範囲	原則として、指摘された脆弱性の修正箇所と、修正によって影響を受ける可能性がある周辺機能
診断内容	対象範囲に応じたテスト項目や代表的なリスク観点に基づく脆弱性の確認	指摘箇所に特化した攻撃シナリオ、修正内容の妥当性、二次的影響の検証

初回診断は、まだ把握できていない潜在的なリスクを広範囲に確認することが主な目的です。一方、再診断は、初回診断で特定された脆弱性について、修正後に同じ攻撃手法が成立しない状態になっているか、修正内容に漏れがないかを確認することに重点があります。つまり、初回診断が「リスクの発見」を目的とするのに対し、再診断は「修正状況の確認」と「説明できる証跡の整理」を目的とする点が大きな違いです。

再診断の主な目的

再診断を実施する主な目的は、脆弱性の修正状況を客観的に確認し、その結果を社内外に説明できる形で残すことです。特に、情報システム部門やセキュリティ担当者にとっては、単に「修正した」と報告するだけでなく、「どの指摘事項に対して、どのような確認を行い、どのような結果だったのか」を整理できることが重要です。

1つ目の目的は、修正状況の確認です。開発担当者から「修正が完了しました」と報告を受けても、修正方法が適切でなかったり、テスト環境と本番環境で設定が異なっていたりする場合があります。再診断を行うことで、初回診断で確認された脆弱性が、修正後に再現しない状態になっているかを確認できます。

2つ目の目的は、修正による周辺影響の確認です。脆弱性の修正では、入力チェック、認証処理、権限管理、共通ライブラリなどに変更が入ることがあります。その結果、修正箇所そのものは改善されていても、関連機能に影響が出る可能性があります。再診断では、合意した範囲内で、修正漏れや周辺機能への影響を確認できます。

3つ目の目的は、説明材料や証跡の確保です。監査担当、取引先、経営層に対して、脆弱性への対応状況を説明する際には、修正内容と確認結果を示す資料が役立ちます。再診断の報告書や確認結果は、指摘されたリスクに対して対応を行ったことを説明するための客観的な材料として活用できます。

再診断で確認する範囲

再診断で何をどこまで確認するのかは、適切な診断を実施し、無駄なコストをかけないためにも明確にしておくべき点です。原則として、再診断は初回診断で指摘された脆弱性が修正されているかどうかを確認することが中心となります。具体的には、初回診断の報告書に記載された各脆弱性について、その修正内容が正しく適用され、攻撃が成功しない状態になっていることを検証します。

ただし、修正内容によっては、修正箇所そのものだけでなく、その修正が周辺機能やシステム全体に与える影響（デグレード）の有無を確認する必要が生じることもあります。

例えば、共通ライブラリの更新や認証ロジックの変更など、広範囲に影響しうる修正の場合、関連する部分についても確認を行うことで、意図しない新たな脆弱性の発生や機能不全を防ぎます。これらの詳細については、後の「脆弱性診断の再診断で確認する対象範囲」の章でさらに詳しく解説します。ここでは、再診断のスコープは主に「指摘箇所の修正確認」と「修正に伴う影響範囲の確認」に分かれると理解しておくとよいでしょう。

なぜ脆弱性診断の再診断が重要なのか？3つの理由

脆弱性診断後の再診断は、初回診断で指摘された脆弱性が本当に修正されたのかを確認し、診断結果を実際の改善につなげるための重要なプロセスです。再診断を実施しない場合、開発チームの修正報告だけで対応完了と判断してしまい、修正漏れや設定反映漏れに気づきにくくなる可能性があります。

一方で、再診断には費用やスケジュール調整も必要です。そのため、情報システム担当者としては、「どのようなケースで再診断が必要なのか」「社内確認だけでは不十分なのか」「監査や取引先説明にどう活用できるのか」を整理しておくことが重要です。

このセクションでは、再診断が重要とされる理由を、修正状況の確認、修正漏れや周辺影響の確認、監査や取引先への説明材料という3つの観点から解説します。

1. 脆弱性の修正状況を客観的に確認するため

開発担当者から「脆弱性の修正が完了しました」と報告を受けたとしても、それだけで十分とは限りません。修正作業では、パッチの適用漏れ、修正ロジックの考慮不足、テスト環境と本番環境の差異、設定反映漏れなどが起こる可能性があります。

例えば、入力値検証の不備を修正したつもりでも、特定のパラメータだけに対策が適用されていなかったり、別の画面では同様の問題が残っていたりするケースがあります。また、認証・認可の脆弱性では、通常ユーザーでは修正されているように見えても、別の権限や操作パターンでは問題が残ることもあります。

再診断を行うことで、初回診断で指摘された脆弱性が、修正後に再現しない状態になっているかを第三者の視点で確認できます。これにより、情報システム担当者は、単なる修正完了報告ではなく、診断結果に基づいた確認状況を社内外に説明しやすくなります。

2. 修正漏れや新たな影響を確認するため

脆弱性の修正では、対象となるコードや設定だけでなく、関連する機能や共通処理に影響が及ぶことがあります。修正箇所そのものは改善されていても、別の機能に影響が出たり、想定外の動作が発生したりする可能性があるため、修正後の確認は重要です。

例えば、特定の入力値を制限する修正を行った結果、これまで正常に処理できていた入力までブロックされてしまうケースがあります。また、共通ライブラリや認証ロジックを変更した場合、他の画面や機能にも影響が出る可能性があります。

