はじめに
本書の目的
この文書は「web セキュリティ 診断 無料」に関する調査結果を分かりやすくまとめたものです。無料で利用できるWebセキュリティ診断ツールの役割や使い方、代表的なツールの特徴を紹介します。初心者でも読み進められるよう、具体例を交えて説明します。
なぜ無料ツールが役立つのか
予算が限られる小規模サイトや学習目的で、まずは自分で簡単に脆弱性を確認したい場面があります。無料ツールは手軽に始められ、基本的な問題(例:入力欄に悪意あるコードが入るXSSなど)を検出できます。
注意点と心構え
診断は必ず自分が管理する環境か許可を得た対象で行ってください。不正アクセスやサービス停止を招く操作は避けます。本書では使い方だけでなく、無料ツールの限界についても後章で説明します。
本書の読み方
まず第2章で基本を学び、第3章で無料ツールの得意・不得意を理解してください。以降は代表的なツールごとに実践的な使い方を説明します。
無料Web脆弱性診断ツールの重要性と基本概念
なぜ重要か
Webサイトは顧客情報や業務データを扱います。脆弱性を放置すると不正利用や情報漏えいにつながります。無料ツールを使えば、初期段階で問題を見つけられ、コストを抑えて対策できます。
自動診断と手動診断
自動診断はツールがサイトを巡回して脆弱性候補を洗い出します。速く広範囲をチェックできます。一方、手動診断は人が挙動を確認し、複雑な問題を見つけます。両方を組み合わせると効果的です。
スキャンの種類と範囲
スキャンは認証なし(公開ページのみ)と認証あり(ログイン後ページを含む)に分かれます。例えば公開ページのフォームや管理画面を重点的に確認すると良いです。
注意点: 誤検知と安全な実行
無料ツールは誤検知(偽陽性)や見落とし(偽陰性)が起こります。結果は必ず人が確認してください。実施前に必ずオーナーの許可を得て、テスト環境での検査を優先してください。
運用に組み込むポイント
定期スキャンを習慣にし、更新や新機能追加時にチェックします。ツールのレポートを元に優先順位を付け、早めに修正することが大切です。
無料ツールでできることとできないことの明確化
1) 無料ツールでできること
- 基本的な脆弱性の検出: SQLインジェクションやクロスサイトスクリプティング(XSS)、公開されている既知の脆弱性を検出できます。具体例として、古いWordPressプラグインの既知脆弱性検出が挙げられます。
- 設定ミスの指摘: デフォルト設定のまま運用している場合の問題を見つけます。
- 改善点の提案: 検出結果に基づき、修正案や優先度を提示する機能があります。
2) 無料ツールでできないこと
- 網羅的な発見の保証: すべての脆弱性を見つける保証はありません。論理的な業務フローの欠陥(ビジネスロジック)やゼロデイ脆弱性は検出が難しいです。
- 高度な診断とカスタムテスト: 手動による深い解析や複雑な認証フローの検査は不得手です。
- 専門家の支援や責任ある対応: 法的判断や影響範囲の詳細な評価、修正支援は限定的です。
3) 運用上の注意と活用法
- スキャン前に必ず対象範囲の許可を取得してください。テスト環境で先に試すと安全です。
- 検出結果は優先度を付けて対応し、定期的に再スキャンしてください。手動レビューや専門家による診断を組み合わせると安心です。
OWASP ZAP – 強力で多機能な無料診断ツール
概要
OWASP ZAP(Zed Attack Proxy)は、オープンソースの無料診断ツールです。WebアプリやAPIの脆弱性を自動で検出できます。初心者向けのGUIを備え、プロが使う手動診断機能も豊富で幅広い用途に向きます。
導入と基本操作(3ステップ)
- ダウンロードとインストール
- 公式サイトからOSに合うパッケージを取得し、普通にインストールします。
- 診断対象の設定
- ブラウザのプロキシをZAPに向けるか、ZAP内でターゲットURLを指定します。開発環境(例: http://localhost:8080)で試すと安全です。
- スキャンの実行
