自サイトのドメインを入力するだけで安全性・セキュリティを自動スキャンしてFからA+までのスコアを付けて評価してくれる「Observatory by Mozilla」
By Merrill College of Journalism Press Releases
Mozillaが作ったセキュリティ評価サイト「Observatory by Mozilla」は、ウェブサイトのドメインを入力するだけでウェブセキュリティがどれくらい構築できているかを分析し、総合的な評価をわかりやすくFからA+まででランク付けしてくれるようになっています。
Observatory by Mozilla
https://observatory.mozilla.org/
「Scan your site」の下にある入力欄に調べたいサイトのドメインを入力して「Scan Me」をクリック。今回は「yahoo.co.jp」で調べてみます。
しばらくするとスコアが表示され、以下のように項目ごとにどのように評価されたのかがわかるようになっています。
「Scan Summary」の項目には総合的な評価として「A+~F」のランク付けや、スコアが表示されています。yahoo.co.jpのランクは「F」で、スコアは100点中0点という結果になっています。
下にスクロールしていくとその他項目を見ることができ、「Test Scores」からはスキャンした時に行われたテストの内容と結果を見ることができます。
「TLS Summary」はTransport Layer Securityの調査結果を表示する欄ですが、HTTPSをサポートしていないため何も表示されず。
それ以降はサードパーティサイトの調査結果が並んでおり、HTTPSの中間者攻撃などを対策するHTTP Strict Transport Security(HSTS)のステータスを調査する「hstspreload.appspot.com」の評価は「X」ですが、HTTPレスポンスヘッダーを分析する「securityheaders.io」では「B」と比較的高評価を得ていました。
なお、オープンソースのメディアプレイヤー「MPC-HC」のドメインである「mpc-hc.org」を調べてみたところ……
総合評価でAを獲得していました。
テスト結果を見ればなぜ「得点できなかったのか」などの説明が書かれているので、ウェブサイトのセキュリティ向上に向けて参考にすることができます。
・関連記事
スマホ向けサイトのアドレスを入力するだけで100点満点中何点かを表示するGoogleの「Mobile Website Speed Testing Tool」公開 - GIGAZINE
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」 - GIGAZINE
歪んだ文字や数字を入力する「CAPTCHA」を突破できるマルウェアが出現、どういう仕組みなのか? - GIGAZINE
HTTPSで保護されているはずの通信を傍受できる脆弱性「Forbidden Attack(禁断の攻撃)」はVISA関連サイトなど複数で利用可能 - GIGAZINE
SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明 - GIGAZINE
・関連コンテンツ