本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

サイト総合セキュリティ診断

所有を確認したあなたのサイトを丸ごと総合点検します。機密露出(.env/.git/DBダンプ)、TLS証明書、HTTPセキュリティヘッダ、CSPの中身・CORS設定ミス、Cookie属性、メール認証(SPF/DKIM/DMARC)、CAAに加え、晒れた製品を当サイトのCISA KEV(=実際に悪用中)カタログと相関——総合グレード付き1レポート+直し方+AI修正プロンプト。

このツールは当サイトのサーバーが対象サイトを受動的に取得します(攻撃や探索的スキャンは行いません)。安全のため、所有を確認できたドメインのみ点検できます。内部・プライベートなアドレスは遮断しています。
サンプルで試す(当サイト自身 itdef.net を診断)
B
総合グレード
80 / 100
https://itdef.net/ja · ファイルで所有確認済み

機密ファイルの公開

検査した 24 個の機密パス/ディレクトリは、いずれも公開されていませんでした。

TLS証明書

  • 証明書は有効です(残り 83 日)。
    • 発行者: Let's Encrypt
    • プロトコル: TLSv1.3
    • 暗号スイート: TLS_AES_128_GCM_SHA256
    • 有効期限: Sep 5 07:14:55 2026 GMT

    通信(HTTPS)

    • HTTPSで到達できます。
    • http はHTTPSへリダイレクトされています。
    • HSTS が有効です。

    セキュリティヘッダ

    グレード B(86/100)。未設定・弱い項目:1 件。

    詳しくはセキュリティヘッダ診断へ

    CSP(コンテンツセキュリティポリシー)の強度

    • 'unsafe-inline'(インラインJSを許可=XSS緩和が大きく損なわれる。nonce/hashへ)
    CSPビルダーで組み立て直す

    CORS(オリジン間リソース共有)

    危険な CORS のオリジン反射は見られません。

    Cookieの安全属性

    次の Cookie に安全属性が不足しています。

    • NEXT_LOCALE 不足: Secure, HttpOnly

    メール認証(なりすまし対策)

    • spf 未設定
    • dkim OK
    • dmarc 弱い
    詳しくはSPF/DKIM/DMARCチェッカーへ

    バージョン情報の露出

    サーバ/フレームワークのバージョン情報は目立つ形では露出していません。

    CAA なし(任意ですが、許可する認証局を CAA で限定できます)。
    security.txt なし(任意ですが、/.well-known/security.txt で連絡先を示すと親切)。

    AIへの改善指示(コピペ)

    Claude / ChatGPT に貼ると、あなたの環境向けの具体的な直し方を教えてくれます。

    あなたはWebセキュリティの専門家です。私が所有するサイト(itdef.net)の診断で、以下の問題が見つかりました。攻撃ではなく防御・修正目的で、私の環境(nginx / Apache / Caddy / クラウド等)向けに、各項目の安全な直し方を具体的なコマンド/設定例で教えてください。不明点は質問してください。修正後の確認方法も教えてください。

- セキュリティヘッダ: content-security-policy
- CSP(コンテンツセキュリティポリシー)の強度: unsafe-inline
- Cookieの安全属性: NEXT_LOCALE (Secure, HttpOnly)
- メール認証(なりすまし対策): SPF missing
- メール認証(なりすまし対策): DMARC weak

注意:既存の正常な動作を壊さないよう配慮してください。攻撃手法やバイパスの説明は不要です。

    この診断を定期監視する(無料)

    メールアドレスを登録すると、当サイトがこのサイトを定期的に再診断し、姿勢が悪化(新たにKEV該当・グレード低下・証明書の期限切れ間近)したときだけお知らせします。確認メールのリンクを押して初めて開始します(迷惑メール防止)。配信停止はいつでも。

    使い方

    1. 1

      自分のサイトのドメインを入力

      例:example.com。他人のサイトは診断できません(所有確認が必須のため)。

    2. 2

      所有を確認(3つの方法から1つ)

      画面に表示される専用トークンを、①メタタグ(一番簡単・トップページの<head>に貼るだけ)②DNS TXT レコード ③ファイル(ワンクリックでダウンロード→/.well-known/ に置く)のいずれかで設置します。確認が取れるまで診断は始まりません。

    3. 3

      「所有を確認して診断」を押すと自動で総合点検

      機密露出(.env/.git/DBダンプ)・TLS証明書・ヘッダ・CSP/CORS・Cookie・メール認証・KEV相関(悪用中CVE)をまとめてチェックし、A〜Fの総合グレードを表示します。

    4. 4

      赤→黄の順に直す

      各項目に「なぜ危険か」と直し方を表示。コピペできるAI修正プロンプトも出るので、ChatGPT / Claude に貼ればあなたの環境向けの具体手順が得られます。

    5. 5

      (任意)無料の定期監視に登録

      メールアドレスを登録すると、姿勢が悪化したときだけ通知。確認メールのリンクを押すまで始まらず、いつでも配信停止できます。

    なぜ重要か

    本ツールが最初に見るのは、公開ディレクトリに置き忘れた .env や .git、DBダンプといった“機密ファイルの意図しない公開”です。これは当サイトの出発点になった実際の事故そのもの——設定の穴ひとつで認証情報やソースが丸見えになります。そこに TLS証明書・ヘッダ・Cookie属性・メール認証・バージョン露出まで束ね、所有を確認できた自分のサイトだけを“総合健診”できるようにしました。所有確認を必須にしているのは、他人のサイトを勝手に調べる「攻撃ツール」にしないためです。

    よくある質問

    Qなぜ所有確認が必要なの?
    A

    機密ファイルの公開有無を調べる以上、他人のサイトに向けられると攻撃の偵察になりかねません。DNS TXT かファイル設置で「自分のドメインだ」と証明できた場合のみ診断する設計にして、第三者スキャンを構造的に防いでいます。

    Q診断でサイトに負荷はかかる?
    A

    いいえ。決まった少数のパスを1回ずつ受動的に取得するだけで、総当たり(ファジング)や攻撃は行いません。普通にブラウザで数ページ開く程度の負荷です。

    Q総合グレードが高ければ完全に安全?
    A

    いいえ。本ツールは高シグナルな代表的項目を確認するもので、すべてのリスクを網羅するわけではありません。緑でも過信せず、最小公開・最小権限の原則と、依存(OSVスキャナ)・ヘッダ・メール認証の継続的な点検を併せてください。

    関連ページ