- 「Spider」でサイト構造を収集し、「Active Scan」で脆弱性を検出します。自動診断後に手動で詳細を確認します。
自動診断と手動診断
自動診断で一般的な脆弱性を素早く見つけ、手動診断で詳細確認や複雑な攻撃シナリオを試します。プロキシで通信を差し止めてリクエストを編集する機能や、フォームに対するファジング機能が便利です。
日本語情報と活用のコツ
日本語の解説記事やコミュニティが豊富で学びやすいです。まずはローカルやステージングで実行し、誤検知(false positive)を必ず人の目で確認してください。
注意点
ZAPは強力ですが100%ではありません。負荷が高くなるため本番環境では注意し、認証が必要な領域は事前に設定してから実行してください。
WordPress専用診断ツール「WPScan」
概要
WPScanはWordPress専用の脆弱性診断ツールです。コマンドラインから対象サイトのURLを指定して素早くスキャンできます。プラグインやテーマ、コアのバージョン情報を照合して既知の脆弱性を検出します。初心者でも扱いやすく、手軽に導入できます。
インストールと基本的な使い方
インストールはパッケージ管理ツールやDockerで行えます。基本コマンドの例:
wpscan --url https://example.com --enumerate p,t
上の例はプラグイン(p)とテーマ(t)を列挙して脆弱性を調べます。オプションで詳細な出力やログ保存も可能です。
主な機能
- プラグイン・テーマの脆弱性検出: 名前とバージョンを照合して既知の問題を報告します。
- バージョン検出: WordPress本体や拡張のバージョンを推定します。
- ユーザー列挙: 投稿者名や管理者ユーザーを探します(許可がある場合に限る)。
- パスワード試行: 辞書を使った検証ができますが、実行は慎重に行ってください。
利用上の注意点
必ず対象サイトの所有者から明示的な許可を得てください。WPScanは追加のAPIキー(脆弱性データベース用)を要求する場合があります。スキャンは負荷をかけるため、本番サイトでは時間帯や頻度を調整してください。
実践例
プラグインの検査例:
wpscan --url https://example.com --enumerate vp --api-token YOUR_TOKEN
結果には脆弱性の識別子と参考リンクが表示されます。表示された情報をもとに、まずはプラグインのアップデートや不要な削除を検討してください。
その他の主要な無料診断ツール
概要
OWASP ZAPやWPScan以外にも、用途に応じて使える無料の診断ツールがあります。ここでは代表的なものを分かりやすく紹介します。
OpenVAS(Greenbone)
ネットワークやサーバ全体を幅広くチェックするオープンソースの脆弱性スキャナです。Webサーバーやファイアウォール、OSの脆弱性を一覧化し、修正案も示します。例:社内サーバを丸ごとスキャンして、古いライブラリや既知の脆弱性を報告します。導入には専用マシンや時間が必要です。
Nikto
シンプルで速いWeb向け診断ツールです。危険なファイルや設定ミス、古いCGIやソフトの検出に向きます。プラグインで検査項目を増やせます。例:/phpinfo.phpや未保護の管理ページを見つける用途に便利です。誤検知が出ることがある点に注意してください。
sqlmap
自動でSQLインジェクション脆弱性を検出・検証するツールです。例えば入力フォームからデータベースの情報を取り出せるか確認できます。強力なので、必ず許可のある環境で使ってください。
Burp Suite Community Edition
ブラウザとサーバ間の通信を中継し、手動でリクエストを改変して検査できます。自動診断は限定的ですが、深掘りの手作業に役立ちます。
使い分けのポイント
自動で広範囲を調べるならOpenVAS、手早くウェブの穴を探すならNikto、攻撃の再現や詳細調査はsqlmapやBurpを組み合わせます。必ずテスト対象の許可を得てから実行してください。
