脆弱性診断&マルウェア駆除のWebセキュリティサービス「SiteLock」 がいい感じです。
チェックするのが面倒臭いXSS脆弱性や、数多く見つかるソフトウェアの脆弱性の中からどれが自分に関係のある脆弱性か、診断してくれるのがいい。
書籍やネットで調べた情報を元に、気を付けてアプリケーション作っても、脆弱性が全て駆除できたとは言えない。
実際、自分で作ったSHA暗号化ツールが、最初はGoogleの1ページ目に載っていたのに、ちょっと機能を追加したらGoogleで検索されなくなった。
なんでだろうと思っていて、たまたまGMOクラウドのSiteLockの宣伝があって、試しに導入してみたら、XSS脆弱性があるとの診断。
それに倣ってツールを修正したら、またGoogleの1ページ目に載るようになりました。
で、SiteLockですが、月350円からと宣伝してますが、実際のところ月1,200円の「レギュラー」からが「使える」サービスです。
| プラン名 | エントリー | レギュラー |
|---|---|---|
| 年額費用 | ¥4,200 | ¥14,400 |
| 診断対象ページ数 | 50 | 200 |
| WordPress診断 | ワンタイム | 週/月/四半期 |
| アプリ診断 | ワンタイム | 週/月/四半期 |
| XSS脆弱性診断 | ワンタイム | 週/月/四半期 |
| SQLインジェクション脆弱性診断 | ワンタイム | 週/月/四半期 |
| マルウェア駆除 | N/A | 日/週/月/四半期 |
| SMART診断 | N/A | 日/週/月/四半期 |
月350円の「エントリー」は、WordPress診断・アプリ&ホームページ診断・XSS脆弱性診断・SQLインジェクション脆弱性診断が、一契約期間に一度しか使えません。
つまり、SiteLockで脆弱性が見つかった。直した。で、ちゃんと直してあるか確認、ができません。
そういう訳で、事実上使えるサービスとしては、月1,200円の「レギュラー」です。
あと、使ってみた感想では、
- 日本語に対応しているが、メニュー周りだけで、内容が英語なままが結構ある。英語がある程度分かる人向け。
- サイト構成が、
+ /home/foo/www/
+ /home/foo/cgi-bin/ で、診断対象を「/(ルート)」にすると診断に失敗するっぼい。
+ /home/foo/www/
+ /home/foo/www/cgi-bin/ にして、診断対象を「/www」にするのがよさそうです。 - ユーザーサポートが結構いい。SiteLockで診断して、その診断結果で具体的にどうすればいいのか、サポートに問い合わせると答えてくれます。「hoge hoge foundって出たけど、具体的にどこを修正すればいいですか?」みたいな、結構踏み込んだ内容まで調べて教えてくれます。これは好感触です。
- GMO社のクラウドサービースと相性がよさそうです。SiteLockは英語圏の会社だけど、間にGMOが入ってくれるかんじです。日本語でサポート受けられるのはいいですね。
