前回の記事では、なぜ MintSpark が中小企業向けの無料セキュリティ診断ツール「coremeo-check(コレミオ-チェック)」をつくったのか、その背景をお話ししました。
今回はもう一歩具体的に、「このツールで実際に何がわかるのか」「逆に、何はわからないのか」をお伝えします。
こんな立場の方のために作りました
coremeo-check は、以下のような立場の方にとくに使っていただきたいツールです。
- 社内に IT 部門や専任の担当者がいない中小企業の経営者・幹部の方
- ウェブサイトの保守は外注しているが、「今どんな状態か」を自分でも把握しておきたい方
- 「セキュリティが大事なのはわかるが、何から見ればいいのかわからない」と感じている方
- MEO 対策で地域からの集客を伸ばしているが、「サイトの足元」までは手が回っていない店舗オーナーの方
逆に、自社にセキュリティ専門家がいる企業や、すでに有償の脆弱性診断を継続している企業にとっては、coremeo-check は物足りなく感じるかもしれません。それはあえて、「これだけは最低限知っておきたい」というラインに絞り込んでいるからです。
一言で言うと、「最低限の足元」が確認できるツールです
coremeo-check は、ありとあらゆる脆弱性を網羅的に洗い出すツールではありません。狙われやすい状態を作らない、取引先や顧客の信頼を損なわない、そのための入り口となる項目だけを確認します。
例えるなら、家の防犯点検でいうところの「玄関の鍵は閉まっているか」「窓の鍵はかかっているか」「家の表札に余計な個人情報を書いていないか」を確認するイメージです。ただこれだけでは家全体の防犯設計を万全とはいえません。ですが、これらが押さえられていないと、本格的な防犯設備をどれだけ整えても効果は半減します。
確認できる7つの項目と、その意味
1. なりすましメール対策(SPF / DMARC / DKIM)
「あなたの会社名を騙った請求書メールが取引先に届く」── これが現実に起きるかどうかは、ドメイン側の3つの設定の有無で大きく変わります。これらが整っていないと、受信側のメールサービスが「偽メール」を見分けられず、取引先の被害につながることがあります。
- SPF(Sender Policy Framework)
送信元ドメインのDNSにあらかじめ登録された「正規の送信サーバー」のIPアドレスと実際の送信サーバーを照合し、なりすまし送信を検知する送信元認証技術 - DKIM(DomainKeys Identified Mail)
送信メールに秘密鍵で電子署名を付与し、受信側がDNSで公開された公開鍵を用いて検証することで、送信ドメインの正当性とメール内容が改ざんされていないことを保証する認証技術 - DMARC(Domain-based Message Authentication, Reporting and Conformance)
SPFとDKIMの認証結果を踏まえ、認証に失敗したメールの取り扱い(監視・隔離・拒否)を送信側のポリシーとして受信側に指示するとともに、認証結果のレポートを受け取れる仕組み
2. WordPress の攻撃面(公開状態)
国内のCMSとして人気のWordPress で構築されたサイトの場合、放置すると管理者のログイン ID が外部から取得できる状態になっていることがあります。攻撃者は24時間自動で「IDが判明しているサイト」を狙ってログイン総当たりをかけます。「狙われやすい入口」を塞いでいるかを確認します。(本来はIDとパスワードの2つの要素を当てなければならないところを、1つは既に分かった状態でログインを試行することができるということです)
- CMS(Contents Management System)
Webのコンテンツをまとめて管理・配信・更新等を行うシステム
3. セキュリティ用の応答ヘッダ
サイトがブラウザに対して「このページはこういう振る舞いが正しい」と伝える基本的な指示書です。これがないと、サイトを乗っ取って偽の操作画面を表示させる手口(クリックジャッキング等)に利用されやすくなります。
- クリックジャッキング
悪意のあるサイトへのリンクやボタンを透明な層として、正規のページの上に重ね合わせる手口です。利用者は表示されている正規のボタンを押したつもりでも、実際には透明な悪意のリンクをクリックしてしまい、意図しない操作や情報の送信が実行されてしまうサイバー攻撃