再診断では、初回診断で指摘された脆弱性の修正確認を中心に、必要に応じて修正による周辺影響も確認します。ただし、再診断だけでシステム全体のデグレードを完全に防げるわけではありません。機能テストや回帰テストは社内側でも実施し、そのうえで再診断ではセキュリティ観点から修正箇所や関連範囲を確認する、という役割分担で考えるとよいでしょう。

3. 監査や取引先への説明に使える証跡を残すため

情報システム担当者にとって、セキュリティ対策の状況を社内外に説明できる状態にしておくことは重要です。監査担当、取引先、経営層などから、脆弱性診断で指摘されたリスクへの対応状況を確認される場合、「修正しました」という口頭の説明だけでは十分な説明材料になりにくいことがあります。

再診断の報告書や確認結果は、初回診断で指摘された脆弱性に対し、どのような確認を行い、どのような結果だったのかを示す客観的な資料として活用できます。脆弱性ID、指摘箇所、修正確認結果、確認日、診断会社のコメントなどが整理されていれば、監査対応や取引先への説明にも使いやすくなります。

ただし、再診断報告書があれば、ISMS認証やPマーク、取引先のセキュリティ要件を必ず満たせるというわけではありません。各制度や取引先の要求事項によって必要な資料や確認範囲は異なるため、再診断結果はあくまで説明材料や証跡の一つとして位置づけるのが適切です。

脆弱性診断の再診断で確認する対象範囲

脆弱性診断の再診断は、初回診断で見つかった脆弱性の修正状況を確認する重要なプロセスです。しかし、情報システム部門の担当者の中には、「再診断はどこまで実施すればよいのか」「修正箇所だけを見ればよいのか、周辺機能まで確認すべきなのか」と迷う方も少なくありません。再診断の対象範囲を明確にしておくことで、費用感を把握しやすくなり、診断会社との認識のズレも防ぎやすくなります。

対象範囲が不明確なまま依頼してしまうと、見積もりが想定より高くなったり、逆に「ここまで確認してほしい」と考えていた部分が診断に含まれていなかったりする可能性があります。このセクションでは、再診断で確認すべき範囲を具体的に解説し、自社の状況に合わせて適切な診断範囲を設定するための考え方を紹介します。

初回診断で指摘された脆弱性の修正箇所

再診断において、最も基本的な対象範囲は、初回診断の報告書で指摘された個々の脆弱性が、適切に修正されているかどうかの確認です。具体的には、初回診断の報告書に記載されている脆弱性ID、名称、危険度、そして指摘箇所（URL、パラメータ、ファイル名など）を基に、修正後のシステムやアプリケーションの挙動を詳しく検証します。

この作業では、以前は脆弱性として攻撃が成功していた箇所に対し、修正が適用されたことで、同様の攻撃シナリオが成功しなくなっていることを確認します。

例えば、入力値検証の不備を修正した場合は、不正な入力に対するシステムのエラーハンドリングが適切に行われているか、データベースへの不正なアクセスがブロックされているかなどを綿密にチェックします。この修正箇所の確認こそが再診断の核となり、修正内容が意図したとおりに反映されているかを客観的に確認するための重要なプロセスです。確認結果を報告書や記録として残しておくことで、社内報告や監査、取引先への説明にも活用しやすくなります。

修正によって影響を受ける関連機能や周辺範囲

脆弱性の修正は、修正箇所そのものだけでなく、関連する機能や共通処理に影響を及ぼす可能性があります。再診断では、このような「修正に伴うデグレード（機能低下や新たな脆弱性の発生）」がないかを確認するため、必要に応じて、修正によって影響を受ける可能性のある関連機能や周辺範囲も対象に含めることがあります。

具体的な例として、「認証・認可に関する脆弱性の修正」を行った場合、修正内容によっては関連する権限管理機能や、ユーザー認証が必要な複数のページに影響する可能性があります。また、「共通コンポーネントのアップデート」による修正であれば、そのコンポーネントを利用している複数の画面や機能が確認対象となることもあります。どの範囲を「周辺範囲」として再診断に含めるかは、修正内容の複雑性やシステム構成によって異なるため、診断会社と事前に確認して決めることが重要です。

再診断の対象外になりやすい範囲

再診断を効率的に進めるためには、診断のスコープを明確にしておくことが重要です。そのため、初回診断で指摘されなかった機能や、今回の修正と関連性が低い機能は、通常、再診断の対象外となることが多いです。

例えば、Webアプリケーションの認証機能に脆弱性が指摘され、それを修正した場合、お問い合わせフォームの動作や製品カタログページの表示機能など、認証機能と直接関連のない部分は、原則として再診断の対象には含まれないケースがあります。これは、確認が必要な箇所に診断範囲を絞り、費用や期間を調整しやすくするための考え方です。ただし、契約内容や診断会社のサービスによって確認範囲は異なるため、対象外となる範囲も含めて事前に確認しておくと安心です。

脆弱性診断の再診断にかかる費用

脆弱性診断で指摘された問題の修正が完了した後、情報システム部門のセキュリティ担当者が気になりやすいのが、再診断にかかる費用です。限られた予算の中で必要なセキュリティ対策を進めるためには、再診断の費用がどのように決まるのか、どの程度の予算を見ておけばよいのかを事前に把握しておくことが重要です。再診断の費用は、診断会社や依頼内容によって大きく変動するため、一概に「いくら」と断言することはできません。

