このページでは、MintSpark のセキュリティ無料診断(coremeo-check)が「何を」「どのような基準で」評価しているのか、そして「何を評価していないのか」を、評価ロジックとともに解説します。診断結果をご覧になった方が、表示された評価の意味を正しく理解できることを目的としています。
※ 本記事は IPA の各資料を出典として参照していますが、IPA が本診断を認定・推奨するものではありません。
この診断が測るもの・測らないもの
本診断は、あなたのサイトを「攻撃者と同じ外部の視点」から見たときに、基本的なセキュリティ対策ができているかを確認するツールです。ログイン試行やファイルの書き換えといった攻撃的な操作は一切行わず、ブラウザで普通にページを開く範囲の公開情報(HTTP 応答ヘッダ・公開 DNS レコード・公開ページの HTML など)だけを参照します。これを「受動診断」と呼びます。
そのため、社内のパスワード管理・バックアップ運用・ウイルス対策・従業員教育といった「外からは見えない領域」は対象外です。これらは外部観測では確認できないため、IPA の自社診断や、パートナー企業と連携した詳細調査での確認をおすすめします。
評価の3つの層
- 信号機(項目別の評価):8 項目を 🟢良好/🟡注意/🔴危険 の3色で表示します。専門知識がなくても、どこに注意すべきかが一目で分かります。
- 外部観測による評価:6 カテゴリのスコアと、外部観測ベースのセキュリティ到達度(L1〜L5)を表示します。
- 詳細調査(任意):外部観測では測れない運用面・内部設定を、パートナー企業と連携して評価します。
総合評価は「点数」ではなく「ランク」で示します
総合評価は S/A/B/C のランクで表示します。あえて「100 点満点の数値」にしていないのは、満点=絶対に安全、という誤解を避けるためです。セキュリティに「これで完全」という状態はありません。本診断はあくまで、外部から見える基本対策の到達度を示すものです。
- S:非常に良い状態
- A:一部改善の余地あり
- B:改善の余地あり
- C:大幅な修正を推奨
6つのカテゴリと配点の考え方
8 つの診断項目を、利用者に伝わりやすい 6 つのカテゴリに整理し、重要度に応じた加重で総合評価を算出しています。WordPress は 24 時間動き続ける自動攻撃の主な標的になりやすいため、最も高い加重を置いています。配点は当社の診断実績に基づき、年次で見直します。
| カテゴリ | 加重 | 主な確認内容 |
|---|---|---|
| WordPress / アプリ保護 | 25% | ログイン ID の露出、バージョン情報、xmlrpc 等の攻撃面 |
| DNS・メール認証 | 20% | SPF / DKIM / DMARC によるなりすましメール対策 |
| HTTPS・通信暗号化 | 15% | HTTPS 強制、HSTS、TLS 証明書の有効期限・発行統制 |
| HTTP セキュリティ応答ヘッダ | 15% | クリックジャッキング・XSS 等を防ぐ応答ヘッダ |
| 情報露出・プライバシー | 15% | 公開してはいけないファイル・旧管理画面の露出 |
| 暗号化されていないコンテンツの混在 | 10% | HTTPS ページ内の非暗号化リソースの混在 |
到達度(L1〜L5)の考え方 ― なぜ L3 が上限なのか
到達度は、IPA(独立行政法人 情報処理推進機構)が示す段階的な対策の考え方に準拠し、L1〜L5 の到達度スケールで表します。なお、各段階の名称は当社が定義したもので、IPA 公式の段階名称ではありません。
| 到達度 | 位置づけ |
|---|---|
| L1 基本対策 | 最低限の対策に着手している段階 |
| L2 標準対策 | 一般的な技術対策を概ね実施している段階 |
| L3 推奨対策 | IPA が推奨する技術対策の水準。外部観測で到達できる最高評価 |
| L4 高度対策 | 監視・継続的な運用改善(外部観測の範囲外=詳細調査の領域) |
| L5 組織的運用 | 社内規程・体制・最適化(外部観測の範囲外=詳細調査の領域) |