4. HTTPS(通信の暗号化)
訪問者がサイトで入力した情報(問い合わせ内容、パスワードなど)が暗号化されているかを確認します。ここが不十分だと、訪問者のブラウザに「保護されていない通信」と表示され、せっかく訪れてくれた人が不安に感じ、入り口で離脱してしまう可能性があります。
5. 暗号化されていないコンテンツの混在
暗号化されたページの中に、暗号化されていない画像やスクリプトが混じっている状態を「混在コンテンツ」と呼びます。これがあると、ページ改ざんや情報の盗み取りのリスクが高まる可能性があります。
6. TLS 証明書(有効期限・発行統制)
サイトの「鍵」となる電子証明書の有効期限を確認します。更新を忘れると、ある日突然サイトに「危険なサイト」と警告表示が出て、訪問者が一斉に離脱します。MEO対策をして地域の検索で見つけてもらえても、これが起きると、信用や集客面で影響を受けることがあります。
7. ブラックリスト診断(迷惑メール・脅威リスト)
自社のメール送信元 IP やドメインが、世界中で参照されている迷惑メール・脅威リストに載っていないかを確認します。ここに載っていると、「取引先にメールが届かない」「迷惑メールフォルダに振り分けられる」といった問題が静かに起きていることがあります。
逆に、coremeo-check では「見えない」ものもあります
正直にお伝えすると、coremeo-check で確認できるのは「外から普通にサイトを見たときに、見える範囲」だけです。具体的には以下のような領域は、本ツールでは扱いません。
- サイト内部の管理画面の堅牢化(パスワード強度、二段階認証など)
- 使われているプラグイン・テーマの脆弱性詳細
- サーバー本体の設定や OS のパッチ状況
- 従業員のメール運用・端末管理・アクセス権限の運用
- バックアップ体制・障害時の復旧計画
これらは「ログインを試したり、サーバー内部を覗いたり」しないと確認できない領域で、無料ツールの範囲を超えます。だからこそ coremeo-check では、まず外から見えてしまっている問題に絞って気づきを提供し、それ以上の領域はお客様ごとに状況を伺った上で、ご一緒に検討していくスタンスをとっています。
結果は 3 色で。判断は 3 秒で
診断結果は、7項目それぞれを 🟢良好 / 🟡注意 / 🔴危険 の三色で表示します。あわせて、総合スコアを 100 点満点で表示するので、「うちのサイトは今、全体としてどのくらいの状態か」が一目でわかります。
- 🟢 良好(80点以上)── 主要な項目は問題なし。継続して維持してください
- 🟡 注意(55〜79点)── 改善の余地あり。優先順位を決めて手を打つ段階
- 🔴 早めの対応を推奨(54点以下)── 取引先や顧客の信頼に関わる項目で、改善の必要性が示されています
各項目には、状態の説明だけでなく「このまま放置すると、あなたの会社にどんなことが起きうるか」を経営者の言葉で添えています。技術用語に詳しくなくても、「これは本当にまずいやつだ」「これは今すぐではないが対処したい」といった優先度を判断するための参考情報として活用していただけます。
「気づき」を「行動」につなぐために
無料診断の役割は「気づき」までです。実際の修正は、外部のホームページ制作会社さんに依頼するのか、ご自身で対応するのか、専門家に相談するのか、お客様の事業や運用体制によって最適解が変わります。
もしご自身で対処方法を判断しきれない項目があれば、MintSpark で30分の無料相談を承っています。診断結果をその場で一緒に読み解き、「これは今すぐ」「これは保留でよい」「これは制作会社に依頼すべき」といった優先度と次の一手を整理するところまで、無料の範囲でお手伝いします。
次回は、coremeo-check の具体的な使い方を3ステップでご紹介します。
まずは自社サイトを診断してみる
URL を入力するだけ、登録は任意、攻撃的なアクセスを行わない設計です。診断結果は信号機の色でその場で表示されます。
※ coremeo-check は受動診断ツールであり、ウェブサイトの安全性を保証するものではありません。診断結果は外部から確認できる公開情報の範囲に限定されます。具体的な対応の必要性・優先順位は、各サイトの運用状況に応じてご判断ください。
コメント