ウェブサイトセキュリティテスト
サイト所有権の確認(アクティブ検査を解放)
ログインして認証用トークンを取得し、ご自身のサイトでアクティブ検査を実行してください。
Website Security Test は、数秒で任意のウェブサイトを一般的なセキュリティ問題について監査する、無料のオンラインツールです。HTTPSとTLSの構成、HTTPセキュリティヘッダー、Cookie属性、公開された機密ファイルなどを確認します。ソフトウェアバージョンの漏洩も検出します。高度なモードでは、Google にインデックスされたプライベートまたは機密なサブページを発見できます。分かりやすいセキュリティスコア、評価(A~F)、そして改善点のリストも受け取れます。
Website Security Testとは?
攻撃者視点の高速監査
ツールは、自動スキャナーや攻撃者が行うように、外部からあなたのサイトを調査します。安全な読み取り専用リクエストのみを使用し、ログインせず、何も変更せず、攻撃行為は一切行いません。
数秒で、どのセキュリティ対策が導入されており、何が足りないか、または誤って設定されているかが分かります。各結果はカテゴリごとに整理され、重要度順に並び替えられるため、最も重大な点から優先的に修正できます。
これは、公開前のクイックチェックや、毎月の定期監査、または取得したばかりのサイトの即時評価に最適なツールです。
検査対象
スキャンは6つの分野をカバーします。暗号化された接続と証明書、ブラウザのセキュリティヘッダー、Cookie属性、公開されたファイルやディレクトリリスト、ソフトウェア情報の漏洩、検索エンジンでの露出も含まれます。
各テストは、「クリティカル」「警告」「情報」「パス」の4段階で結果が返され、証拠と推奨される修正案が提示されます。
なぜセキュリティがSEOに影響するのか
検索エンジンはHTTPSで配信されるサイトを優遇します。漏洩したテストコピーやインデックスされた管理パネルは、順位低下や情報漏えいの原因となります。安全で適切に設定されたサイトは、訪問者とオーガニックの可視性の両方を守ります。
報告された問題を修正することで、信頼性シグナルが向上し、機密情報がインデックスされるのを防げます。また、訪問者を遠ざけるブラウザ警告も除去できます。
Website Security Testの利用メリット
- 任意のURLに対し、1つの分かりやすいセキュリティスコアとA+~F評価を取得。
- 不足・脆弱なセキュリティヘッダー (CSP、HSTS、X-Content-Type-Optionsなど) を分かりやすい日本語で解説。
- .env、.git、バックアップやSQLダンプなど、公開されてしまったファイルをいち早く発見。
- オープンなディレクトリリストや攻撃者が利用しやすいサーバーヘッダーの詳細も検出。
- TLS証明書の有効性、有効期限、古いプロトコルの有無を確認。
- 高度なモードでは、Google にインデックスされてはならない機密コンテンツも検索。
- すべての問題にわかりやすい、すぐに実装できる改善案を提示―専門的なセキュリティの知識不要。
主な機能
- 6つのセキュリティカテゴリにわたる20以上の個別テスト。
- 重要度にもとづくスコアリングで、修正優先度が明確。
- HTTPSへのリダイレクト、HSTSヘッダーおよび混在コンテンツの検出。
- 最新のOWASPガイドラインに準拠したセキュリティヘッダーの詳細チェック。
- Secure、HttpOnly、SameSite Cookie属性の確認。
- 安全なリードオンリーリクエストによるファイル・ディレクトリリスト露出の調査。
- Google露出スキャン(オプション)、および有料プラン限定のプレミアムプロキシ。
- 各テストの改善策をプログラマにそのまま渡せるガイダンスとして表示。
- メール認証とDNS強化: SPF, DMARC, CAAレコードおよびCORSポリシーのレビュー。
- DNSSEC、外部スクリプトのSubresource Integrity、スクレイピング/WAFの検出。
- GDPRとPCI DSS の基本的な外見チェック(ネットワーク上の表面的項目のみ)―正式な法的監査やPCI審査の代替にはなりません。
- Googlebot vs ブラウザの比較によるクローキング検出―HTTPステータス、リダイレクト、SEOシグナル、コンテンツ変更率を分析し、HTTP Requestツールを補完。
Website Security Testと他のツールの比較
| 機能 | DiagnoSEO | 他ツール |
|---|---|---|
| ヘッダー、TLS、Cookie、露出の総合結果 | ✅ | ❌ |
