ホームページセキュリティチェックツール16選【ツール選定方法も紹介】
近年増加傾向にある「不正アクセス」「脆弱性をついたサイバー攻撃」の対策を兼ねて、ホームページのセキュリティチェックツール導入を検討している企業も多いのではないでしょうか?
しかし、セキュリティチェックツールを導入する上で、
『セキュリティチェックツールの種類が知りたい』
『無料のセキュリティチェックツールでも問題ないか』
『セキュリティチェックツールの正しい選定方法が知りたい』
上記のような問題が生じるかと思います。
本コラム記事では、企業のホームページ担当者様へ向けて、セキュリティチェックツールの「種類や特徴」「正しい選定方法」を紹介しています。
※今回紹介しているセキュリティチェックツールの費用は執筆時点(2021年5月25日)の情報です
ホームページセキュリティチェックツールとは
ホームページセキュリティチェックツールとは、ホームページ上のシステム調査を行い脆弱性がないか診断するツールです。
無料で診断可能なセキュリティチェックツールや、専門家が手動でホームページを調査し、レポート提出してくれるセキュリティチェックツールも存在します。
脆弱性とは
ホームページセキュリティチェックツールは、脆弱性診断ツールとも呼ばれています。
脆弱性とは、コンピュータプログラム不具合やシステム設計時に発生する欠陥のことです。
ホームページ上に脆弱性があると、サイバー攻撃の対象になり、ウイルスに感染するなどのリスクが高くなります。
基本的にホームページセキュリティチェックツールは、この脆弱性を発見するために使用するツールとなります。
ホームページセキュリティチェックツールの選定ポイント3つ
ホームページセキュリティチェックツールを紹介する前に、ツール選定ポイントを学びましょう。
今回紹介するポイントは下記3つです。
- チェックできる範囲
- 手動か自動ツールチェックか
- レポート精度
【選定ポイント①】チェックできる範囲
ホームページセキュリティチェックツールの選定ポイント1つ目は、チェックできる範囲です。
ホームページセキュリティチェックツールでは、それぞれ脆弱性をチェックできる範囲がことなります。
主にホームページセキュリティチェックツールの診断範囲は「Webアプリケーションチェック」と「プラットフォームチェック」の2種類に分かれます。
この2種類の違いは下記の通りです。
▼スマホの場合は横にスクロールしてご覧ください
| チェック方法 | チェック範囲 |
|---|---|
| Webアプリケーションチェック | ホームページそのもの |
| プラットフォームチェック | サーバー等のミドルウェア |
選定方法としては、現在のセキュリティ対策を加味した上で選定すると良いでしょう。
例えば「ファイアウォール」「WAF」等の設定をすでに実装しているのであれば、プラットフォームより「Webアプリケーションチェック」を優先するべきでしょう。
何もセキュリティ対策をしていない場合は、両方のセキュリティチェックをすべきと判断できます。
【選定ポイント②】手動か自動ツールチェックか
手動か自動ツールチェックかどうかも重要な選定ポイントです。
自動ツールチェックは、専用ツールを利用し自動で脆弱性を発見するチェック方法です。
自動での検査となるため、無料で利用できる等のメリットがありますが、柔軟なチェックには対応できないため、見落とし等が発生するデメリットがあります。
一方、手動チェックは、セキュリティ対策の専門家が手動にてチェックする方法です。
手動のため、自動チェックツールよりも柔軟なチェックが可能ですが、その分コストがかかるデメリットがあります。
自社の予算にあわせて、どちらかを選定するようにしましょう。
【選定ポイント③】レポート精度
レポート精度も選定ポイントの1つです。
診断結果をみて、セキュリティ対策を練っていく必要があるため「レポートの内容が分かりやすいか」「具体的な対策が記載されているか」という点から選定します。
例えば、無料のセキュリティチェックツールの場合、レポート内容が全て英文といったケースもあるので、ツール導入前には必ずレポート内容をサンプルで確認するようにしましょう。
脆弱性チェックツール6選
脆弱性チェックツールを6つ紹介します。
自社ホームページの脆弱性をチェックしたい場合は下記ツールを試してみましょう。
- GRED(グレッド)
- SiteLock(サイトロック)
- Vex(ベックス)
- Lac(ラック)
- Vuls(バルス)
- Nessus(ネサス)
GRED(グレッド)
出典:GRED
GRED(グレッド)は、自社ホームページを登録するだけで、自動で脆弱性チェックが可能なツールです。
脆弱性が発見されるとアラートがあり、PDFのレポートでチェック結果を確認することが可能です。
GREDは、サーバー側からのチェックではなく、インターネット側からもチェックを行うため、さまざまなパターンの改ざんチェックが可能となっています。
