ネットワーク脆弱性の検証

aico様

こんにちは、かなり専門的な分野になりますので、品質に差が出るとおもいますよ・・

というのも、クラウドワークスは法人、個人で作業するわけで・・
たとえば、ホームページ作りましたとか、プログラム作りましたとか、文書書きました・・
と、納品物が具体的です。

しかし、今回のご依頼は調査ですから・・

また、ネットワークセキュリティーをどこまで求めるかによって違います。
一般的なファイアーウォールから、webアプリファイアーウォールなど、調べる範囲も幅も大きいものです。

詳細な見積もりをご希望の場合には、
・御社の住所（打ち合わせの為）
・使用されている機器やメーカ
・拠点数
・PC数
・ほかネットワークに係る環境
などが必要ではないでしょうか。

初めまして。（株）プラスワンと申します。

　ネットワークセキュリティについてお見積の件となりますと、弊社が承る場合ですとNDA（秘密保持契約）を締結させて
いただいた上で、ご希望なさっている範囲の調査をする場合には
　【外部公開サーバのセキュリティ調査】
　　○外部へ公開しているサービスをサーバの情報
　　○調査を希望するグローバルIPアドレス帯域

　【社内ネットワークセキュリティ調査】
　　○社内ネットワークの論理構成（VLANの構成や数など）
に関する情報を頂いてお見積もりしています。

　他の企業さんですと、ご希望の内容以外にも
　　○ウェブで使用しているデータベースの脆弱性診断
　　○社外に公開しているサービスで使用しているミドルウェアの脆弱性診断
　　○社外に公開しているアプリケーションサービスの脆弱性診断（SQLインジェクション等）
　　○社内で使用しているデータベースの脆弱性診断（社内データベースへの不正アクセス対策）
なども一緒にされるケースが多くなっております。

　詳細の見積には社外に公開できない秘密情報が必要となりますので、NDAが前提となります。

BAが決まらないまま週をまたいだのでコメントしてみます。

一言にネットワークの脆弱性診断というご相談ですが、範囲というか、カテゴリが様々にあります。
最もコストが係るものは「調査対象がどんなものかの情報も与えない、調査者側であらゆる手を尽して調査せよ」というものです。この場合天井知らずです。過去にそのような仕事を10億程で提示されて拒否した経験があります。

(株)プラスワン社で既に回答していますが、「これについて調査してもらいたい」という具体化が欠かせません。
これが欠けますとどういうスキルを持った人間が対応できるかがファジーになります。
つまり、世の中にはセキュリティ調査なんでもやります　という人は殆ど居ません。
なので、機密保持契約を交わしてこれについて調査して欲しい　　というような依頼のスタイルになります。

調査対象、範囲の提示ができない場合は、環境情報を提示の上で何を調査するかの調査や検討からとなります。

また、それらの調査について妥当性検証等は誰が行うかも、確認が必要です。
御社でCTOのような立場の方が責任をもって判断を行うならともかく、外部に妥当性検証を依頼する場合、またこれも上記と同様です。