このエントリーをはてなブックマークに追加
目次

はじめに

インターネット上のWebサイトは、インターネット上の様々なセキュリティの脅威に晒されます。
自身の趣味や個人の事業、あるいは会社での広報部門としてWebサイトを作成・構築し公開する場合、情報の漏洩やサイトコンテンツの改竄、あるいは、侵入などを防ぐために、定期的にWebサイトのセキュリティ診断を行う必要があります。
ここでは、当サイトが使用している無料で行えるセキュリティ診断の手段を紹介します。

当サイトでは、以下のセキュリティ診断を行い、対策を行っています。
まだ完全に対策できていないところもありますが、参考にしてみてください。
・Observatory by Mozilla
・gred
・VirusTotal
・Site Safety Center
・IPA(情報処理推進機構)の情報を基にした自己診断

Observatory by Mozilla

https://observatory.mozilla.org/
Mozillaが提供しているサイトの脆弱性を無料で評価するサイトです。
サイトのドメインを入力して「Scan Me」を押すと、安全性をA+~F評価・採点します。
評価の根拠のほか、推奨する改善ポイントまで解説してくれます。

判定前
01_p.png

判定後
01_r.png

当サイトの判定はCでした。
Subresource Integrityに対する対応が必要であることが分かりましたが、当サイトではConcrete5(https://concrete5-japan.org/)というCMSを使用していることから、このCMSのソースに直接手を入れるか、Concrete5の対応を待つかのいずれか対策が必要のようです。
(2019/01/10追記: このサイトでのガイダンス通りにすると、Concrete5の一部の機能が使えなくなるため、判定は落としてでも機能が使えるようにしました。現在は、Dランク以下です。)

gred

http://check.gred.jp/
gredも無料でできるホームページのセキュリティチェックサイトです。
使い方は簡単で、フォームにホームページのアドレスを入力して「CHECK」ボタンをクリックするだけです。

判定前
02_p.png

判定後
02_r.png
当サイトの判定は「SAFE!」でした。

 

VirusTotal

https://www.virustotal.com/ja/
VirusTotal は、無料のマルウェアチェックサービスで、ファイルやURLにマルウェアが含まれないかを分析できるツールです。
ウイルス、ワーム、トロイの木馬、あらゆる種類のマルウェアを素早く検出できます。
「URL」タブを選択し、URLを入力すると評価項目と結果を表示します。

判定前
03_p.png

判定後
03_r.png
当サイトでは問題は検出されませんでした。

Site Safety Center

https://global.sitesafety.trendmicro.com/index.php
トレンドマイクロのWebサイトの安全性を評価サイトです。
URLを入力するだけで、そのサイトにセキュリティ面で問題がないか、安全・危険・不審・未評価で評価します。
また、どのようなサイトかもカテゴリー分類してくれます。

判定前
04_p.png

判定後
04_r.png
当サイトの判定は「安全」でした。

自身で診断する方法

IPA(情報処理推進機構)では、サイトの脆弱性をチェック・修正する方法を公開しています。
サイト制作などに関してある程度の知識が求められますが、丁寧に説明されているのと詳しい資料があるので、自身でも費用をかけずセキュリティ対策を行うことができます。
05.png

https://www.ipa.go.jp/security/vuln/websecurity.html

筆者は、情報処理安全確保支援士の資格を持っていますが、この資格はIPAの国家資格です。

まとめ

あなたのサイトのセキュリティ診断の結果はどうでしたでしょうか?
もしセキュリティの問題がある場合、迅速な対応をすることをお勧めします。