セキュリティ診断でパスワードは必要ですか？

信頼できる診断会社はパスワードを要求しません。お客様自身がログイン操作を行い、エンジニアは画面共有または読み取り専用の一時アカウントで確認します。パスワードを要求する会社への依頼は避けてください。

パスワードをセキュリティ会社に渡すとどんなリスクがありますか？

主に3つのリスクがあります。①情報漏洩リスク（業者内部での不正利用・メールやメモからの流出）、②不正アクセスリスク（診断後もパスワードが業者側に残り続ける）、③責任所在の不明確化（後日問題が発生した際に診断会社が原因かどうかの証明が困難になる）です。

5つのチェックポイントがあります。①「パスワード不要」をLPや提案書に明記しているか、②画面共有で診断プロセスをリアルタイム確認できるか、③アクセスログを後から開示してもらえるか、④診断前に作業内容の説明があるか、⑤診断後にパスワード変更を推奨するか。すべて即答できる会社が信頼できます。

セキュリティ診断 2026.05.05

「診断のためにサーバーのパスワードを教えてください」——もしそう言われたら、立ち止まって考えてみてください。本当に信頼できるセキュリティ会社は、パスワードを要求しません。その理由と、安全な診断会社の見分け方を解説します。

セキュリティ診断の目的は、お客様の環境にある脆弱性やリスクを発見することです。その過程でサーバーや管理画面にアクセスする場面はありますが、パスワードを業者に渡す必要はまったくありません。

パスワードを渡してしまうと、以下のリスクが発生します。

信頼できるセキュリティ診断会社は、以下の方法でパスワードを受け取ることなく診断を行います。

診断エンジニアの指示に従い、お客様が画面を操作してログインします。エンジニアはその後の画面を画面共有で確認するだけです。パスワードを知る必要がありません。

診断用に「読み取りのみ」の一時アカウントを作成してもらいます。診断終了後にそのアカウントを削除すれば、リスクはゼロです。

Webサイトの脆弱性診断やSSL証明書の確認など、ログイン不要で外部から確認できる情報も多くあります。

「パスワード不要」を明記しているか
LPや提案書に「パスワードをお預かりしません」と明記している会社は誠実です。

画面共有で診断プロセスを見せてくれるか
診断中の操作をリアルタイムで確認できる体制があれば安心です。

アクセスログを開示してくれるか
何にアクセスしたか後から確認できる体制があるかを確認しましょう。

診断前に「作業内容の説明」があるか
何をどのように確認するか事前に説明できる会社は信頼できます。

診断後にパスワード変更を推奨するか
たとえ診断会社が知らなくても「念のため診断後にパスワードを変更してください」と言える会社は誠実です。

セキュリティを強化するために依頼した診断会社が、逆にリスクになってしまうことがあります。「パスワードを聞かれたら断る」——これがセキュリティ診断における最初の自衛策です。

安全な診断会社は、パスワードを聞かなくても診断できる仕組みを持っています。依頼前に必ず「どのように診断するのか」を確認してください。

「どこまで見せていいのか不安」という方はご安心ください

まずは30分の無料診断で、現在のリスク状況をご確認ください。