「弊社のセキュリティ大丈夫かな..」に、月額980円で本格的なサイトのセキュリティ診断が出来るサービスが登場

セキュリティ

Arai

自社サイトを運営していて「セキュリティは大事だけど、ちゃんと出来ているかわからない・・」という人、結構多いと思います。
普通、こうしたセキュリティ診断を企業へ依頼すると数十万〜数百万円かかってしまうのですが、こちらのサービスはなんと980円(月額)。

GMOサイバー攻撃ネットde診断
https://shindan-lp.gmo-cybersecurity.com/

軽く使ってみた結果は以下の通り。

ちなみに診断はしてくれますが、具体的な対処手順までは教えてくれないので注意。
しかし、見えなかった問題を可視化してくれるため、対処出来るのであればかなり便利です。

まずは、DNSに専用のレコードを追加

まず最初にサイトを登録すると、DNSレコードを登録してくださいと表示が出ます。
診断したいドメインのDNS設定を開き、表示されているTXTレコードを登録してください。

登録例：

txt _XXXXXX_XXXXX.com. _XXXXXXXXXXXXXXXXXXXXXXXXXXXX.val

状況によっては登録まで時間がかかることがあります。
また、このDNSレコードが確認されるまで検査は出来ないため、他人のサイトを勝手に検査することは出来ません。

DNSレコードが正しく登録されれば、検査を開始できます。

危険度をレベルでわかりやすく表示してくれる

サーバーセキュリティの診断結果に応じて、色と独自のレベルでお知らせしてくれます。
レベルがEだと重大な脆弱性が発見された状態。

Bなら、低リスクの問題がある程度のようです。

直近の脆弱性を検知できた

テスト用のサーバーに発見された脆弱性に「古いGNU Bashにおける任意コード実行の脆弱性」というのがあり、検証のためテスト用のサーバーでアップデートを実施しました。

kernel関係のアップデートがあり、更新して再診断を実施したところ表示が消えたので、これが問題だったということになります。
このセキュリティアップデートは記事執筆時点で前日に配信されたばかりのもので、脆弱性自体も最近のもの。古い情報だけで診断するのではなく、新しい脆弱性も考慮して診断してくれるようです。