サイトの防御力を一瞬で採点。URLだけで設定漏れを暴くセキュリティ診断ツール3選

はじめに

Web担当者、そして自社サービスを守るエンジニアへ。

公開したばかりのWebサイト、あるいは長年運用しているそのドメイン、「HTTPヘッダー」のセキュリティ設定は万全だと言い切れますか？ 本番環境にデプロイした瞬間、あなたのサイトは全世界の悪意にさらされます。HSTSやX-Frame-Optionsの設定ミス一つで、クリックジャッキングや中間者攻撃の餌食になる。その不安、放置すればいつか致命的なインシデントとなって襲いかかります。

今回は、数多ある診断ツールの中から、ブラウザ上でURLを叩くだけで「専門家レベルの健康診断」ができるWebツールを3つ厳選しました。なお、当初候補に検討していた「OWASP ZAP」は高度なローカルインストール型の脆弱性スキャンソフトであり、今回求める「手軽にWeb上で完結するツール」という趣旨に合わないため、あえて除外しています。

「健康診断」を怠り、手遅れになる前に。 サイトの防御力をA〜Fランクで可視化する神ツールを紹介します。

【この記事で得られること】

• ✅ 自社サイトのセキュリティ設定の「穴」が30秒で判明する
• ✅ 難解なHTTPヘッダー（HSTS, CSP等）の正解設定がわかる
• ✅ 経営層やクライアントに提示できる「客観的なセキュリティ指標」が手に入る

1. Security Headers：一瞬でランク付けする「通信簿」

価格: 無料 / 検索ワード: Security Headers

どんなツール？

URLを入力した瞬間に、HTTPレスポンスヘッダーをスキャンし、A+からFまでの成績表を叩きつけるツールです。

【例え話で理解する】Security Headersは、まるで「玄関の戸締まりをチェックして回る、毒舌な警備員」のようなものです。鍵がかかっていない窓（設定漏れ）を見つけるやいなや、「お宅、泥棒に入ってくださいと言ってるようなもんですよ」と厳しく評価を下します。つまり、複雑なソースコードを読まずとも、外から見える「隙」を瞬時にあぶり出してくれるのです。

🛠 おすすめの設定・使い方

• 「Hide results」にチェック: スキャン結果を公開したくない場合は、検索窓下のチェックボックスを必ずオンにしてください。
• 「Follow redirects」を考慮: リダイレクト設定も加味した評価を行いたい場合に有効です。
• 【裏技】他社比較: 競合他社や有名企業のURLを入れてみてください。意外と「F」ランクのまま放置されている大手サイトが見つかり、自社の立ち位置が客観視できます（編集部調べでは、某大手ニュースサイトもかつてはF判定でした）。

✅ ココが凄い (Pros)

• 直感的なランク表示: 専門知識がなくても「A判定ならOK、Fなら即修正」と判断基準が明確です。
• 修正方法の提示: 各項目に対し、「なぜダメなのか」「どう記述すべきか」の解説リンクが完備されています。

⚠️ ココが惜しい (Cons)

• ヘッダーのみに特化: サーバー内部の脆弱性やSSL証明書の詳細は見られません。そこは後述する他ツールとの併用が必要です。

💡 Web担当者へのベネフィット

Before:「セキュリティは大丈夫？」と上司に聞かれ、「多分設定しているはずです……」と曖昧な返答。不安で夜も眠れない。

After:「第三者機関の診断でA判定を取得済みです」とエビデンス付きで報告。自信を持って運用を継続できる。

【具体的な時短効果】

• 1日あたり：30分（手動でのヘッダー確認時間を削減）
• 月間換算：10時間
• 年間で考えると：120時間 = 丸5日分の自由時間を取り戻せます

2. Mozilla Observatory：Firefox開発陣による「ガチ診断」

価格: 無料 / 検索ワード: Mozilla Observatory

どんなツール？

ブラウザの重鎮Mozillaが提供する、世界で最も信頼されているセキュリティ評価ツールの一つです。

【例え話で理解する】これは、いわば「Webサイトの精密人間ドック」です。血圧や体重だけでなく、血液検査からMRIまで徹底的に調べるように、CSP（Content Security Policy）の記述ミスなど、Security Headersよりもさらに踏み込んだ詳細な分析を行います。

🛠 おすすめの設定・使い方

• TLS診断との併用: スキャン時にSSL/TLS設定のチェックも自動で行われます。
• 履歴の参照: 過去の診断履歴と比較して、設定変更後の改善具合を数値で確認してください。
• 【裏技】API利用。エンジニアならAPI経由で定期実行し、設定が変わったらSlackに飛ばす監視バッチを組むのが通のやり方です。

✅ ココが凄い (Pros)

• 基準の厳格さ: ここでA評価を取れば、世界トップクラスのセキュリティ水準と言えます。
• CSP診断: XSS攻撃を防ぐための最重要ヘッダー「CSP」の記述ミスを、どこよりも詳細に指摘してくれます。

⚠️ ココが惜しい (Cons)

