Magento公式から、無料で使えるセキュリティチェックツール「Magento Security Scan Tool」が公開されました。

このツールはMagento1と2の両方に対応したセキュリティチェックツールで、以下のチェックを自動で行い、レポートを作成することができます。

  • Magento上にセキュリティリスクがないか
  • 未適用のパッチがないか
  • サーバーの設定は適切か

もちろん費用はかからないばかりか、定期的にチェックすることもできます。

Magento Security Scan Toolをつかうには

Magento Security Scan Toolを使うには、Magento公式サイトのマイページにある、「Security Scan」にアクセスします。

セキュリティスキャンTOP

では早速「Go To Security Scan」をクリックして始めてみましょう。 

サイトを追加する

初めてスキャンを行う場合、登録済みサイトは次のように0件です。

セキュリティスキャン サイト未登録

スキャンを行うには、サイトを登録する必要があります。

サイトの登録

サイトを登録する際に、スキャン対象のサイトのHTMLヘッダに確認コードを埋める必要があります。
埋め込み方は「Instructions」にバージョン別で書いてあるので、その指示に従って埋めてください。

確認コードを埋めたら、「Verify Confirmation Code」をクリックして確認します。
確認ができたらレポートの送付先アドレスを設定して保存します。
(定期診断をするかどうかはお好みで決めてください)

スキャンを実行する

サイトの登録ができたら、登録済みサイトは次のように表示されると思います。

登録済みサイト

もし、スキャンが始まっていない場合は、「Actions」から診断を実行させてください。
スキャンが終わるまでには暫く掛かります。スキャンが終わると登録したメールアドレスにメールが届きます。

結果を受け取る

スキャンが完了し、メール通知を受け取ったら、結果を確認しましょう。

スキャン結果

ドキュメントルートディレクトリの設定や、SSLの暗号強度の不備を指摘されてしまいました。
Magento1と2で診断結果は変わりますが、このようにサイトの問題点を無料で教えてもらえるのは大変ありがたいですね。

もちろん本格的なセキュリティ診断には及ばないかもしれませんが、プラットフォームそのものにリスクがないかを定点観測することは重要です。
うまく活用して安全・安心なサイト運営につなげていきましょう。