4つの視点で、課題を解く。
  1. ホーム
  2. 未分類
  3. 無料で使える!セキュリティチェックツール4選

無料で使える!セキュリティチェックツール4選

Yoshihiro Furuta Minds
無料で使える!セキュリティチェックツール4選
Web セキュリティ対策

ウェブサイトやメールを使ったマーケティングは、今や当たり前です。
セキュリティ事故に関するニュースが世間を騒がせることも年々増えており、マーケティング担当やウェブディレクターのみなさんも、セキュリティに対する意識が求められていることかと思います。
とはいえ、実務に追われるなかで、詳しい技術や知識を新たに身に着けるのは難しい、専門家に頼むとコストが……、と悩む事も多いでしょう。

そこで今回は、私たちも実際に利用しているチェックツールをご紹介します。

目次

Quales SSL Labs:SSL Server Test

https://www.ssllabs.com/ssltest

ウェブサイトのいわゆる「SSL証明書」が正しく設定されているかどうかがチェック出来るツールです。
古いバージョンの暗号化プロトコル(通信方式)や弱い暗号スイート(アルゴリズムや認証方式の組み合わせ)が使える設定になっていないか、HSTS(ブラウザにサイトへのHTTPSアクセスを強制する仕組み)が有効になっているか、など、サイトのSSL/TLS設定の有効性がチェック出来ます。

Qualys画面イメージ

当社では、サイトの新規構築や移転時、運用中のサイトのSSL証明書更新時には、このツールでチェックをして、「A」または「A+」になるように対応しています。
また、古いサーバー環境で運用し続けているサイトでは、適正な設定を行っても評価が「B」以下になる場合があります。その際にはサーバーリプレースをお勧めしています。

SPAMHAUS PROJECT:IP and Domain Reputation Checker

https://check.spamhaus.org

ドメイン名やサーバーのIPアドレスがブロックリストに載っていないかどうかをチェック出来るツールです。
複数のブロックリストデータベースを組み合わせてチェックし、いずれかのデータベースに載っていると、メールが受信拒否されたりサイトにアクセスできなくなることもあります。
大手クラウドサービスのフィルタリング機能でも利用されているため、「メールが届かない」といったトラブル発生時には、一度ここで確認するとよいでしょう。

spamhaus画面イメージ

もしブロックリストに載ってしまっていた場合でも、解除申請は可能です。
管理下サイト・サーバーに問題がなくても、同じIPアドレスセグメント内の別のサーバーが不正利用されていると、そのセグメントごとブロックされてしまうこともあります。
管理下サイト・サーバーの安全性を確認して問題がなければ、解除してもらいましょう。

当社では、このブロックリストサービスを利用してチェックするスクリプトを組んで、管理下サイト・サーバーを一覧で随時チェック出来るようにしています。

dmarcian:DMARC Domain Checker

https://dmarcian.com/domain-checker/

新規ドメイン名の取得時や、サイト移転、外部サービスとの連携設定を行うとき、そのドメイン名でのメール設定が適切に出来ているかどうかをチェック出来るツールです。

dmarcian画面イメージ

メールを利用するとき、以下の3つの設定が重要になります。
いずれもそのドメイン名のネームサーバー(DNSレコード)で設定する必要があるため、まずはドメイン管理担当者としっかり連携を取ることが大切です。

  • SPF:「このサーバーから送ったメールですよ」と証明する仕組み
  • DKIM:「このメールは改ざんされていませんよ」と証明する仕組み
  • DMARC:「SPFとDKIMで証明できなかったメールをどう扱うか」を決める仕組み

これらが正しく設定されていない場合、ユーザー側のメールサーバーやメールアプリによって、迷惑メールに振り分けられたり、受信拒否されることがあります。
問い合わせや応募のフォーム入力ユーザーに対して確認メールやサンクスメールを送る運用のときには、必ず確認しておくようにしましょう。

当社でも、特にMAツールやメールASPと連携させるとき、サービス側で指定されたDNSレコードの設定を忘れがちになります。
メール運用の話題が出た時には、「SPF」「DKIM」「DMARC」の3つのキーワード、忘れないようにしましょう。

OpenVAS:Greenbone Community Edition

https://www.openvas.org

ネットワークやサーバー、ウェブアプリケーションなどに潜むセキュリティの弱点をチェック出来るツールです。
「Community Edition(無償版)」ですが、対応する脆弱性情報は日々更新されており、常に最新の情報で利用することも可能です。

openvas画面イメージ

ブラウザからすぐに使えるWebサービスではなく、サーバーにインストールして利用するアプリケーションのため、Linux系OSの初期設定が出来る程度の技術知識が必要になります。

当社では現在のところ、オンプレミスのHyper-V環境にAlmalinux9を入れて、Greenbone公式が提供している組み込み済みのDockerコンテナで利用しています。
Dockerコンテナのインストール手順はコマンドレベルで紹介されているので、導入は容易でした。
サーバー初期構築時やサイト公開前の最終チェックとして活用しています。

気を付けたいのが、このツールはチェックするときサイト・サーバーに対して実際にアクセスしデータを送信するため、サーバーログに痕跡が残ります。
サーバーサービスのファイアウォールやWAFの設定によっては、診断ツールの通信が攻撃と誤認され、遮断されることもあります。
ご利用は計画的に。

まとめ

以上、当社でもよく使うツールのご紹介でした。

ウェブベースのマーケティング案件では、セキュリティ対策について言及されることはあまり多くない印象です。
しかし、暗黙のうちに当然のように「高いレベルでの安全性」が求められています
専門的、体系的に学べる機会が多くない中で、少しでも信頼感、安心感を高めていくために、ツールを活用していきましょう。

なお、いずれのツールについても無償で利用が可能なものですが、使い方によってはリスクもあります。
ご利用の際は、各ツールの利用規約を確認し、正しく安全にご活用ください。

未分類
Web セキュリティ対策
お気に入りの記事をシェアしよう!

この記事の執筆者

Yoshihiro Furutaのアバター

Yoshihiro FurutaMinds

情報システム室

執筆者プロフィール

草の根BBS時代のネットに触れて以来この道にハマり、大学広報のWeb制作、医療用品商社のネットワーク刷新、SIerのSEとして顧客システムのヘルプデスクや構築作業など渡り歩き、マインズにたどり着いてはや20年。
ベテランの域になりましたが、今も進化し続けるITの荒波に揉まれ続けています。

関連記事

目次