しかし、費用の算出方法や料金体系の一般的な傾向を知ることで、自社のケースに合わせた費用感をイメージしやすくなり、社内での予算確保や稟議も進めやすくなります。このセクションでは、再診断にかかる費用の決まり方、目安となる相場、そして費用を調整するためのポイントまでを詳しく解説します。

費用の算出方法と料金体系

再診断の費用は、診断会社が提供するサービス内容や料金体系によって多様です。一般的に、以下の3つの算出方法が用いられることが多いです。

まず、「項目数課金」は、初回診断で指摘された脆弱性のうち、再診断を依頼する項目数に応じて料金が決まるプランです。例えば、20件の指摘のうち、特に重要な5件のみを再診断する場合に適用されます。この方式のメリットは、依頼する側がコストをコントロールしやすい点ですが、依頼する項目が増えるごとに費用が加算されるため、多数の項目を再診断する場合は高額になる可能性があります。

次に、「工数課金（人日/時間）」は、診断にかかる時間や作業量（工数）をベースに見積もるプランです。これは、診断エンジニアが診断作業に費やす日数や時間に応じて費用が算出される方式です。複雑な脆弱性や、修正によって影響が広範囲に及ぶ可能性のある箇所の確認など、診断に手間がかかる場合に適用されることが多いです。メリットとしては、作業内容に応じた適正な費用が期待できますが、事前に正確な工数を予測するのが難しいというデメリットもあります。

最後に、「一律料金」は、初回診断の契約内容や指摘件数にかかわらず、再診断1回あたりで固定の料金が設定されているプランです。比較的軽微な脆弱性の再診断や、一定数の指摘項目までであれば定額で再診断を受けられるケースなどがあります。メリットは費用が明確で分かりやすい点ですが、ごく少数の項目しか再診断しない場合でも、固定料金が発生するため割高に感じる可能性もあります。

これらの料金体系は、診断会社によって組み合わされたり、独自のプランが提供されたりします。そのため、再診断を依頼する際には、どの料金体系が適用されるのか、再診断の対象範囲はどこまで含まれるのか、報告書の作成や再確認が料金内に含まれるのかを診断会社に確認することが重要です。複数の診断会社を比較する場合も、料金だけでなく、確認項目、作業範囲、報告書、質問対応、追加費用の条件まで含めて見積もりを確認すると判断しやすくなります。

費用の目安・相場

再診断にかかる費用は、指摘された脆弱性の数、難易度、再診断の対象範囲、報告書の有無、診断会社の料金体系によって大きく変わります。そのため、具体的な金額を一律に示すことは難しいですが、一般的には初回診断よりも対象範囲が限定されるため、初回診断より低い金額になるケースが多いです。

目安としては、初回診断費用の一部として再診断が含まれているケースもあれば、別途数万円から数十万円程度の費用が発生するケースもあります。例えば、軽微な脆弱性数件の確認であれば比較的短時間で完了する場合がありますが、認証・認可、決済機能、個人情報を扱う機能など、影響範囲が広い修正を確認する場合は、再診断でも一定の工数が必要になります。

また、初回診断の契約に「再診断1回まで含む」「報告書提出後〇日以内は再診断対応可能」といった条件が含まれている場合もあります。一方で、再診断が完全に別料金となるケースもあります。費用を正確に把握するには、初回診断の契約内容を確認したうえで、再診断の対象項目、確認範囲、報告書の形式を診断会社に伝えて見積もりを取得することが重要です。

初回診断の契約内に含まれるケースと別料金になるケース

再診断の費用について考える上で、初回診断の契約内容が費用を大きく左右する重要なポイントになります。診断会社によっては、初回診断のサービスの一環として、再診断が料金に含まれているケースがあります。

例えば、「再診断1回まで無料」や「診断実施後〇ヶ月以内の再診断は料金内」といった形で、初回診断の契約に含まれているプランを提供する診断会社も存在します。このようなプランであれば、追加費用なしで修正の確認ができるため、予算管理がしやすくなります。

一方で、多くのケースでは、再診断は初回診断とは別のサービスとして扱われ、都度見積もりとなることが一般的です。この場合、指摘された脆弱性の数、修正の複雑さ、再診断の対象範囲などに基づいて費用が算出されます。

このため、初回診断のベンダーを選定する段階で、再診断の扱いを確認しておくことが重要です。再診断が料金内に含まれるのか、別料金になるのか、含まれる場合は何回までか、有効期間はいつまでか、報告書の再発行があるのかなどを確認しておくことで、後から想定外の追加費用が発生するリスクを減らしやすくなります。

また、再診断の範囲についても確認が必要です。初回診断で指摘された箇所だけを確認するのか、修正によって影響を受ける周辺機能まで確認するのかによって、費用や期間は変わります。契約時に曖昧な点がある場合は、口頭だけで済ませず、見積書や契約書、メールなどで条件を残しておくと安心です。

費用を抑えるためのポイント

再診断は、脆弱性の修正状況を確認するために重要な工程ですが、対象範囲や依頼方法によって費用が変わります。必要以上に広い範囲を再診断すると費用が増えやすく、一方で範囲を絞りすぎると、確認すべき箇所が漏れる可能性があります。

