endai-system セキュリティチェック委託見積想定金額

調査日 2026-04-27 精査約160ページ 4並列サブエージェント

対象スペック

Next.js 16 + Supabase + Vercel + Stripe + MFA TOTP + RBAC + RLS + 監査ログ + AI機能 + PWA + 医療系PHI接触可能性。中規模SaaS（社員1-3名想定、ユーザー数1000以下）。

結論 — 最低限の販売前監査なら 120-200万円、営業を始めるレベルなら 290-660万円、大手医療法人や上場準備レベルなら 950-1,700万円。

¥120-200万

Phase A 最小限

¥290-660万

Phase B 商用化

¥950-1,700万

Phase C 大規模

AWebアプリ脆弱性診断・ペネトレーションテスト

大手専門系

業者	サービス	価格	期間
GMOサイバーセキュリティbyイエラエ	Webアプリ標準診断	要見積（推定100-200万）	5営業日〜
GMOサイバー	ネットde診断（SaaS）	月¥40,000	自動
GMOサイバー	ネットde診断 Lite	月¥4,280	自動（2026年1月新規）
NRIセキュア	Webアプリ標準診断	¥1,350,000〜	2-3週間
NRIセキュア	特急診断（再診断）	¥400,000〜	1週間

中堅・SaaS型

業者	サービス	価格
Flatt Security	Shisho Cloud（DAST）	月¥20,000〜
Flatt Security	Shisho Cloud（認可制御）	¥150,000/年（Starter）
VAddy	Professional+	¥598,000/年
VAddy	Enterprise+	¥998,000/年
VAddy	Advanced+ (ASVS準拠)	¥1,398,000/年
Securify (スリーシェイク)	STARTER	¥600,000/年
Securify	BASIC (3FQDN)	¥1,200,000/年
AeyeScan	ASV スキャン	¥240,000/回
Clara Security	Standard	¥400,000〜
CyberCrew	WebApp PT	¥200,000〜（業界最安級）

規模別現実相場（中規模SaaS = endai-system）

規模	推奨方式	期間	合計
中規模（30 API、複数権限層）	自動+手動ハイブリッド	2-3週間	¥80-200万円（中堅）
同上	同上（大手版）	同上	¥150-300万円（大手）
中規模＋ペネトレーション	黒箱フル手動	2-4週間	¥100-300万円
医療PHI加算	+30-50%	—	+¥50-100万円

B白箱コード監査・セキュアコードレビュー

業者	プラン	価格	時間/期間
ESI	ベーシック	¥250,000	6h保証 / 1-2週
ESI	標準	¥700,000	30h保証 / 2-3週（再検査無料）
ESI	アドバンス	¥1,300,000	60h保証 / 1-2月
LAC	SCC（年間契約）	¥840,000/年〜	継続（10アプリ単位）
GMOイエラエ	プレミアム（コード診断付）	推定150-300万	個別
NRIセキュア	ソースコード診断	推定200-500万	1月〜
フリーランス上位	コードレビュー	時給¥10,000-30,000	個別

スコープ別現実相場（Next.js + Supabase + AI連携）

レベル	スコープ	合計	期間
軽量（認証+認可+PII）	src/lib/supabase + middleware + api	¥30-60万	3-4週
標準（推奨）	SourceCode全体+Server Actions	¥70-150万	4-5週
標準+AI/LLM対応	+ プロンプトインジェクション検査	¥120-180万	5-6週
包括（医療規制対応）	+ 設計レビュー+ハイブリッド	¥150-300万	6-8週
完全保証（IPO相当）	全領域+CTFハッカー	¥200-500万超	8週〜3月

CSOC2 / ISMS / Pマーク取得支援

ISMS（ISO/IEC 27001）

シナリオ	費用	期間
自社主導（ISOプロ月額型）	¥1,700,000-2,000,000	8-12ヶ月
標準（軽量支援）	¥2,000,000-2,300,000	8-10ヶ月
完全委託（オプロ/LRM）	¥2,500,000-3,000,000	7-9ヶ月
維持（2年目以降）	¥500,000-1,000,000/年	—

