値段相応だと思うのですが、それなりにちゃんとセキュリティ診断を受けたいなら、数年に１回はこういう会社を選定したほうが良いですね。

●ポイント1：セキュリティサービス会社であること
セキュリティ専門会社には、リセラーや商社などの､物販を中心にした会社と、サービス提供を行う会社があります。サービス提供企業の方が、診断に関しては多くの知見を保有している場合が多いといえるでしょう。また､取り扱う製品に依拠しない､ベンダニュートラルなアドバイスを提供することができます｡
●ポイント２：手動診断ができること
セキュリティ診断には、診断ツールを走らせる「ツール診断」と、知見を持つ技術者が模擬攻撃を行う｢手動診断｣があります｡それぞれメリットがありますが､そのWebサイトの特性や機能を知っていなければできない攻撃などは､手動診断でなければ見つけることができません｡ツール中心の診断は予算を抑えることができるメリットがある一方､個人情報を収集保存したり､金融や決済に関わるようなシステムでは手動診断を欠かすことはできないでしょう｡
●ポイント3：一定数の技術者が在席していること
セキュリティ診断のサービス水準にとって技術者の数は重要です。一人で解決できない問題が複数の知恵で解決することもあり､メンバー間の切磋琢磨もあります。技術者の数が少ない環境では､特定の能力だけが偏って伸びていく場合も少なくありません｡どんな診断会社にも必ずエースはいますが､技術者の数が多い企業は互いに競い合うエースが何人もいることがあります｡
●ポイント4：セキュリティオペレーションセンター(SOC)
SOCは顧客ネットワークを監視し、攻撃発生時にアラートを出したり、緊急対応を行ったり、事後対策を提案するサービスです。SOCを運営することで､いまどんな攻撃が多いのか知ることができるため､必然的に診断員は、そのときトレンドとなっている攻撃に対応したセキュリティ診断を行うことができます。
●ポイント5：脆弱性発見能力
MBSDは、「守る力」＝「攻撃できる力」であると考えています。こちらは取材記事をご一読下さい。

セキュリティ診断サービスの比較･選定ポイント(MBSDサイバーレポート) | MBSD