そのため、費用を抑える際は、単に安くすることを目的にするのではなく、確認すべき範囲を明確にし、必要な項目を優先して依頼することが重要です。ここでは、再診断の費用を調整しやすくするための考え方を3つ紹介します。

一つ目のポイントは、「修正箇所をまとめて依頼する」ことです。指摘された脆弱性を個別に修正し、その都度再診断を依頼すると、診断会社は毎回準備やセットアップに時間と手間を要するため、結果的に費用がかさむ傾向があります。可能であれば、複数の脆弱性の修正が完了した段階で、まとめて一度に再診断を依頼することで、診断会社の手間を削減でき、費用を抑えられる可能性があります。計画的に修正作業を進め、依頼を一本化することを検討しましょう。

二つ目のポイントは、「対象範囲を明確に絞る」ことです。再診断の目的は、初回診断で指摘された脆弱性が適切に修正されたかを確認することにあります。不要な機能や初回診断で指摘されなかった範囲まで再診断の対象に含めてしまうと、無駄なコストが発生します。確認が必要な修正箇所と、修正による影響が懸念される関連範囲を整理して依頼することで、再診断の対象範囲を明確にしやすくなります。結果として、不要な確認項目を減らし、費用や期間を調整しやすくなります。事前に診断会社と詳細に協議し、対象範囲を厳密に定義することが重要です。

三つ目のポイントは、「初回診断と同じベンダーに依頼する」ことです。初回診断を実施したベンダーであれば、自社のシステム構成や初回診断の経緯、指摘された脆弱性の内容を既に把握しています。そのため、再診断にあたってのシステム理解や準備にかかる時間が短縮され、効率的に診断を進めることが可能です。結果として、新規のベンダーに依頼するよりも費用が安価になるケースが多く見られます。初回診断時の契約に再診断の条件が含まれていない場合でも、まずは初回診断を実施したベンダーに相談してみるのが賢明な選択肢と言えるでしょう。

脆弱性診断の再診断にかかる期間

脆弱性診断の再診断は、サービスのリリーススケジュールや監査への対応計画を立てる上で非常に重要な要素です。費用と同様に、再診断にかかる期間も診断会社や依頼内容によって大きく変動します。

このセクションでは、再診断の期間に関する具体的な情報を提供し、担当者の方が現実的なスケジュールを組めるよう、期間の目安、期間に影響を与える要因、そして適切な依頼タイミングについて詳しく解説します。

期間の目安

再診断にかかる期間は、依頼内容や診断会社の状況によって異なりますが、一般的な目安として、依頼から報告書の受領までトータルで1〜2週間程度を見ておくとよいでしょう。具体的な内訳としては、診断会社への依頼後、診断開始までに数営業日、実際の診断実施に1〜3営業日、そして報告書の作成に3〜5営業日程度を要するのが一般的です。

ただし、これはあくまで多くのケースにおける参考値であり、指摘された脆弱性の数や複雑さ、診断範囲、そして診断会社の予約状況などによって前後する可能性があることをご留意ください。

期間に影響を与える要因

再診断の期間に影響を与える要因は複数存在します。

まず、初回診断で指摘された脆弱性の数と難易度が挙げられます。確認すべき項目が多ければ多いほど、また再現が難しい、あるいは複雑な修正が施された脆弱性ほど、診断には時間がかかります。次に、再診断の対象範囲も重要な要因です。修正箇所のみを確認するのか、それとも修正によって影響を受ける可能性のある周辺機能まで広範囲にわたって確認するのかによって、作業量は大きく変わってきます。

また、診断会社の繁忙期や担当者のスケジュールも期間に影響を及ぼします。年度末やプロジェクトの集中する時期は依頼が集中しやすく、診断開始までに通常よりも時間がかかる場合があります。

さらに、依頼者側の準備状況も期間を左右します。必要な情報（初回診断報告書、修正内容、アクセス情報など）が不足していると、診断会社とのやり取りに時間がかかり、診断開始が遅れる可能性があります。スムーズな進行のためには、事前の情報準備が不可欠です。

再診断を依頼する適切なタイミング

再診断をスムーズに進めるうえで、依頼のタイミングは重要です。基本的には、初回診断で指摘された脆弱性の修正が一通り完了した時点で、まとめて診断会社へ依頼すると進めやすくなります。複数の脆弱性が指摘されている場合に、修正が完了するたびに個別に再診断を依頼すると、診断会社との調整が煩雑になり、準備やセットアップに要する手間も都度発生するため、結果として費用や期間が増える可能性があります。

ただし、ビジネスへの影響が大きいクリティカルな脆弱性については、その部分だけを優先的に修正し、早めに再診断を依頼するケースもあります。この場合は、診断会社と連携し、優先度の高い脆弱性のみを対象とした確認範囲やスケジュールを相談するとよいでしょう。基本的には修正作業全体が一段落した段階でまとめて依頼し、必要に応じて高リスクな項目だけを先行確認する考え方が現実的です。

脆弱性診断の再診断を依頼する前に準備すべき情報

脆弱性診断後の再診断は、指摘された脆弱性が適切に修正されているかを客観的に確認するための重要なプロセスです。この再診断をスムーズに進め、正確な見積もりと的確な診断結果を得るためには、診断会社へ事前に適切な情報を提供することが不可欠です。

