サイト総合セキュリティ診断
所有を確認したあなたのサイトを丸ごと総合点検します。機密露出(.env/.git/DBダンプ)、TLS証明書、HTTPセキュリティヘッダ、CSPの中身・CORS設定ミス、Cookie属性、メール認証(SPF/DKIM/DMARC)、CAAに加え、晒れた製品を当サイトのCISA KEV(=実際に悪用中)カタログと相関——総合グレード付き1レポート+直し方+AI修正プロンプト。
使い方
- 1
自分のサイトのドメインを入力
例:example.com。他人のサイトは診断できません(所有確認が必須のため)。
- 2
所有を確認(3つの方法から1つ)
画面に表示される専用トークンを、①メタタグ(一番簡単・トップページの<head>に貼るだけ)②DNS TXT レコード ③ファイル(ワンクリックでダウンロード→/.well-known/ に置く)のいずれかで設置します。確認が取れるまで診断は始まりません。
- 3
「所有を確認して診断」を押すと自動で総合点検
機密露出(.env/.git/DBダンプ)・TLS証明書・ヘッダ・CSP/CORS・Cookie・メール認証・KEV相関(悪用中CVE)をまとめてチェックし、A〜Fの総合グレードを表示します。
- 4
赤→黄の順に直す
各項目に「なぜ危険か」と直し方を表示。コピペできるAI修正プロンプトも出るので、ChatGPT / Claude に貼ればあなたの環境向けの具体手順が得られます。
- 5
(任意)無料の定期監視に登録
メールアドレスを登録すると、姿勢が悪化したときだけ通知。確認メールのリンクを押すまで始まらず、いつでも配信停止できます。
なぜ重要か
よくある質問
Qなぜ所有確認が必要なの?
機密ファイルの公開有無を調べる以上、他人のサイトに向けられると攻撃の偵察になりかねません。DNS TXT かファイル設置で「自分のドメインだ」と証明できた場合のみ診断する設計にして、第三者スキャンを構造的に防いでいます。
Q診断でサイトに負荷はかかる?
いいえ。決まった少数のパスを1回ずつ受動的に取得するだけで、総当たり(ファジング)や攻撃は行いません。普通にブラウザで数ページ開く程度の負荷です。
Q総合グレードが高ければ完全に安全?
いいえ。本ツールは高シグナルな代表的項目を確認するもので、すべてのリスクを網羅するわけではありません。緑でも過信せず、最小公開・最小権限の原則と、依存(OSVスキャナ)・ヘッダ・メール認証の継続的な点検を併せてください。