本診断は外部観測のみで行うため、評価できるのは L3(推奨対策)までです。L4・L5 は外部から確認できないため、本診断では「詳細調査の領域」と位置づけ、パートナー企業と連携して評価します。外部観測で「L3:推奨対策」に到達していれば、外から見える範囲では最高評価であり、L4・L5 に表示が届かないのは不足ではなく「外部観測の範囲外」であることを意味します。これは IPA による認定ではなく、当社が外部観測の範囲で再構成した独自の判定基準です。
本診断と IPA ガイドラインの対応関係
| 本診断のカテゴリ | 対応する IPA の指針・脅威(準拠) |
|---|---|
| DNS・メール認証(SPF / DKIM / DMARC) | 「中小企業の情報セキュリティ対策ガイドライン」送信ドメイン認証 / 情報セキュリティ10大脅威「ビジネスメール詐欺(BEC)」「フィッシング」 |
| HTTPS・通信暗号化 | 「安全なウェブサイトの作り方」通信経路の暗号化(TLS)の徹底 |
| WordPress / アプリ保護 | 「安全なウェブサイトの作り方」CMS の脆弱性対策 /「企業ウェブサイトのための脆弱性対応ガイド」 |
| HTTP セキュリティ応答ヘッダ | 「安全なウェブサイトの作り方」クリックジャッキング・XSS 等への対策(X-Frame-Options ほか) |
| 情報露出・プライバシー | 「ウェブサイトを安全に運用するために」公開してはいけない情報・ファイルの露出防止 |
| 暗号化されていないコンテンツの混在 | TLS の適切な運用(混在コンテンツの排除) |
| 参考:ブラックリスト(レピュテーション) | メール到達性・送信元評価の確認(スコア対象外の参考情報) |
なぜ「市場順位」ではなく「標準への達成度」で示すのか
まず前提として、セキュリティ対策の標準は企業規模で変わりません。大企業でも中小企業でも、攻撃者が突いてくる弱点は同じです。本診断は「中小企業だからこの程度で良い」という相対的な甘い基準は設けず、IPA が示す技術対策の標準に対してどこまで到達しているかで評価します。
「業界平均より上位◯%」といった市場順位は、本来、十分な数の実在サイトを偏りなく集めた母集団がなければ意味を持ちません。出所のはっきりしない平均値や、偏ったサンプルから算出した順位で安心・不安を煽ることは誠実ではないと考えます。そのため本診断ではサンプル数や順位は表示せず、公開されている IPA の技術対策の標準に対する達成度のみで結果をお示しします。具体的には、信号機の3色・外部観測ベースの到達度(L1〜L3)・カテゴリ別スコアで、IPA が推奨する技術対策の水準にどこまで到達しているかを多面的にお示しします。
免責と改訂方針
本診断結果は、診断時点の外部観測情報に基づく相対評価であり、絶対的な安全性を保証するものではありません。判定基準は当社の診断実績に基づき年次で改訂します。適用中の基準バージョンは診断結果の画面に表示します(現行 v1.0)。本ページの内容も、基準の改訂にあわせて更新します。
外部から見える範囲のチェックで「注意」「危険」が見つかった場合や、L4・L5 を含むより踏み込んだ評価をご希望の場合は、パートナー企業とともに詳しい診断・詳細調査をご案内します。お気軽にご相談ください。
参考・出典(IPA)
- IPA「中小企業の情報セキュリティ対策ガイドライン」:https://www.ipa.go.jp/security/guide/sme/about.html
- IPA「安全なウェブサイトの作り方」:https://www.ipa.go.jp/security/vuln/websecurity.html
- IPA「5分でできる!情報セキュリティ自社診断」:https://security-shien.ipa.go.jp/diagnosis/selfcheck/
- IPA「情報セキュリティ10大脅威」:https://www.ipa.go.jp/security/10threats/
※ 本記事は IPA の各資料を出典として参照していますが、IPA が本診断を認定・推奨するものではありません。リンク先は外部サイト(IPA)です。