必要な情報の準備を怠ると、診断会社とのやり取りに時間がかかったり、診断の精度が低下したりするリスクがあります。ここでは、情報システム部門のセキュリティ担当者が再診断を依頼する際に、実務で役立つ準備情報を具体的に解説します。

初回診断の報告書と指摘事項の一覧

再診断を依頼する上で、初回診断の報告書は最も核となる情報です。特に、初回診断で指摘された脆弱性の一覧、具体的には脆弱性ID、名称、危険度、指摘箇所（URL、パラメータ、ソースコード行など）、再現手順が明確に記載されている部分を診断会社に共有する必要があります。これにより、診断会社は「何を」「どこで」確認すればよいのかを正確に把握し、再診断のスコープを適切に設定できます。

もし初回診断と異なる会社に再診断を依頼する場合、この初回診断報告書は特に重要になります。新しい診断会社が対象システムの脆弱性をゼロから把握する必要がなくなるため、診断の効率が大幅に向上し、結果として費用や期間の削減にもつながることが期待できます。

修正内容・修正箇所・対応完了日

初回診断で指摘された各脆弱性に対して、開発チームや運用チームが「誰が」「いつ」「どのように」修正対応を完了したのかをまとめた資料を準備しておくことが重要です。

具体的には、修正を担当した部署や担当者名、修正が完了した正確な日付、ソースコードの具体的な修正箇所（差分ファイルやコミットIDなど、可能であれば）、そして修正方針や対応内容の概要を記載したドキュメントがあると、診断会社は修正の妥当性をより深く理解し、的確な確認作業を進めることができます。

この情報は、単に修正の有無だけでなく、修正方法が適切であったか、副作用が発生していないかなどを診断会社が判断する上で非常に役立ちます。修正内容を詳細に伝えることで、診断会社はより少ない工数で効率的に検証を行うことが可能になります。

再診断を希望する対象範囲

初回診断で指摘された全ての脆弱性に対して再診断を依頼するのか、それとも特定の項目に絞って依頼するのかを明確にしておく必要があります。例えば、「今回は危険度の高い指摘事項のみを再診断したい」や「個人情報を取り扱う機能に関する脆弱性のみを優先的に確認したい」といった、依頼者側の具体的な要望をリストアップして診断会社に伝えましょう。この段階で再診断の対象範囲を明確に定義することで、診断会社はそれに応じた見積もりやスケジュールを提示できるようになります。

また、修正箇所そのものだけでなく、その修正によって影響を受ける可能性がある関連機能や周辺範囲（デグレードの懸念がある範囲）についても、特に確認してほしい箇所があれば、併せて診断会社に伝えておくことが重要です。これにより、診断会社はより広範な視点から修正の影響を確認し、予期せぬ二次的影響の発生リスクを低減する手助けをしてくれます。

診断可能な日時と連絡体制

実際に再診断を実施するにあたり、診断会社が対象システムにアクセスするためのIPアドレス、URL、そして必要なアカウント情報などを事前に準備しておく必要があります。また、再診断中はシステムに一時的な負荷がかかる可能性もあるため、サービスへの影響を最小限に抑えられるよう、診断実施の希望日時をいくつか候補として挙げておきましょう。例えば、システム利用が少ない夜間や休日などを提案することが考えられます。

さらに、診断中に不測の事態（例えば、システム障害の発生や、診断対象の挙動に関する疑問など）が発生した場合に備え、診断会社からの緊急連絡先や、技術的な問い合わせに対応できる社内担当者を明確にしておくことも重要です。迅速な情報連携ができる体制を整えておくことで、再診断をよりスムーズかつ安全に進めることが可能になります。

脆弱性診断の再診断を依頼する流れ5ステップ

脆弱性診断で指摘された問題の修正作業が完了した後、その修正が適切に行われたかを改めて確認する手段として、再診断があります。情報システム部門のセキュリティ担当者が、再診断をスムーズに進め、関係者との連携を円滑にするために、脆弱性の修正から再診断の完了までの一連の流れを5つのステップで具体的に解説します。この流れを把握することで、次に何をすべきかが明確になり、実務に役立てることができます。

ステップ1：初回診断の結果に基づき脆弱性を修正する

再診断に進むための最初のステップは、初回診断で指摘された脆弱性を修正することです。まず、初回診断の報告書を開発チームや運用チームと共有し、指摘された脆弱性がどのようなリスクを抱えているのか、自社システムにどのような影響を与える可能性があるのかを評価します。

その上で、リスクの高さやビジネスへの影響度を考慮し、どの脆弱性から優先的に修正していくか、具体的な対応計画を策定します。セキュリティ担当者は、開発チームのハブとなり、修正作業が円滑に進むよう調整し、修正パッチの適用漏れや修正ロジックの考慮不足といったヒューマンエラーを防ぐための確認も重要になります。

ステップ2：再診断の対象範囲を整理する

脆弱性の修正作業が完了したら、次に再診断を依頼する対象範囲を明確にする作業に移ります。初回診断で指摘されたすべての脆弱性に対して再診断を依頼するのか、あるいはリスクの高い特定の指摘事項に絞って再診断を行うのかを決定します。

この段階で、前述の「準備すべき情報」で解説した、初回診断の報告書、修正内容、修正箇所、対応完了日などを整理し、診断会社に正確に伝えられるように準備します。依頼内容が明確であればあるほど、診断会社からの見積もりや提案も具体的になり、後の契約をスムーズに進めることができます。

