コンテンツへスキップ
BoringSec vs 無料スキャナー

無料スキャナーは、一つしか調べません。
私たちは、すべてを調べます。

SSL Labs、Mozilla Observatory、securityheaders.comは得意分野に優れています。BoringSecはURL基本モジュールと確認済みエンジンを連携し、監視を続けます。

Categories covered in one scan

BoringSec
20/20
SSL Labs
1/20
Mozilla Observatory
2/20
securityheaders.com
1/20

One BoringSec scan replaces all three free tools — and covers the categories they can't see.

ウェブサイトのURLまたはGitHubリポジトリのリンクを貼り付けてください — 自動でスキャンタイプを判別します。

詳しい比較を見る ↓
並べて比較

各スキャナーが実際にチェックする項目

SSL Labs, Mozilla Observatory, securityheaders.comとの誠実な比較です。無料ツールが優れている点はきちんと認めています。違いは、1回のBoringSecスキャンがどれだけ広くカバーするかにあります。

BoringSec

20/20
  • URL基本モジュール基本モジュール
  • HTTPセキュリティヘッダー(15種類以上)対応
  • 詳細なSSL/TLS分析対応
  • DNS(SPF、DMARC、DKIM、CAA、DNSSEC)対応
  • 漏洩した認証情報とAPIキー対応
  • 技術スタック内の既知のCVE対応
  • データベースのセキュリティ(Supabase、Firebase)対応
  • GDPRとプライバシーのチェック対応
  • マルウェアとブラックリストの評価対応
  • 継続的な監視対応
  • 平易な言葉とAI対応の修正方法対応
  • 10言語に対応したレポート対応
  • 統合されたA++〜Fの評価対応
  • API、CI/CD、Slack連携対応

SSL Labs

1/20
  • URL基本モジュールTLSのみ
  • HTTPセキュリティヘッダー(15種類以上)非対応
  • 詳細なSSL/TLS分析高機能対応
  • DNS(SPF、DMARC、DKIM、CAA、DNSSEC)非対応
  • 漏洩した認証情報とAPIキー非対応
  • 技術スタック内の既知のCVE非対応
  • データベースのセキュリティ(Supabase、Firebase)非対応
  • GDPRとプライバシーのチェック非対応
  • マルウェアとブラックリストの評価非対応
  • 継続的な監視非対応
  • 平易な言葉とAI対応の修正方法非対応
  • 10言語に対応したレポート英語のみ非対応
  • 統合されたA++〜Fの評価TLSのみ一部対応
  • API、CI/CD、Slack連携一部対応

Mozilla Observatory

2/20
  • URL基本モジュールヘッダー + TLS
  • HTTPセキュリティヘッダー(15種類以上)対応
  • 詳細なSSL/TLS分析一部対応
  • DNS(SPF、DMARC、DKIM、CAA、DNSSEC)非対応
  • 漏洩した認証情報とAPIキー非対応
  • 技術スタック内の既知のCVE非対応
  • データベースのセキュリティ(Supabase、Firebase)非対応
  • GDPRとプライバシーのチェック非対応
  • マルウェアとブラックリストの評価非対応
  • 継続的な監視非対応
  • 平易な言葉とAI対応の修正方法一部対応
  • 10言語に対応したレポート英語のみ非対応
  • 統合されたA++〜Fの評価ヘッダーのみ一部対応
  • API、CI/CD、Slack連携非対応

securityheaders.com

1/20
  • URL基本モジュールヘッダーのみ
  • HTTPセキュリティヘッダー(15種類以上)対応
  • 詳細なSSL/TLS分析非対応
  • DNS(SPF、DMARC、DKIM、CAA、DNSSEC)非対応
  • 漏洩した認証情報とAPIキー非対応
  • 技術スタック内の既知のCVE非対応
  • データベースのセキュリティ(Supabase、Firebase)非対応
  • GDPRとプライバシーのチェック非対応
  • マルウェアとブラックリストの評価非対応
  • 継続的な監視非対応
  • 平易な言葉とAI対応の修正方法一部対応
  • 10言語に対応したレポート英語のみ非対応
  • 統合されたA++〜Fの評価ヘッダーのみ一部対応
  • API、CI/CD、Slack連携非対応
違いが現れるところ

一度きりのスキャナーにはできない4つのこと

1つのワークフロー、独立したモジュール

ヘッダー、TLS、DNS、Cookie、CORS、露出、インジェクション、XSS、サブドメイン、漏洩した認証情報、データベース、技術スタックのCVE、プライバシー、評価など。これらを統合し、自分で実行して突き合わせる3つの別々のツールではなく、単一のA++〜F評価としてまとめます。

  • 1つのワークフロー内の基本モジュール
  • 統合されたスコアとレポート
  • 所有者確認済みバックグラウンドエンジン

ヘッダーチェッカーには見つけられないものを検出

無料スキャナーはレスポンスヘッダーを読み取ります。BoringSecは、公開されたJavaScriptとインフラまで読み取り、漏洩したStripe、AWS、Supabase、GitHubのキー、無防備なSupabaseのRLSやFirebaseのルール、そして実際に使用しているライブラリ内の既知のCVEを見つけ出します。

  • バンドル内に漏洩したAPIキー
  • 無防備なデータベースルール(RLS / Firebase)
  • OSVデータベースで照合したCVE

セキュリティは一度きりのチェックではありません

今日クリーンなスキャン結果でも、来週のことは何も保証しません。BoringSecは監視を続け、定期的に再スキャンを行い、証明書の有効期限切れ、改ざん、新たな脆弱性、ブラックリスト登録、ダウンタイムをお知らせします。

  • $19/月からの定期的な再スキャン
  • 証明書の有効期限カウントダウン
  • 改ざんとブラックリストのアラート

見つけるだけでなく、修正まで

すべての検出結果には、平易な言葉での説明、私たちが実際に確認した証拠、そしてすぐに実行できる修正方法(AI対応の修正プロンプトを含む)が付属します。さらに、レポート全体がスキャンしたサイトの言語で表示されます。

  • 平易な言葉での修正方法
  • コピー&ペーストできるAI修正プロンプト
  • 10言語にローカライズ

無料スキャナーでは不十分な理由

単一の観点を手早く確認するには優れたツールです。しかし、セキュリティの全体像を把握するために作られたものではありません。

一つの軸しかチェックしないため、基本をカバーするには3つ以上のツールが依然として必要です。
ある一時点での結果に過ぎず、監視も、変化が起きたときのアラートもありません。
漏洩した認証情報、無防備なデータベース、脆弱な依存関係を見つけることはできません。
レポートは英語のみで、問題を実際にどう修正すればよいかを教えてくれることはほとんどありません。
これらのツールに敬意を込めて

私たちはSSL Labs, Mozilla Observatory, securityheaders.comを本当に気に入っており、自分たちでも使っています。これらはそれぞれの仕事を見事にこなしており、優れたTLSチェックやヘッダーチェックを置き換えようというわけではありません。大切なのは、それらのチェックでは見えないすべてのことです。BoringSecは、完全な全体像を一か所でお届けします。

プランと監視を比較する →