料金は月額11,000円(税込)からとなっており、リーズナブルながら質の高い脆弱性のチェックが可能です。
SiteLock(サイトロック)
出典:SiteLock
SiteLock(サイトロック)は、GMOが提供する脆弱性チェックツールです。
1,200万サイトの診断データと照合することにより、脆弱性を早期発見します。
チェック方法は、ホームページを診断する「リモート診断」とサーバーを診断する「SMART診断」が設けられているため、幅広い範囲の脆弱性チェックが可能です。
料金に関しては、エントリープランで年間4,620円(税込)となっています。
Vex(ベックス)
出典:Vex
Vex(ベックス)は、株式会社ユービーセキュアが提供する脆弱性チェックツールです。
Vexの特徴は徹底したサポートとなっています。
ただ、Vexは脆弱性チェックするだけではなく、自動巡回からのシナリオマップを作成することで、スムーズなセキュリティ対策に移行が可能です。
また、読みやすいレポート作成にも力を入れているため、セキュリティチェック初心者にもピッタリのツールとなっています。
料金は要問合せとなっていますが、無料トライアル期間が設けられています。
Lac(ラック)
出典:Lac
株式会社ラックでは、脆弱性チェックサービスを提供しています。
「Webアプリケーション診断」「プラットフォーム診断」「セキュリティ診断内製化支援」などのチェックサービスを18種類提供しています。
これらのサービスを複数組み合わせることにより、サイバー攻撃への耐性を調べることが可能です。
料金はチェックサービスごとで異なるため、くわしく知りたい方は問合せしてみましょう。
Vuls(バルス)
出典:Vuls
Vuls(バルス)は、脆弱性情報の収集・診断自動化ツールです。
「サーバーにインストールしているソフトウェア情報の把握」「脆弱性データベースを元に脆弱性を発見する」といった作業の自動化が可能となっています。
ただし、利用するにあたり「パッケージ投入」「ディレクトリ作成」等の作業が発生するので、ネットワーク技術者向けのチェックツールとなります。
Nessus(ネサス)
出典:Nessus
Nessus(ネサス)は、Tenable Network Security社が開発した脆弱性チェックツールです。
サーバー上の脆弱性チェックやシステムの弱点の探知が可能です。 「Windows」「Mac」「Linux」といった様々なOSに対応しているのも特徴となっています。
個人利用であれば無料で利用可能で、企業利用の場合は有料ライセンスを購入する必要があります。
URLセキュリティチェックツール4選
URLセキュリティチェックツールを4つ紹介します。
URLセキュリティチェックツールは、URLを入力するだけでそのホームページに問題がないか診断するツールとなっています。
おすすめのツールは下記の通りです。
- Observatory by Mozilla
- Site Safety Center
- VirusTotal
- SiteAdvisor
Observatory by Mozilla
Observatory by Mozillaは、URLを入力するだけで、セキュリティ対策が実装されているかをランク付けしてくれる無料ツールです。
チェック項目は「サーバーのレスポンスヘッダー」「SSL/TLS設定のセキュリティ状況」等となっています。
URLを入力して「Scan Me」を選択すると、安全性をA+~Fまでの段階で評価してくれます。
Observatory by Mozillaは日本語対応していないので、Google翻訳を利用するといいでしょう。
Site Safety Center
Site Safety Centerは、URLを入力することでホームページの安全性を評価するトレンドマイクロ株式会社がサービスを提供する無料チェックツールです。
評価段階は「安全」「危険」「不審」「未評価」に分かれています。
Site Safety Centerは、自社ホームページをチェックするというよりは、アクセスするホームページ先が安全かどうかを判断するためのツールとなっています。
VirusTotal
出典:VirusTotal
VirusTotal(ウイルストータル)は、Googleが提供するセキュリティチェックツールです。
指定したファイルやホームページに問題がないかの判断を行います。
ウイルス感染で多いのがファイルの開封やホームページ閲覧です。
事前にVirusTotalにてチェックを行えば、ウイルス感染等のリスクを回避することができます。
VirusTotalは多機能な有料版もありますが、無料版でもホームページの検査を行えます。
SiteAdvisor
出典:SiteAdvisor