プライバシーマーク

シナリオ	費用	期間
最安（イーポート、20名以下）	¥398,000＋公定¥314,000	6-8ヶ月
標準サポート	¥1,128,000-1,808,000	8-12ヶ月
2年更新	公定¥314,000＋支援費	—

SOC2（米国基準・海外顧客向け）

種別	費用	期間
Type1（単発）	¥2,100,000-5,500,000	6-9ヶ月
Type2（初回）	¥2,500,000-6,000,000	9-12ヶ月
Type2 維持	¥5,000,000+/年	継続
Vanta/Drata（自動化ツール）	月¥70,000-210,000	継続

D個人情報保護法 + 3省2GL（医療情報GL第6版）対応

業者別

業者	サービス	価格
LRM	初回相談（医療GL判定）	¥50,000/h
LRM	ギャップ分析	推定200-300万
LRM	3省2GL準拠支援フル	推定500-800万
プライバシーク	Pマーク新規取得	¥370,000（オンライン）
西村あさひ	医療プライバシー法務顧問	月¥150,000-300,000
一般医療特化弁護士	顧問契約 A/B/C	月¥20,000-100,000

医療系SaaS Tier別総コスト試算

Tier	対象	初年度合計	翌年以降月額
Tier 1（最小限）	5-20名・国内限定	¥1,650,000-2,900,000	¥200,000-300,000
Tier 2（標準）	20-50名・B2B医療SaaS	¥5,870,000-10,870,000	¥500,000-800,000
Tier 3（完全対応）	50名+・国際展開	¥19,300,000-33,500,000	¥1,000,000-1,500,000

Eendai-system 推奨パッケージ

Phase A: リリース直前（最小限・絶対必要）

¥120-200万円

項目	業者候補	費用
LRM初回相談（3省2GL該当性判定）	LRM	¥50,000
Webアプリ脆弱性診断ハイブリッド	Securify BASIC / Clara	¥60-120万
軽量コード監査	ESI ベーシック	¥250,000
プライバシーポリシー・利用規約	弁護士	¥30-50万

Phase B: 商用化・販売前監査

¥290-660万円

項目	業者候補	費用
ハイブリッド脆弱性診断（医療加算込）	GMOイエラエ / NRIセキュア	¥150-300万
標準コード監査＋AI診断	ESI 標準＋α	¥70-150万
Pマーク取得	プライバシーク / イーポート	¥40-120万
法務顧問（3-6か月）	医療特化弁護士	¥30-90万

Phase C: 大規模展開（IPO・大手医療法人向け）

¥950-1,700万＋月50万

包括コード監査 / ペネトレーションテスト / ISMS取得 / 3省2GLフル準拠 / DPO月額顧問

F単価相場・留保事項・推奨アクション

業界単価相場

業者層	時間単価	日給
大手専門（NRI/LAC/GMOイエラエ）	¥40,000-60,000/h	—
中堅（ESI/SST等）	¥35,000-42,000/h	—
新興・SaaS型（Flatt等）	月額継続が中心	—
フリーランス上位	¥10,000-30,000/h	¥80,000-200,000/日

留保事項（精度懸念）

「要見積」が業界の主流 — 公開価格は ESI / VAddy / Securify など一部のみ
医療系PHI加算は業者により+30-50%（要相談で確定）
SOC2/ISMS の費用には監査法人費が含まれない場合あり（追加100-300万円）
LRMの3省2GL費用は推定値（公式は要見積）
IT導入補助金2026 で 2/3 補助の対象になり得る（IT導入支援事業者経由・要確認）

推奨アクション

LRM初回相談（5万円） で 3省2GL 該当性を確定 → 該当しなければPhase A最小構成で十分
ESI ベーシック診断（25万円） で軽量コード監査＋脆弱性診断を組み合わせ
商用販売（医療法人への営業）が決まった段階で Phase B（300-660万円） へ昇格
IT導入補助金 2026 で 2/3 補助 を活用すれば実質1/3で済む可能性
Pマーク取得は早期推奨 — 医療法人との営業で「Pマーク無し」は致命的になる場合あり