| セキュリティヘッダー評価(SecurityHeaders.com・Mozilla Observatory類似) | ✅ | ✅ |
| 証明書・TLSプロトコルサマリー(Qualys SSL Labs類似) | ✅ | ✅ |
| .env / .git / バックアップ等 漏洩ファイル検出 | ✅ | ❌ |
| Googleでインデックスされた機密ページ検出 | ✅ | ❌ |
| 各項目の分かりやすい改善ガイド | ✅ | ❌ |
| 基本スキャンはアカウント不要 | ✅ | ✅ |
| SEOツールセットの1つとして、AuditやSERPツールと併用可 | ✅ | ❌ |
Free版とPro版の違い
パッシブスキャンはあらゆるアドレスで無料・アカウント不要です。サーバーに積極的にアクセスするテストは、サイト所有者認証後(またはrobots.txtでDiagnoSEOを許可後)に動作します。Advanced(Pro)プランにはより強力な機能が追加されます。
| 機能 | Free | 認証済オーナー | Advanced (Pro) |
|---|---|---|---|
| セキュリティヘッダー、HTTPS/TLS、Cookie、バージョン漏洩 | ✅ | ✅ | ✅ |
| robots.txt / security.txtの有無 | ✅ | ✅ | ✅ |
| Googleインデックスの機密情報 | ❌ | ❌ | ✅ |
| 公開された.env / .git / バックアップ検出 | ❌ | ✅(基本) | ✅(詳細) |
| ディレクトリリスティング検出 | ❌ | ✅ | ✅ |
| CMSユーザー列挙 | ❌ | ❌ | ✅ |
| プレミアムプロキシ(WAFやジオブロック回避) | ❌ | ❌ | ✅ |
Website Security Testの使い方
- ツールパネルから Website Security Test を開きます。
- ウェブサイトURL フィールドに、例: https://example.com などテストしたい完全なアドレスを入力します。
- 有料プランなら 詳細設定 を開き、プレミアムプロキシやGoogle露出スキャンを有効化します。
- サイトをスキャン ボタンを押し、数秒間レポート生成を待ちます。
- 全体スコアと評価をレポート上部で確認します。
- カテゴリごとに、まずはクリティカルな結果から順に確認します。
- 各問題を展開して、証拠と推奨される対応方法を確認します。
- サーバーやCMSで修正後、再度スキャンして修正が反映されたか検証します。
ケーススタディ
はじめの状況
あなたが中規模なECサイトを引き継いだばかりで、作業計画前にセキュリティを素早く評価したいとします。
ツールを開き、ショップのホームアドレスを貼り付けて サイトをスキャン をクリックします。
数秒で全体評価C、クリティカルな3件の問題が赤色で強調表示されます。
レポートの読み方
最も重大な問題は、.env ファイルが公開され、データベースのアクセストークンが漏洩していること。2つ目は、HTTPからHTTPSへのリダイレクトが無いこと。3つ目は証明書チェーンの一部が期限切れになっていることです。
ヘッダーカテゴリでは、Content-Security-PolicyとHSTSの欠落も表示され、それぞれ簡単なリスク解説が付きます。
問題の修正
レポートの推奨通り .env ファイルへの公開アクセスをブロック。301リダイレクトでHTTPSを強制し、自動更新つきで証明書を更新します。
続いて、Content-Security-Policyおよび長期のHSTSヘッダーも追加し、レポートの案内通りに実装します。
結果
再スキャンするとクリティカル問題は消え、ヘッダーカテゴリは緑色になり、全体評価もAに上昇します。
これでショップは顧客にとってより安全になり、ブラウザ警告もなくなり、検索エンジンでの可視性も大きく改善します。
よくある質問(FAQ)
-
はい。ツールは公開URLに対し、安全な読み取り専用リクエストのみ送信します。ログインやデータの変更、攻撃的な操作は一切行いません。
-
はい。基本スキャンはアカウント不要です。有料プランでは、プレミアムプロキシやGoogle露出スキャン等の高度なオプションが利用可能になります。
-
スコアは全てのテスト結果を0〜100で集計し、それをA+〜Fの評価に換算したものです。点数が高いほど安全性が高い状態です。
-
高度なモードでは、ドメイン向けに絞り込んだ検索クエリを自動実行し、管理パネルやリスト、公開すべきでないファイルの有無を調査します。
-
いいえ。これは代表的な設定の問題を手早く監査するツールです。クリティカルなシステムに対しては依然として本格的なペネトレーションテストを推奨します。