ステップ3：診断会社へ再診断を依頼し、費用と期間を確認する

整理した依頼内容をもとに、診断会社へ連絡し、再診断を正式に依頼します。初回診断と同じ会社に依頼することも、別の会社に依頼することも可能です。準備した情報を診断会社に提出し、再診断の対象範囲、具体的な作業内容、実施スケジュール、報告書の形式などについて詳細に協議し、合意を形成します。

この協議を通じて、正式な見積書と作業スケジュールを提示してもらうことになります。特に、費用体系（項目数課金、工数課金など）や報告書の形式、追加料金が発生する条件など、契約内容をしっかりと確認しておくことが、後のトラブルを防ぐ上で非常に重要です。

ステップ4：再診断を実施する

契約内容に合意し、診断会社との間で再診断の準備が整ったら、いよいよ診断作業が実施されます。依頼者側は、事前に取り決めた日時に診断対象システムへのアクセスを許可し、診断がスムーズに進むように協力します。具体的には、診断会社が必要とするIPアドレス、URL、アカウント情報などを提供し、診断中のシステム監視やログの確認などを行います。

診断中にシステムに予期せぬ負荷がかかる可能性もあるため、サービス影響の少ない日時を選択し、万が一の事態に備えて緊急連絡体制を整えておくことも重要です。実際の診断作業は診断会社の専門家が行うため、依頼者側は主に待機し、必要に応じてサポートに回ります。

ステップ5：報告書を受領し、修正状況を確認する

再診断が完了すると、診断会社から診断結果をまとめた報告書が提出されます。この報告書を受け取ったら、依頼した初回診断の指摘事項が「修正済み」として扱われているか、あるいは「修正不十分」として残存していないかを確認します。報告書には、各脆弱性IDに対する再診断の結果と、その修正が適切であることを確認した根拠が記載されています。

もし、脆弱性が残っていると判断された場合は、その原因を詳細に分析し、開発チームと連携して次のアクション（追加修正など）を検討する必要があります。すべての指摘事項が解消されていれば、この再診断報告書は、監査や取引先へのセキュリティ対応に関する説明資料として活用できる重要な証跡となります。

再診断で脆弱性が残っていた場合の対応

脆弱性診断後の再診断で、もし修正したはずの脆弱性がまだ残っていたらどうしよう、と不安に感じるかもしれません。しかし、再診断で脆弱性が残存することは決して珍しいことではありません。重要なのは、その際に慌てずに冷静かつ建設的に対応することです。このセクションでは、残存した脆弱性に対してどのように対処すべきか、具体的な手順を解説し、皆さんの心理的負担を軽減できるよう努めます。

残存した脆弱性の原因を確認する

まず最初に行うべきは、なぜ脆弱性が残ってしまったのか、その根本原因を特定することです。原因を特定せずに再修正を試みても、同じ過ちを繰り返す可能性があります。考えられる原因としては、開発担当者の修正ロジックに誤りがあった、修正すべき箇所を見落としていた、テスト環境と本番環境で設定が異なっていた、あるいはそもそも脆弱性そのものに対する理解が不足していた、といったケースが挙げられます。

診断会社から受け取った報告書には、残存している脆弱性の具体的な内容や再現手順、技術的なコメントが詳細に記載されています。この情報を基に、開発チームと協力して原因を徹底的に分析してください。場合によっては、診断会社に直接問い合わせて、より詳細な情報や見解を求めることも有効です。原因を深く掘り下げて理解することが、確実な修正への第一歩となります。

追加修正の優先順位を決める

残存した脆弱性の原因が特定できたら、次はその脆弱性をどのように修正していくか、計画を立てるステップに移ります。ここで重要なのは、残っている脆弱性のリスク（危険度）を再評価することです。初回診断時に設定されたリスクレベルがそのまま適用できるか、あるいは修正の失敗によってリスクレベルが変化していないかを確認します。

すべての脆弱性を即座に修正する必要があるわけではありません。ビジネスへの影響度、修正にかかる工数、システムのリリーススケジュールなど、さまざまな要素を考慮しながら、対応の優先順位を決定する必要があります。例えば、個人情報漏洩に直結するような非常に危険度の高い脆弱性であれば最優先で対応し、ビジネスインパクトが小さい軽微な脆弱性であれば、次回のリリースに合わせて対応するなど、現実的な計画を立てることが重要です。

必要に応じて再度の確認を実施する

追加修正が完了した後には、その修正が適切に反映されているかを再度確認するプロセスが必要です。残存した脆弱性のリスクが高い場合や、監査要件などで第三者による確認が求められる場合は、診断会社に再度の確認を依頼することを検討しましょう。これにより、追加修正後の状態を客観的に確認し、社内報告や監査対応に使える記録を残しやすくなります。

一方で、残存した脆弱性が軽微なものであったり、修正内容が限定的であったりする場合には、社内の開発チームによるダブルチェックや、診断会社への簡易的な確認依頼で対応できるケースもあります。状況に応じて確認方法を選択し、どの脆弱性に対して、どのような修正と確認を行ったのかを記録しておくことが重要です。