SiteAdvisor(サイトアドヴァイザー)は、McAfee(マカフィー)が提供するホームページのマルウェアなどの警告をするチェックツールです。
URLを入力するだけで簡単にチェックが可能で、ホームページを7段階に評価します。
また、ブラウザにSiteAdvisorを組み込むと検索エンジン上に安全かどうかのアイコンが表示される機能もあるため、不審なホームページを回避することも可能です。
無料ホームページセキュリティチェックツール6選
最後に、無料でホームページのセキュリティチェックが可能なツールを紹介します。
予算が限られている場合は、下記ツールでセキュリティチェックを実施するようにしましょう。
- Norton Safe Search as default for Chrome
- Burp Suite
- Nmap
- 自診くん
- OWASP ZAP
- Nikto2
Norton Safe Search as default for Chrome
Norton Safe Search as default for Chromeは、フィッシングサイトや危険性のあるホームページに訪問しないようにサポートするツールです。
Google Chromeの拡張機能となるため、拡張機能を追加することで利用可能となります。
他にもNorton Safe Searchは、EdgeやFirefox、Safariなどのブラウザにも対応しています。
Burp Suite
出典:Burp Suite
Burp Suite(バープスイート)は、ホームページ内をクローリングし脆弱性をチェックするツールです。
チェックに必要なものはURLのみなので、簡単に脆弱性をチェックすることができ、レポートの出力も可能なツールとなっています。
Burp SuiteはJavaアプリのため、事前にJavaの実行環境(JRE)をインストールしておく必要があります。
そのため、Burp Suite はJavaなどプログラム言語の知識がある方向けのツールとなります。
Nmap
出典:Nmap
Nmapは、Gordon Lyon(ゴードン・リヨン)さんが開発したポートスキャナです。
ポートスキャナとは、指定したポート番号にIPポケットを送信し、ポートが外部からアクセス可能かどうかチェックします。
ポートスキャンを実行することで、不要なポートが開いていないかを確認することが可能です。
不要なポートが空いていると、そこからクラッキングされるリスクが高くなるため、必要に応じてファイアウォールでのブロック対策につなげることができるツールといえます。
自診くん
出典:自診くん
自診くんは、ラック株式会社が無料で提供する自己診断ツールです。
診断できる内容としては「ランサムウェアの攻撃耐性」と「脆弱性への攻撃の耐性」のセキュリティチェックが可能となっています。
診断結果もすぐに表示され、操作方法も簡単なのでセキュリティチェック初心者にもおすすめできるツールです。
OWASP ZAP
出典:OWASP ZAP
OWASP ZAP(オワスプザップ)は、The Open Web Application Security Projectが開発した脆弱性チェックツールです。
脆弱性チェックをしたいURLを入力するだけで、Webアプリケーションが攻撃されやすい弱点を知らせてくれます。
また、OWASP ZAPには「簡易」「静的」「動的」と3つのチェック方法があるため、さまざまな角度から脆弱性チェックを実施することが可能です。
Nikto2
出典:Nikto2
Nikto2(ニクト2)は、 Netspark社が提供する脆弱性チェックツールです。
脆弱性を見つけ、詳細な参照を提供してくれます。
チェック項目としては「サーバー上の古いコンポーネント確認」「SSLサポート」「アプリケーションの識別」等です。
また、レポートも無料で出力可能となっています。
まとめ
ホームページのセキュリティチェックについて紹介しました。
今回のポイントは下記の通りです。
- セキュリティチェックツールは、ホームページ上の脆弱性を見つけるためのツール
- 脆弱性とは、コンピュータプログラムの不具合やシステム設計時に発生する欠陥
- 「チェック範囲」「チェック方法」「レポート精度」からツールを選定する
- 「脆弱性チェックツール」「URLセキュリティチェックツール」を上手に使い分ける
また、当サイト「ビズサイ」ではホームページ制作サービス(サブスクリプション)を提供しています。
ビズサイでは、ホームページの目的に合わせて3種類のプランを用意しており、お申込みから公開まで最短5営業日でホームページ制作ができます。
ビズサイの全プランでセキュリティ対策を施しているので、ご安心くださいませ(詳しいサービスはこちら)。
まずは無料でご相談ください。
お問い合わせ・ご相談や、公開後の修正依頼などに関しては、いずれかの方法にてお問い合わせください。
※年末年始・土日祝は定休日となります
※受付時間 9:00~17:30