• 初心者には情報過多: 表示されるデータ量が膨大なため、最初は圧倒されるかもしれません。まずは「Score」の数字だけを見れば十分です。

3. Qualys SSL Labs：SSL/TLS設定の「聖書」

価格: 無料 / 検索ワード: Qualys SSL Labs

どんなツール？

HTTPヘッダーではなく、その土台となる「SSL/TLS（暗号化通信）」の設定に特化した診断ツールです。

【例え話で理解する】どんなに豪華な家（サイト）を建てても、地盤（SSL設定）が緩ければ地震で崩れます。SSL Labsは、その「地盤の強度」を調べる地質調査のようなもの。古い暗号方式（古い地盤）を使っていないか、1KB単位で精密検査します。

🛠 おすすめの設定・使い方

• 「Do not show the results on the boards」にチェック: 自サイトの弱点を晒さないための鉄則です。
• Handshake Simulationを確認: どのバージョンのiPhoneやAndroidがサイトを見れるか/見れないかが一目で分かります。
• 【裏技】グレードがB以下の場合は、「Weak Diffie-Hellman and the Logjam Attack」などの項目をチェック。設定ファイル（nginx.conf等）にコピペすべき修正案が載っています。

✅ ココが凄い (Pros)

• 暗号化の強度を実測: 「古いブラウザをサポートしすぎて脆弱になっている」といった矛盾をズバリ指摘します。
• 世界標準の権威性: セキュリティ業界で「SSL LabsでA判定」は、最強のブランド力になります。

📊 全ツール比較表

| ツール名 | 診断対象 | 手軽さ | 詳細度 | おすすめ度 ||———|——|————|————|———-|| Security Headers | HTTPヘッダー | ★★★★★ | ★★★☆☆ | ★★★★★ || Mozilla Observatory | 総合・CSP | ★★★★☆ | ★★★★★ | ★★★★☆ || Qualys SSL Labs | SSL/TLS | ★★★☆☆ | ★★★★★ | ★★★★☆ |

【編集長の推奨フロー】

1. まず Security Headers で真っ赤な「F」がないか即チェック。
2. 次に SSL Labs で、暗号化通信の土台（SSL）が腐っていないか確認。
3. 最後に Mozilla Observatory で100点満点を目指して微調整。

💰 ROI（投資対効果）計算

前提条件:

• あなた（エンジニア/ディレクター）の時給：3,000円
• 外部セキュリティ業者による診断費用：1回 30万円〜

計算:

• ツール導入（自分たちで診断）：作業1時間 ＝ 3,000円
• 外部委託費用の節約：297,000円のコストカット

さらに、情報漏洩が発生した際の損害賠償額（数千万円〜）を考えれば、この数分の診断は数千倍の投資リターンを生む計算になります。

❓ よくある質問（FAQ）

Q1. Security HeadersでF判定が出ました。倒産しますか？

A: 即倒産はしませんが、「全裸で歌舞伎町を歩いている」くらいには危険です。特にHSTS（常時HTTPS化の強制）がない場合、フリーWi-Fi経由でユーザーのパスワードが抜かれるリスクがあります。まずはX-Frame-Optionsから設定しましょう。

Q2. 診断ツールを使いすぎると攻撃とみなされる？

A: これらのツールは正規のクエリを数回投げるだけなので、攻撃（DoS）にはなりません。ただし、自分の管理下にないサイトをむやみにスキャンし、結果を公開するのはマナー違反です。

Q3. SSL Labsで「A」だったのに、Security Headersで「F」なのはなぜ？

A: 診断対象が違うからです。SSL Labsは「通信のトンネルの頑丈さ」、Security Headersは「トンネルの入り口の鍵」を見ています。両方Aになって初めて合格点です。

Q4. 社内システム（イントラネット）も診断できる？

A: 残念ながらこれらは外部からアクセス可能なURL用です。内向きのサイトは、記事冒頭で除外した「OWASP ZAP」などのローカルスキャナーを使うのが正解です。

🎯 まとめ

「セキュリティ設定は、一度設定したら終わり」という思い込みは、今日で捨ててください。

• 全体のバランスを即座に知りたい → Security Headers
• 難解なCSPやモダンな設定を攻めたい → Mozilla Observatory
• 通信の暗号化そのものを盤石にしたい → Qualys SSL Labs

まずは今すぐ、あなたのサイトのURLをSecurity Headersに叩き込んでください。もし「A」が出たら、コーヒーを飲んで一息ついてもいいでしょう。「F」が出たら……今夜の予定はキャンセル確定です。

ツールへの投資（設定する手間）を渋るのは、「泥棒が増えている地域で、玄関の鍵を閉めずに外出する」ようなものです。わずか10分の設定で、あなたのサイトと信頼は守られます。

【最後に編集長から一言】かつて私の担当サイトも、このツールで「F」を食らって顔面蒼白になったことがあります。しかし、その時修正したおかげで、後の大規模な脆弱性ブームの際も無傷で済みました。「知らぬが仏」はセキュリティの世界では「知らぬが地獄」です。 幸運を祈ります。