Hello there, ('ω')ノ
まずは基本:ブラウザ開発者ツール(F12)
✅ できること:
- URLやパラメーター確認
- リクエスト・レスポンスヘッダー確認
- CookieやLocal Storageの確認
- JavaScriptやエラーメッセージのチェック
✅ 対応ブラウザ:
- Google Chrome
- Microsoft Edge
- Firefox
ほぼすべて標準搭載なので、インストール不要です。
推奨① OWASP ZAP(無料)
✅ 特徴:
- 無料の脆弱性スキャナー
- 日本語対応あり
- 初心者でも使いやすいUI
✅ 主な用途:
- Webサイト全体を自動診断
- 手動操作+自動操作両方対応
✅ 利用シーン:
- 開発環境や社内システムの週次チェックに最適
推奨② Burp Suite Community Edition(無料版)
✅ 特徴:
- プロキシツールとして定番
- 有料版もありますが、無料版でも十分学習&チェック可能
✅ 主な用途:
- 通信内容の改ざん
- パラメーターの変更再送信
✅ 補足:
無料版はスキャナー機能制限がありますが、手動操作には十分使えます。
推奨③ securityheaders.com(Webサービス)
✅ 特徴:
- URLを入力するだけ
- セキュリティヘッダー設定状況を診断
- 評価A〜Fで結果が見やすい
✅ 主な用途:
- Content-Security-PolicyやX-Frame-Optionsなどの確認
- 社内システムや公開サイトの手軽な自己チェック
推奨④ Shodan(無料〜)
✅ 特徴:
- インターネット上に公開されている機器検索サービス
- サーバー情報やポート開放状況を確認可能
✅ 注意点:
- 一般利用は検索回数制限あり
- 管理範囲外の検索・操作はしないこと
番外編:スマホアプリも活用
- HTTP Request Shortcuts(Android)
- Postman(PC版もあります)
スマホでAPIリクエストを簡単に送るツールとしておすすめです。
チェックリストまとめ
- [ ] F12キーで開発者ツールが使えるようにしておく
- [ ] OWASP ZAPやBurp Suiteをインストール済み
- [ ] securityheaders.comで公開設定確認済み
- [ ] ツールの使い方マニュアルを社内で共有済み
注意事項
- 本番環境で使う場合は必ず情報システム部門や開発チームと相談
- 無料ツールでも適切な使い方を守ること
- 外部サイトに無許可でテストを行わないこと
まとめ
- 無料・低コストでも十分に脆弱性チェックは可能
- ブラウザ標準機能+専用ツールを組み合わせるのがベスト
- 習慣化することで、大きなリスクを早期に発見できる
Best regards, (^^ゞ