失敗しない再診断サービスの選び方4つのポイント

脆弱性診断後の再診断は、単にもう一度診断を実施するだけではなく、初回診断の指摘内容、修正状況、再診断の対象範囲、報告書の使いやすさを踏まえて進める必要があります。そのため、再診断を依頼するベンダーを選ぶ際は、料金の安さだけで判断するのではなく、自社の目的に合った確認を行ってくれるかを見極めることが重要です。

ここでは、再診断サービスを選ぶ際に確認したい4つのポイントを解説します。特に、初回診断の指摘内容を踏まえた確認、監査や社内説明に使いやすい報告書、費用体系と対象範囲の明確さ、修正後の質問対応や追加確認の有無を確認しておくとよいでしょう。

1. 初回診断の指摘内容を踏まえて確認してくれるか

再診断は、初回診断で指摘された脆弱性が適切に修正されているかを確認する作業です。そのため、再診断を依頼するベンダーが初回診断の報告書の内容をどこまで深く理解しているかが、診断の質を大きく左右します。指摘された脆弱性の意図や背景、そして修正による影響範囲までを適切に把握し、的確な確認作業を行ってくれるかどうかは非常に重要な選定ポイントです。

特に、初回診断とは異なるベンダーに再診断を依頼する場合、提出された初回診断のレポートをどれだけ詳細に読み込み、不明点について質問を投げかけてくるかで、そのベンダーの技術力や対応の丁寧さを測ることができます。自社のシステムに対する理解度が高く、初回診断の結果を最大限に活用できるベンダーを選ぶことが、効率的かつ正確な再診断につながります。

2. 報告書が監査や社内説明に使いやすいか

脆弱性診断の再診断の重要な目的の一つに、修正状況を客観的な資料として残し、内部監査や外部監査、取引先への説明に活用することがあります。そのため、再診断の結果として提出される報告書が、社内説明や監査対応に使いやすい内容になっているかを確認しておくことが重要です。

具体的には、単に「修正済み」と記載されているだけでなく、どの初回診断の指摘事項（脆弱性IDなど）に対応するものなのか、どのような方法で修正を確認したのか、再診断の結果としてどのように判断されたのかが明確に記載されているかを確認しましょう。また、経営層や監査担当など、必ずしも技術的な背景を持たない相手にも説明しやすいように、サマリーやリスク評価が整理されている報告書であれば、社内外への説明材料として活用しやすくなります。

3. 費用体系と再診断の範囲が明確か

再診断の依頼において、契約後のトラブルを避けるためには、費用体系と再診断の対象範囲が明確であることが不可欠です。見積もりの段階で、「何項目までが基本料金に含まれるのか」「追加項目が発生した場合の単価はいくらなのか」「修正によるデグレード（二次的な影響）確認は含まれるのか」「報告書の形式はどのようなものか」といった点を、事前に文書で詳細に確認しておくべきです。

作業内容と費用が明確に対応していない、「再診断一式」といった曖昧な見積もりを提示するベンダーは避けるべきです。作業範囲が曖昧だと、診断後に想定外の追加費用が発生したり、期待していた確認が行われなかったりするリスクがあります。透明性の高い料金体系と明確な作業範囲を提示するベンダーを選ぶことが、無駄なコストを抑え、円滑なプロジェクト推進につながります。

4. 修正後の質問対応や追加確認に対応しているか

再診断は、実施して終わりではありません。報告書の内容について不明点が生じたり、脆弱性が残存していたりした場合、ベンダーへの質問や追加確認の相談が必要となることがあります。そのため、診断作業だけで関係が終了するのではなく、診断後の質問対応や追加確認にどこまで対応してくれるかも、ベンダー選定の重要なポイントとなります。

報告書の内容に関する説明、指摘事項に対する疑問点への回答、必要に応じた修正方針に関する助言などに対応してくれるベンダーであれば、自社のセキュリティ担当者の負担を減らし、再診断後の対応も進めやすくなります。単発の取引相手としてだけでなく、継続的に自社のセキュリティ改善を相談できるパートナーとして見られるかも確認しておくとよいでしょう。

脆弱性診断の再診断に関するよくある質問

脆弱性診断後の再診断は、多くの情報システム部門の担当者にとって、疑問や不安を抱きやすいテーマです。ここでは、再診断に関してよくいただく質問とその回答をQ&A形式でまとめました。これらの情報が、自社のセキュリティ対策をより適切に進めるための一助となれば幸いです。

Q1. 再診断で再度脆弱性が発見された場合はどうすればよいですか？

再診断で再度脆弱性が発見されることは、決して珍しいことではありません。そのような場合は、慌てずに以下の3ステップで対応を進めてください。

まず第一に、診断会社と協力して脆弱性が残存した原因を分析します。修正ロジックの誤りや、修正箇所の漏れ、環境設定の不備など、さまざまな要因が考えられます。

次に、残存した脆弱性のリスク（危険度）を再評価し、ビジネスへの影響度や修正にかかる工数を考慮しながら、追加修正の優先順位を決定します。

そして、必要に応じて再度修正を行い、その修正が適切に適用されたかを確認するプロセスへと進みます。この一連の流れを繰り返し、脆弱性のない状態を目指すことが重要です。

Q2. 再診断は初回診断と同じ会社に依頼すべきですか？

再診断を初回診断と同じ会社に依頼するか、別の会社に依頼するかは、それぞれメリット・デメリットがあります。多くの場合、コミュニケーションコストや費用面から、初回診断と同じ会社に依頼するケースが一般的です。

