脆弱性診断を実施するにあたり、まずは「診断スコープ」（診断範囲）を整理しましょう。
脆弱性診断には、ツールを利用する「ツール診断」と、セキュリティ技術者が実施する「手動診断」があります。
ツール診断では「機械的に発見できる明示的な脆弱性」を検出可能です。
手動診断では「アプリケーション仕様や設計に起因する脆弱性、認証／認可やファイルアップロード、セッション管理に関する脆弱性」などを洗い出すことが可能です。
診断スコープは、コストと効果のバランスを考慮して選定しましょう。

診断スコープが確定したら、次は「診断品質」にもこだわりましょう。
ツール診断の診断品質は、「ツールの精度」に依存します。
手動診断の診断品質は「検査員のスキル」に左右されることがあるため、提供するサービサーの診断実績を確認したり、客観的な指標となる関連資格の保有状況やセキュリティテクニックコンテストの受賞歴（DEFCON CTF入賞など）を参考にして、診断品質を確保しましょう。

診断実施後のサービス提供会社の対応として、「診断フォロー」についても確認しておきましょう。
脆弱性診断は、診断を受けることが目的ではなく、診断後の改善をスムーズに進められるかどうかが重要です。
「診断実施後の報告会は開催可能か」「報告レポートに改善提案は含まれているか」「改善策の相談は可能か」といった、改善に向けて踏み出せるフォロー体制についても、利用サービスの選定基準に含めることをお勧めします。

脆弱性診断では、以下のような基準をベースラインとして使い、システムの脆弱性によるリスクを網羅的に分析・評価します。

「外部からのサイバー攻撃」や「内部犯がいた場合」などのシナリオを想定し、特定の目的（侵入や情報窃取など）が達せられるか、システムだけではなく運用上の問題点も含めて調査します。
複数の課題（システムの脆弱性や運用）を組み合わせ、特定の目的が達せられるかリスクを分析・評価します。
本番を想定した実地訓練、といったイメージがわかりやすいでしょう。
ペネトレーションテストは「ペンテスター」と呼ばれる技術者が攻撃者の視点でシステムの穴を探し出し、システム内部へ侵入することで、情報漏洩や不正決済などの可能性を検証します。
脆弱性診断のような網羅性はありませんが、実運用に即した「運用上の課題」を検出することが可能です。

改めて、脆弱性診断とペネトレーションテストの違いを整理しておきましょう。
診断スコープはそれぞれ異なりますので、評価内容に適した診断種を選定しましょう。

脆弱性診断とペネトレーションテストはいずれも、ツールを利用する「ツール診断」、セキュリティ技術者が実施する「手動診断」があります。
診断手法により、検出される脆弱性の数や作業量は異なります。