同じ会社に依頼する最大のメリットは、自社システムの仕様や初回診断の経緯、指摘事項の意図をすでに深く理解しているため、スムーズかつ効率的に診断を進められる点にあります。このため、費用が割安になる可能性も高くなります。

一方で、別の会社に依頼するメリットとしては、初回診断の結果に対する「セカンドオピニオン」が得られる点が挙げられます。異なる視点や手法で再診断を行うことで、初回診断では見落とされた可能性のある脆弱性が発見されたり、初回診断の質を客観的に検証できたりする可能性があります。どちらを選択するかは、自社の状況や目的、予算に応じて判断するのがよいでしょう。

Q3. どのタイミングで再診断を依頼するのがよいですか？

再診断を依頼する最も効率的なタイミングは、原則として初回診断で指摘されたすべての脆弱性の修正が完了した時点です。

複数の脆弱性が指摘されている場合に、修正が完了するたびに細切れで再診断を依頼してしまうと、診断会社との調整が煩雑になり、診断のセットアップ費用や手間がその都度発生するため、結果的に全体のコストと期間が増加してしまう可能性があります。そのため、計画的に修正を進め、すべての修正が完了した段階で一度に依頼することで、診断会社の手間を減らし、効率的に診断を実施できます。

ただし、クリティカルな脆弱性やビジネスへの影響が大きい脆弱性については、その部分のみを優先的に修正し、迅速に再診断を依頼することも検討すべきです。

Q4. 再診断は必ず実施すべきですか？社内確認だけでは不十分ですか？

再診断は、すべてのケースで必ず実施しなければならないものではありません。ただし、外部公開システム、個人情報や決済情報を扱うシステム、監査や取引先への説明が必要なシステムでは、実施を検討する価値が高い工程です。

社内確認だけでも、修正内容の確認や機能テストは行えます。しかし、開発担当者や運用担当者が「修正したつもり」になっていても、実際には修正漏れや設定反映漏れが残っている場合があります。また、修正によって別のセキュリティ上の問題が発生していないかを確認するには、セキュリティ診断の観点が必要になることがあります。

そのため、リスクの高い脆弱性や、外部に説明が必要な指摘事項については、第三者による再診断を行うことで、修正状況を客観的に示しやすくなります。一方で、軽微な指摘や内部利用に限定されたシステムの場合は、社内確認と記録の整備で対応する選択肢もあります。重要なのは、脆弱性の危険度、対象システムの重要度、取引先や監査の要求を踏まえて判断することです。

Q5. 再診断の結果は監査や取引先への説明に使えますか？

はい、再診断の結果は、監査や取引先への説明材料として活用できます。特に、初回診断で指摘された脆弱性に対し、どのような修正確認を行ったのか、再診断の結果どう判断されたのかが整理されていれば、セキュリティ対応状況を説明しやすくなります。

再診断報告書には、初回診断の指摘事項、再診断の対象範囲、確認方法、確認結果、残存リスクの有無などが記載される場合があります。これらの情報は、社内監査、外部監査、取引先からのセキュリティ確認、経営層への報告などで、対応状況を示す資料として役立ちます。

ただし、再診断報告書があれば、すべての監査や取引先要求を満たせるとは限りません。求められる資料や確認範囲は、制度、契約条件、取引先のチェック項目によって異なります。そのため、必要に応じて、再診断報告書に加えて、修正履歴、チケット管理、リリース記録、承認記録なども合わせて整備しておくとよいでしょう。

まとめ：再診断で脆弱性の修正状況を確認し、継続的な改善につなげよう

脆弱性診断後の再診断は、初回診断で指摘された脆弱性の修正状況を確認し、診断結果を実際の改善につなげるための重要な工程です。再診断を実施することで、修正漏れがないか、修正によって周辺機能に影響が出ていないか、監査や取引先への説明に使える確認結果を残せるかを整理しやすくなります。

ただし、再診断はシステム全体の安全性を完全に保証するものではありません。確認できる範囲は、初回診断で指摘された脆弱性、修正箇所、合意した周辺範囲に限られるため、依頼前に対象範囲、費用、期間、報告書の内容を明確にしておくことが重要です。

また、再診断で得られた知見は、次回以降の開発プロセスや運用体制の改善にも活用できます。なぜ修正が不十分だったのか、どのような修正で周辺影響が発生しやすいのかを振り返ることで、脆弱性診断、修正、再診断、改善管理のサイクルをより実務に定着させやすくなります。

本記事で解説した再診断の必要性、対象範囲、費用、期間、依頼の流れ、ベンダー選びのポイントを参考に、自社のリスクや監査・取引先対応の要件に合わせて、適切な再診断の進め方を検討しましょう。

関連するサービス

セキュリティ脆弱性診断

セキュリティ脆弱性診断

脆弱性診断は、Webアプリケーションやネットワーク機器などに潜むセキュリティ上の弱点を洗い出し、情報漏えいや不正アクセスなどのリスクを未然に防ぐための対策です。
当社の脆弱性診断サービスでは、経験豊富なセキュリティエンジニアが診断を行い、脆弱性の有無だけでなく、リスクレベルや具体的な対処方法まで報告します。診断結果をもとに改善策をご提案することで、実効性のあるセキュリティ対策を支援します。

資料請求・お問い合わせ